Wisest logo vit
Wisest logo vit

Utsattes för ransomware.

I mars 2021 blev Carpenter utsatt för en IT-attack som kom att påverka hela bolaget. Vi träffar Roger Siljeholm, VD, för att se hur året har varit.

Relaterat

No Results Found

The page you requested could not be found. Try refining your search, or use the navigation above to locate the post.

Tillbaka

Carpenter utsattes för ransomware

Om ditt företag blir utsatt för en IT-attack kommer hela verksamheten att påverkas. Systemen ligger ofta nere under lång tid vid en attack, vilket påverkar många processer och system i ett företag, inte minst kund-och leverantörskontakten. Detta var Roger Siljeholm med om när Carpenter blev utsatta för en ransomwareattack, trots att företaget hade ett mycket omfattande säkerhetssystem. Data krypterades på datorerna och en lösensumma krävdes för att låsa upp alla filer igen.

Lång historia i Tranås

Carpenter har funnits i Tranås sedan 1948 och är en av de ledande tillverkarna av blockskum och formgjutet skum i Norden. Sedan 2000 ingår Carpenter i Carpenter Co som är en av världens största tillverkare av komfortprodukter som till exempel kuddar, sängar och möbler. Fabriken i Tranås tillverkar och konfektionerar blockskum till främst säng- och möbelindustrin. Formgjutna produkter levereras också till fordonsindustrin där de arbetar med höga krav för tredimensionella produkter i stora serier. För att erbjuda kundanpassade lösningar har de ett eget laboratorium i Tranås där de utvecklar kundunika lösningar. I mars 2021 blev företaget utsatt för en IT-attack som kom att påverka hela bolaget. Nu har det snart gått ett år sedan attacken. Vi träffar Roger Siljeholm, VD, för att prata om hur året har varit, lärdomar och var bolaget befinner sig just nu.

Hur märkte ni att ni var utsatta för en IT-attack?

Det var en helt vanlig morgon i mars förra året. Fler och fler började få problem med sina datorer och vi trodde att det var något fel med nätverket. Snart börjar även antivirusprogrammen att blinka på datorerna och vi tog då kontakt med vår centrala IT-avdelning för Europa som i sin tur pratade med huvudkontoret i USA. Det kom därefter mycket snabba direktiv om att stänga ned alla former av datorer och nätverk. Från att allt detta startade till att få direktiv om att stänga ner allt gick det ungefär 30 minuter. Alla bolagets datorer och nätverk runt om i världens släcktes på en timme.

Därmed infann sig ett vakuum där vi inte hade tillgång till varken servrar, mail, affärssystem eller telefonväxel. Vi var bokstavligen blinda. Som tur var, gick det fortfarande att ringa från våra mobiltelefoner. Många av våra produktionsmaskiner fick också stängas ned då även dessa var nätverkskopplade. I ett sånt här läge var vi inte ens hjälpta utav våra backuper i molnet, eftersom det inte gick att köra nätverken.

Vad fick ni göra?

På några minuter gick problemet från att vara en IT-fråga till att bli en existentiell ledningsfråga. Vi samlade ledningen direkt för att börja jobba enligt vår beredskapsplan. Dessvärre låg den sparad på vår server som vi såklart inte hade tillgång till.Vi har tränat en del på detta och kom ändå ihåg stora delar av vad som är viktigt. Ganska snabbt kunde vi ringa in vad som hade hänt och att ingen var skadad, men många frågor kvarstod. Vilka beslut behöver tas? Vilken kommunikation måste fram?

Efter några timmar kunde vi starta igång våra maskiner igen, så produktionen låg inte nere särskilt länge. Maskinerna kördes dock utan fungerande koppling till servrar och utan möjlighet att läsa in nya filer, så det hackade och hostade en del. Det gick till exempel inte att skriva ut etiketter till pallar med mera

”Back to basic med papper och penna”

Eftersom affärssystemet låg nere kunde vi inte se ordrar, fakturera, beställa frakter eller material. Men på några håll och kanter visade det sig finnas utskrivna orderpapper som räddade oss i några dagar. Det var bara att hoppas på att affärssystemet skulle gå att starta upp innan den informationen tog slut. Vi hade turen att många medarbetare jobbat länge hos oss, som mindes hur man gjorde i fördatorisk tid – back to basic med papper och penna.

Carpenter koncernen beslutade ganska snart att inte betala några lösensummor utan tog i stället stöd av en amerikansk specialistfirma som centralt styrde vilka åtgärder som skulle göras. Den första tiden efter attacken fick vi annars inte många svar från vår centrala IT-avdelning. Hela koncernen, med totalt 55 siter runt om i världen, var drabbade. Varje eftermiddag hölls ett informationsmöte där senaste direktiven och informationen delades. För att kämpa mot en ransomware-attack krävs mycket stora resurser och en stor uthållighet.

Vi vände oss lokalt här i Tranås till Wisest för att se om de kunde stötta oss, vilket de kunde. Utan deras hjälp hade vi aldrig rett ut detta varken resurs- eller kompetensmässigt. Normalt har ett företag inte IT-resurser som är dimensionerade för att jobba 24/7 med alla företagets datorer samtidigt under lång tid.

Hur påverkades er verksamhet?

Utan internet och tillgång till serverdata blev det förstås problem med många processer. Kontakten med kunder och leverantörer men även myndigheter som skatteverket och banken blev mycket krånglig. För att kunna få igång en vettig kommunikation sattes ett nytt externt nätverk upp som då var helt frånskilt vårt interna nät. På så vis kunde bland annat nya e-mailadresser skapas som underlättade kommunikationen med kund och leverantör. Efter 3–4 dagar kunde vi få i gång affärssystemet, men övriga nätverket låg fortsatt nere. Efter ungefär 3 veckor hade vi fått tillbaka vårt interna nätverk och därmed kopplingen mot våra servrar. Det gick då att komma alla våra dokument och vår data igen. Totalt förlorade vi 3–4 dagars information i våra system. Men jobbet med att rensa och återställa alla våra datorer kom att visa sig ta enorm tid.

Vi har ungefär 120–130 kunder som vi har regelbunden kontakt med. Med de största kunderna har vi EDI-koppling, för gällande ordrar i vårt affärssystem, vilket är ganska mycket data och information som behöver utbytas. När allt detta plötsligt ska hanteras manuellt och via externa mailadresser så blir det en ganska jobbig situation. Men det löste sig bra till slut, tack vare förstående kunder som hjälpte till.

Hur påverkades medarbetarna?

Direkt när det händer blir det ett slags vakuum, en chock. I stort sett går allt ner, ingen vet något och det blir många frågor. Vi har lyckligtvis en suverän personal med stor erfarenhet och även en väl samspelt ledningsgrupp. Tillsammans agerade personal och ledning lugnt och metodiskt och undvek härdsmältor. Det blev också tydligt hur hela bolaget arbetade målmedvetet och tillsammans i en sådan här situation. De vanliga små gruffen var som bortblåsta och alla ställde upp på ett fantastiskt sätt.

p

Vad tar ni med för lärdomar?

Att IT-säkerhet är ledningsfråga, inte ett IT-problem. När allt plötsligt ligger nere påverkar det alla avdelningar. Detta är frågor som hela bolaget måste ta ansvar för och arbeta med tillsammans. Det finns en del man kan förbereda och tänka på högt som lågt:

  • Träna ledningen och personal i krisberedskap och ha en beredskapsplan
  • Skaffa en upparbetad kontakt med professionella konsulter på IT-säkerhet. De ska kunna ställa upp med såväl kompetens som resurser med mycket kort varsel och ska kunna hjälpa er att arbeta förebyggande.
  • Det är inte fel att ha dubbla nätverk. Ett företagsnät och ett helt fristående öppet nät.
  • Backuper i molnet är inte helhetslösningen utan bara en dellösning.
  • Ett bra sätt att prova vad som händer är att dra nätverkssladdarna i serverrummet. Då ser ni vad som händer på riktigt.
  • Fundera igenom hur ni löser kundkontakter, produktion, order, fakturor och myndighetskontakter utan internet

Hur arbetar ni idag?

Det har tagit oss nästan ett år att komma tillbaka till något slags normalläge. Idag är har vi en högre medvetenhet kring IT-säkerhet och är ännu bättre förberedda. Men en ny attack kan säkert ändå ske trots rigorösa säkerhetssystem, och om det sker igen kommer det säkert även då skapa stora problem och kostnader.

Tillbaka