TOMRAs hurtige reaktion baner vejen for normalisering efter cyberangreb
Den 16. juli blev TOMRA udsat for et omfattende cyberangreb, der midlertidigt forstyrrede den digitale infrastruktur. Virksomheden isolerede straks de berørte systemer, hvilket begrænsede angrebets indvirkning og sikrede sikkerheden af virksomhedens data. Manuelle løsninger har holdt virksomheden i drift, mens systemerne er blevet valideret og genoprettet. To måneder senere er TOMRA godt på vej mod normal drift.
Selvom angrebet var omfattende, tyder kriminaltekniske analyser på, at de hurtige inddæmningsforanstaltninger begrænsede den potentielle skade betydeligt. Vigtigt er det, at der ikke er tegn på lækage af fortrolige data eller datakryptering, og at der ikke blev krævet løsepenge. TOMRA fortsætter med at samarbejde med relevante myndigheder og tilsynsmyndigheder på sine markeder for at håndtere hændelsen.
TOMRAs President og CEO, Tove Andersen, udtrykker sin beundring for den ukuelighed og dedikation, som virksomhedens medarbejdere har udvist gennem denne udfordrende periode. "Vi har stået over for en hidtil uset udfordring, og det har været bemærkelsesværdigt at se det engagement og den årvågenhed, som vores team udviser, når de arbejder for at hjælpe vores kunder," siger Tove Andersen.
I hele perioden har TOMRA fortsat produceret og leveret udstyr og serviceydelser, hvilket begrænser angrebets indvirkning på kunderne. De fleste kundeservicefunktioner og maskiner er fortsat i drift, selvom de i første omgang blev frakoblet TOMRAs domæne for at inddæmme angrebet. Forbindelser til onlinetjenester er genetableret, idet systemer er blevet valideret og genoprettet eller genopbygget med skærpede sikkerhedsforanstaltninger.
På trods af afbrydelser og manuelle løsninger har cyberangrebet ikke haft nogen væsentlig indvirkning på salg, service eller produktion. Afledning af ressourcer til genopretningen har resulteret i nogle forsinkelser i innovationspipelinen samt forværret cashflowet på grund af udskudt fakturering. Hændelsen forventes ikke at have væsentlig indvirkning på omsætningen, men der er hidtil påløbet engangsomkostninger på 120 mio. kr., som vil blive indregnet i 3. kvartal 2023. Omkostningerne vedrører cyberangrebsresponsen og forbedringer af virksomhedens cybersikkerhed. Der forventes at blive bogført meromkostninger i 4. kvartal.
Vigtige resultater fra den kriminaltekniske rapport
- Undersøgelsen bekræftede, at trusselsaktøren påbegyndte sin rekognosceringsfase den 10. juli og gik over til den operationelle fase den 15. juli. Søndag den 16. juli kl. 05:51 CET registrerede TOMRA Security Operations mistænkelig aktivitet og anmodede om proaktive foranstaltninger til at lukke tjenester og afbryde websteder for at inddæmme angrebet.
- Trusselsaktøren gik specifikt efter TOMRA-domænet og de interne systemer, uden at der var tegn på, at nogen TOMRA-kunder var målet eller blev kompromitteret. Der var ingen identifikation af lækkede fortrolige oplysninger, kryptering af data eller krav om løsepenge.
- Trusselsaktøren brugte eskalerede rettigheder og udnyttede Windows’ indbyggede værktøjer til at navigere lateralt og udføre ondsindede handlinger på målsystemer. Dette omfattede oprettelse af bagdøre og ændringer af adgangskoder. Undersøgelsen afslørede tekniske indikatorer for værktøjer, som trusselsaktøren brugte, og kastede lys over deres teknikker til at udnytte TOMRAs systemer.
- Bemærkelsesværdige værktøjer og metoder, der blev brugt af trusselsaktøren, omfattede indbygget Windows-funktionalitet, ondsindede PowerShell-payloads og ondsindede binære filer, der gjorde det muligt at etablere kommando- og kontrolkanaler. Der blev identificeret ondsindede aktiviteter på forskellige områder, herunder lokale Windows- og VMware-miljøer samt Azure-platformen.
Cyberangreb er en alvorlig trussel mod digitaliserede samfund og virksomheder, og jeg er taknemmelig for, at vi var i stand til at stoppe angrebet, før der skete alvorlig skade. Det var dog en øjenåbnende og ydmygende oplevelse, og stadig i dag har vi mange kolleger, der håndterer konsekvenserne af angrebet.
Genopbygning
Det cyberangreb, TOMRA har oplevet, har krævet en omhyggelig genopbygning af hele IT-infrastrukturen på tværs af den globale organisation. Det har bl.a. omfattet ombygning af vores kernedatacentre, gennemgang af mere end fem tusinde brugerkonti samt omarbejdelse og genetablering af den underliggende IT- og netværksinfrastruktur. Derudover har vi sikret, at alle IT-enheder i brug ikke er kompromitteret, samt øget sikkerhedsforanstaltninger omkring vores aktiver.
"Vi har truffet foranstaltninger til at implementere en af de mest moderne og sikre cybersikkerhedsarkitekturer – en såkaldt Zero Trust-arkitektur – for at forhindre fremtidige afbrydelser og for at beskytte os selv, vores kunder, partnere og leverandører. Jeg vil gerne udtrykke min oprigtige taknemmelighed over for alle vores interessenter, der har støttet os og vist os tillid i disse udfordrende tider," siger Tove Andersen.
Hos TOMRA samarbejder vi med relevante parter og deler indsigter, der er opnået gennem vores erfaring. Vores fokus på gennemsigtighed og vidensdeling styrker vores forsvar mod fremtidige trusler og fremmer et mere modstandsdygtigt digitalt landskab for alle," slutter Tove Andersen.
Erfaringer og ændringer
Cyberangrebet på TOMRA tjener som en stærk påmindelse om de alvorlige erfaringer, som både TOMRA-organisationen og andre skal holde øje med i lyset af nye cybertrusler. Hurtig og proaktiv overvågning kombineret med tidlig registrering og inddæmning viste sig at være de vigtigste strategier til at afbøde potentielle skader. Denne hændelse fik TOMRA til at prioritere forbedringen af virksomhedens cyberresiliens og fremskynde investeringerne i infrastruktursikkerhed.
Derudover mener vi, at der er flere værdifulde erfaringer, som kan gavne andre i lignende situationer. Medarbejderbevidsthed spiller en afgørende rolle, og det gjorde det også for TOMRA i dette tilfælde. At give omfattende uddannelse og understrege vigtigheden af årvågenhed er vigtige komponenter. Derudover er det afgørende at have gennemtænkte genoprettelses- og backupplaner på plads sammen med uddannelse i drift uden systemer eller brug af alternative kommunikationsmetoder.
At definere den minimale levedygtige virksomhed og prioritere kritiske applikationer giver et klart udgangspunkt for genopretningsindsatsen. Etablering af en defineret struktur og procedure for gendannelse efter hændelser er afgørende, da hændelser ofte kan vare længere end oprindeligt forventet. At lære af andres erfaringer og søge støtte fra personer med relevant ekspertise kan være uvurderligt.
Regelmæssig og gennemsigtig kommunikation med interessenter samt tidlig planlægning for at genvinde tilliden er afgørende for at kunne håndtere sådanne hændelser med succes. Derudover har TOMRA samlet et væld af teknisk viden om design og opsætning, som vi gerne vil dele med andre i cybersikkerhedsfællesskabet.
Gennem hele hændelsen bidrog TOMRAs interaktion med sine kunder og samarbejde med myndigheder samt eksterne eksperter til en vellykket håndtering af situationen. Vi mener, at erfaringerne fra denne oplevelse giver værdifuld vejledning til virksomheder over hele verden, når de navigerer i det konstant foranderlige cybersikkerhedslandskab.
"Når jeg reflekterer over de seneste to måneder, er jeg taknemmelig for at anerkende, at vi har fastholdt det engagement, vi påtog os i begyndelsen af denne udfordrende situation: at blive en stærkere virksomhed, der er fast besluttet på vores mission om at skabe en mere bæredygtig verden. Takket være vores engagerede team har vi styrket vores virksomhed, så den står stærkere end nogensinde før," slutter Andersen.
Dette er den sidste opdatering fra TOMRA om cyberangrebet, men hvis du har spørgsmål, bedes du sende en e-mail til TOMRA på [email protected].