Sommarens IT-attack mot Coop är den största kända ransomwareattacken någonsin. I en artikel i CIO Sweden berättar IT-chefen om händelsen. ”Det goda som kommit ut av det är att andra kan använda oss för att lyfta IT-säkerheten till styrelsenivå.”
Klockan var 18.30 fredagen den 2 juli när det började komma signaler om att systemen på Coop inte uppförde sig normalt.
– Det var många olika fel som kom in men efter en rätt kort stund så kommer det tydliga tecken på att det inte är ett tekniskt fel eller någon programuppdatering – det är ransomware som låser datorerna, berättar Liselotte Andersson, IT-chef för Coop Sverige, i intervjun i CIO Sweden.
Tillsammans med säkerhetsföretaget Truesec kom man ganska fort fram till att det var i Kaseyas system som säkerhetshålet fanns. Andra företag hade också drabbats och Kaseya var en gemensam punkt för alla. Mjukvaran ingår i Extenda Retails lösning för Coops kassasystem och används för att servrar och klienter ska ha rätt inställningar och för att hjälpa användare i butikerna på distans.
Men nu kunde de som genomförde attacken fjärrstyra kassorna och började skicka meddelanden med krav på att betala lösen.
– Det gick fort för oss att samla ihop ett team och förstärka det. Vi hade ju övat på en cyberattack men nu hände det i verkligheten och det är något annat än träning. Tiden runtomkring stannar upp när man går in i ett extremt analysarbete för att få en överblick och se till att varje steg sker på rätt sätt så att inte läget förvärras.
Byggde nytt och förhindrar upprepning
Den följande veckan arbetade hundratals personer dygnet runt med att återställa systemen. Man ändrade hela lösningen och byggde upp en delvis ny teknisk plattform för att det skulle gå fortare. Efter det fick drygt 100 tekniker återställa datorer på plats i de cirka 700 av 800 butiker som drabbats.
Efter ett par dagar var runt 300 butiker igång och efter sex dagar hade alla fått igång sina kassor.
Efter attacken har IT-säkerheten och lösningarna så klart hamnat mer i fokus på Coop. Man jobbar bland annat med att säkra så kallade endpoints som datorer, mobiler, skrivare och liknande, med livscykelhantering av applikationer och med medvetenhet bland medarbetarna.
Man bygger också i högre takt vidare med fler verktyg för monitorering som kan spåra hot och eliminera attacker.
Behövs åtgärder i branschen
Att hackarna kom in via en leverantörs mjukvara tycker Liselotte Andersson är något som branschen behöver hantera tillsammans – bland annat med en certifiering för olika typer av service- och tjänsteköp.
– Vi kan inte ha tjänster där vi inte är säkra på hur de är uppbyggda och gå in på en mer detaljerad nivå. Det kan också handla om enkla saker som uppgraderingar av potenta serviceverktyg som kan skydda när en systemlösning attackeras, säger Liselotte Andersson till CIO Sweden.
Hennes uppmaning till andra är att ha en säkerhetsplan för alla potentiella områden som kan utsättas, att ha ett skydd och prioritera IT-säkerhetsfrågorna i hela företaget.
Hon rekommenderar också att ha ett partnerskap med ett säkerhetsföretag.
– När det får den omfattning som för oss så är tiden kritisk och då är det till oerhört stor hjälp. De har ett protokoll, en process och ett tillvägagångssätt för att möta attacken – och de har expertresurser och globalt nätverk.
Under attacken hade Coop kontakt med de olika myndigheter som ingår i det nationella cybersäkerhetscentrum som nu byggs upp även om man inte samarbetade rent operativt.
– Vi ser det som positivt om samarbetet med myndigheterna kan utökas – det är förmodligen nödvändigt eftersom de som attackerar är välorganiserade och har gott om kapital och avancerad teknik. Det är svårt för ett företag att klara ensamt, det blir en ojämn kamp.
Karin Thorsell
