IT-attacken mot Coop: ”Verkligheten är något annat än träning”

Coop Märsta
Stora Coop Märsta. Pressbild: Coop

Sommarens IT-attack mot Coop är den största kända ransomwareattacken någonsin. I en artikel i CIO Sweden berättar IT-chefen om händelsen. ”Det goda som kommit ut av det är att andra kan använda oss för att lyfta IT-säkerheten till styrelsenivå.”

Klockan var 18.30 fredagen den 2 juli när det började komma signaler om att systemen på Coop inte uppförde sig normalt.

– Det var många olika fel som kom in men efter en rätt kort stund så kommer det tydliga tecken på att det inte är ett tekniskt fel eller någon programuppdatering – det är ransomware som låser datorerna, berättar Liselotte Andersson, IT-chef för Coop Sverige, i intervjun i CIO Sweden.

Tillsammans med säkerhetsföretaget Truesec kom man ganska fort fram till att det var i Kaseyas system som säkerhetshålet fanns. Andra företag hade också drabbats och Kaseya var en gemensam punkt för alla. Mjukvaran ingår i Extenda Retails lösning för Coops kassasystem och används för att servrar och klienter ska ha rätt inställningar och för att hjälpa användare i butikerna på distans.

Men nu kunde de som genomförde attacken fjärrstyra kassorna och började skicka meddelanden med krav på att betala lösen.

– Det gick fort för oss att samla ihop ett team och förstärka det. Vi hade ju övat på en cyberattack men nu hände det i verkligheten och det är något annat än träning. Tiden runtomkring stannar upp när man går in i ett extremt analysarbete för att få en överblick och se till att varje steg sker på rätt sätt så att inte läget förvärras.

Byggde nytt och förhindrar upprepning

Den följande veckan arbetade hundratals personer dygnet runt med att återställa systemen. Man ändrade hela lösningen och byggde upp en delvis ny teknisk plattform för att det skulle gå fortare. Efter det fick drygt 100 tekniker återställa datorer på plats i de cirka 700 av 800 butiker som drabbats.

Efter ett par dagar var runt 300 butiker igång och efter sex dagar hade alla fått igång sina kassor.

Efter attacken har IT-säkerheten och lösningarna så klart hamnat mer i fokus på Coop. Man jobbar bland annat med att säkra så kallade endpoints som datorer, mobiler, skrivare och liknande, med livscykelhantering av applikationer och med medvetenhet bland medarbetarna.

Man bygger också i högre takt vidare med fler verktyg för monitorering som kan spåra hot och eliminera attacker.

Behövs åtgärder i branschen

Att hackarna kom in via en leverantörs mjukvara tycker Liselotte Andersson är något som branschen behöver hantera tillsammans – bland annat med en certifiering för olika typer av service- och tjänsteköp.

– Vi kan inte ha tjänster där vi inte är säkra på hur de är uppbyggda och gå in på en mer detaljerad nivå. Det kan också handla om enkla saker som uppgraderingar av potenta serviceverktyg som kan skydda när en systemlösning attackeras, säger Liselotte Andersson till CIO Sweden.

Hennes uppmaning till andra är att ha en säkerhetsplan för alla potentiella områden som kan utsättas, att ha ett skydd och prioritera IT-säkerhetsfrågorna i hela företaget.

Hon rekommenderar också att ha ett partnerskap med ett säkerhetsföretag.

– När det får den omfattning som för oss så är tiden kritisk och då är det till oerhört stor hjälp. De har ett protokoll, en process och ett tillvägagångssätt för att möta attacken – och de har expertresurser och globalt nätverk.

Under attacken hade Coop kontakt med de olika myndigheter som ingår i det nationella cybersäkerhetscentrum som nu byggs upp även om man inte samarbetade rent operativt.

– Vi ser det som positivt om samarbetet med myndigheterna kan utökas – det är förmodligen nödvändigt eftersom de som attackerar är välorganiserade och har gott om kapital och avancerad teknik. Det är svårt för ett företag att klara ensamt, det blir en ojämn kamp.

Karin Thorsell

Du hittar hela intervjun i CIO Sweden från IDG här.

Lämna en kommentar

Senaste nytt

  • Så mycket tjänar myndighetscheferna

    Så mycket tjänar myndighetscheferna

    Bland de tio generaldirektörerna med högst lön finns inte längre Försvarets materielverks GD med – trots historiskt stora investeringar i försvaret. I år liksom tidigare år är det Polismyndighetens GD Petra Lundh som tjänar mest.
  • Saco på Stockholm Pride 2025

    Sveriges Ingenjörer i Stockholm Pride: ”Kan vara första gången de berättar”

    Saco och Sveriges Ingenjörer är med på Stockholm Pride. Vad händer där? Vad pratar besökarna om med facket? Och hur går man med Saco i paraden?
  • Man som klättrar uppför ett berg

    Kräv detta om chefen ringer på semestern

    Äntligen semester. Men vad gör man om chefen ringer? Vad har man rätt att säga nej till och vad måste man göra? Helene Sjöman, förbundsjurist på Sveriges Ingenjörer, svarar.
  • June: News from Ingenjören in English

    June: News from Ingenjören in English

    If your boss calls during your vacation • Engineers of Sweden at Stockholm Pride • Don’t let work hijack your vacation • How to respond when your boss rejects your salary demand • Two engineering roles exempted from government’s new salary rules • Scania orders full office return despite union concerns • Volvo faces criticism in the US – Union: “Risk of misinterpretation”
  • En timme per arbetsdag gör vi annat än jobb

    En timme per arbetsdag gör vi annat än jobb

    En timme per arbetsdag. Så mycket tid ägnar vi åt annat än arbete när vi är på jobbet. Men att kolla mobilen, ringa ett privat samtal eller göra ett kort ärende på arbetstid behöver inte vara fel – det kan tvärtom göra oss mer effektiva.
June: News from Ingenjören in English

June: News from Ingenjören in English

If your boss calls during your vacation • Engineers of Sweden at Stockholm Pride • Don’t let work hijack your vacation • How to respond when your boss rejects your salary demand • Two engineering roles exempted from government’s new salary rules • Scania orders full office return despite union concerns • Volvo faces criticism in the US – Union: “Risk of misinterpretation”
Fler artiklar