Bergsbakgrund med Orbit

TOMRA:s snabba respons banar väg för normalisering efter cyberattack

TOMRA:s CEO Tove Andersen reflekterar över lärdomar och företagets förbättrade säkerhetsåtgärder.  
5 min

Den 16 juli drabbades TOMRA av en omfattande cyberattack som tillfälligt störde den digitala infrastrukturen. Företaget kunde omedelbart isolera berörda system, vilket begränsade attackens påverkan och säkerställde säkerheten för företagets data. Manuella åtgärder har hållit igång verksamheten medan systemen har validerats och återställts. Två månader senare är TOMRA på god väg mot normal drift.

Trots att attacken var omfattande så tyder kriminaltekniska analyser på att de snabba, begränsande åtgärderna avsevärt har minskat de potentiella skadorna. Viktigt är att det inte finns några tecken på läckage av konfidentiella data eller datakryptering och det har inte kommit några krav på att betala någon lösensumma. TOMRA fortsätter att samarbeta med relevanta myndigheter och tillsynsmyndigheter på respektive marknader för att hantera incidenten.

Tove Andersen – TOMRA:s President och CEO – uttrycker sin beundran för den motståndskraft och det engagemang som företagets medarbetare har visat under denna utmanande period. ”Vi har ställts inför en utmaning som saknar motstycke och det har varit enastående att bevittna vårt teams engagemang och vaksamhet när de arbetar för att stödja våra kunder”, säger Tove Andersen.

Under hela perioden har TOMRA fortsatt att tillverka och leverera utrustning och tjänster – vilket har begränsat attackens inverkan på kunderna. De flesta kundtjänster och maskiner har varit i drift trots att de till en början kopplats bort från TOMRA:s domän för att begränsa attacken. Anslutningar till onlinetjänster har återupprättats i takt med att systemen har validerats och återställts eller återuppbyggts med förstärkta säkerhetsåtgärder.

Trots störningar och manuella åtgärder har cyberattacken inte haft någon betydande påverkan på försäljning, service eller produktion. Omdirigeringen av resurser till återhämtningen har lett till vissa förseningar i innovationspipelinen samt kassaflödet på grund av uppskjuten fakturering. Händelsen förväntas inte ha någon väsentlig påverkan på intäkterna men har hittills medfört engångskostnader på 120 miljoner NOK som kommer att redovisas under tredje kvartalet 2023. Kostnaderna avser cyberattackrespons och förbättringar av företagets cybersäkerhet. Merkostnaderna förväntas bokföras under fjärde kvartalet.

Viktiga resultat från den kriminaltekniska rapporten

  • Utredningen bekräftade att hotaktören påbörjade sin rekognoseringsfas den 10 juli och övergick till den operativa fasen den 15 juli. Söndagen den 16 juli – klockan 05:51 CET – upptäckte TOMRA Security Operations misstänkt aktivitet och uppmanade till proaktiva åtgärder för att stänga ner tjänster och koppla från webbplatser för att begränsa attacken.
  • Hotaktören riktade sig specifikt mot TOMRA:s domän och interna system och det fanns inga tecken på att någon TOMRA-kund var måltavla eller komprometterad. Det fanns ingen identifiering av läckt konfidentiell information, kryptering av data eller några krav på betalning av lösensumma.
  • Hotaktören använde eskalerade behörigheter och utnyttjade Windows inbyggda verktyg för att navigera lateralt och utföra skadliga åtgärder på målsystemen. Detta inkluderade upprättandet av bakdörrar och lösenordsändringar. Undersökningen avslöjade tekniska indikatorer på verktyg som används av hotaktören och belyser deras tekniker för att utnyttja TOMRA:s system.
  • Noterbara verktyg och metoder som användes av hotaktören inkluderade inbyggd Windows-funktionalitet, skadliga PowerShell-laster och skadliga binärfiler, vilket möjliggör etablering av kommando- och kontrollkanaler. Skadlig aktivitet identifierades inom olika områden, inklusive lokala Windows- och VMware-miljöer samt plattformen Azure.

Cyberattacker är ett allvarligt hot mot digitaliserade samhällen och företag och jag är tacksam över att vi kunde stoppa attacken innan det inträffade någon allvarlig skada. Det var en ögonöppnande upplevelse och än idag har vi många kollegor som arbetar med konsekvenserna av attacken.

Tove Andersen, TOMRA President och CEO
Tove Andersen TOMRA President och CEO

Återuppbyggande

Cyberattacken som TOMRA har upplevt har krävt en noggrann ombyggnad av hela IT-infrastrukturen inom hela den globala organisationen. Det har inneburit att vi byggt om våra kärndatacenter, granskat mer än fem tusen användarkonton och omarbetat och återupprättat underliggande IT- och nätverksinfrastruktur. Vi har dessutom säkerställt att alla IT-enheter som används inte har äventyrats samt ökat säkerhetsåtgärderna kring våra tillgångar.

”Vi har vidtagit åtgärder för att implementera en av de modernaste och säkraste cybersäkerhetsarkitekturerna – en så kallad Zero Trust-arkitektur – för att förhindra framtida störningar och för att skydda oss själva, våra kunder, partners och leverantörer. Jag vill uttrycka mitt uppriktiga tack till alla våra stödjande och förtroendefulla intressenter under dessa utmanande tider”, säger Andersen.

”På TOMRA strävar vi efter att samarbeta med relevanta parter och dela med oss av insikterna som vi har fått från vår erfarenhet. Vårt fokus på transparens och kunskapsdelning stärker vårt försvar mot framtida hot och främjar ett mer motståndskraftigt digitalt landskap för alla”, avslutar Andersen.

Lärdomar och genomförda förändringar

Cyberattacken mot TOMRA fungerar som en kraftfull påminnelse om de kritiska lärdomar som både TOMRA som organisation och andra måste beakta när cyberhoten utvecklas. Snabb och proaktiv vaksamhet, kombinerat med tidig upptäckt och begränsning visade sig vara de viktigaste strategierna för att minska potentiella skador. Denna incident fick TOMRA att prioritera förbättringen av sin cybermotståndskraft och accelerera investeringar i infrastruktursäkerhet.

Dessutom tror vi att det finns flera värdefulla lärdomar som kan vara till nytta för andra i liknande situationer. Medarbetarmedvetenhet spelar en avgörande roll och gjorde det för TOMRA i det här fallet. Att ge omfattande utbildning och betona vikten av vaksamhet är viktiga komponenter. Det är dessutom viktigt att ha genomtänkta återställnings- och backupplaner på plats – tillsammans med utbildning i att arbeta utan system eller använda alternativa kommunikationsmetoder.

Att definiera ditt ”minsta livskraftiga företag” och prioritera kritiska applikationer ger en tydlig utgångspunkt för återhämtningsinsatser. Att etablera en definierad struktur och procedur för incidentåterställning är avgörande – eftersom incidenter ofta kan pågå längre än förväntat. Det kan vara ovärderligt att lära av andras erfarenheter och söka stöd från personer med relevant expertis.

Regelbunden och transparent kommunikation med intressenter samt tidig planering för att återfå förtroendet är viktiga aspekter för att på ett framgångsrikt sätt hantera sådana incidenter. Dessutom har TOMRA samlat på sig en mängd tekniska insikter om design och installation som vi gärna delar med oss av till andra inom cybersäkerhetsbranschen.

Under hela denna incident bidrog TOMRA:s interaktion med kunderna och samarbetet med myndigheter samt externa experter till att hantera situationen på ett framgångsrikt sätt. Vi tror att lärdomarna från denna erfarenhet ger värdefull och viktig vägledning för företag över hela världen när de navigerar i det ständigt föränderliga cybersäkerhetslandskapet.

”När jag reflekterar över de senaste två månaderna är jag tacksam över att vi har hållit fast vid den strävan som uppstod i början av denna utmanande situation: att komma igenom som ett starkare företag – beslutsamma i vår mission att skapa en mer hållbar värld. Tack vare vårt engagerade team har vi stärkt vårt företag och gjort det starkare än någonsin”, avslutar Tove Andersen.

Detta är den sista specifika uppdateringen från TOMRA rörande cyberattacken. Om du har några frågor, hör av dig med ett e-postmeddelande till TOMRA på [email protected].