Ett hackernätverk lurpassade i månader innan de slog till mot Addtech, teknikhandelskoncernen med ett börsvärde på 20 miljarder, i höstas. Nästan 80 av koncernens 130 bolag slogs ut. ”Det var helt overkligt”, säger vd:n Niklas Stenberg i en stor intervju om angreppet.
(Dagens industri, 10 februari 2020)
En tidig morgon i fjol, mitt under höstlovsfirandet med familjen, fick Addtechs vd Niklas Stenberg kasta sig in till kontoret.
En koordinerad cyberattack hade satts igång mot den börsnoterade teknikhandelkoncernen.
Snart blev bolagets it-support nedringd. Nästan 80 av koncernens 130 bolag och 1 700 anställda var drabbade. När de försökte logga in på sina datorer möttes de av namnet på en skadlig kod, men i övrigt svarta skärmar.
”Väldigt snart förstod vi att det här var en omfattande attack. Känslan var att jag befann mig mitt i en science fiction-film. Det var helt overkligt”, säger Niklas Stenberg.
”Vi hade precis lämnat in en kvartalsrapport och hade medvind affärsmässigt. Men så står man plötsligt där, utelåst, i bara underkläderna, och kikar in genom fönstret.”
Snart ställdes han och bolaget inför ett vägval, när ett meddelande inkom. För att få datan och systemen dekrypterade igen skulle Addtech tvingas betala en lösensumma i kryptovalutan bitcoin.
”Det var ungefär som om det hade skett en kidnappning. Men vi bestämde oss direkt för att varken betala eller föra en dialog”, säger Niklas Stenberg.
I stället släckte man ned de gamla systemen och började bygga en helt ny it-infrastruktur från grunden.
För uppdraget kopplade de in externa experter som de första veckorna arbetade mer eller mindre dygnet runt. Jobbet försvårades av att hackarna hade planterat ”minor” i form av nya virus i datan och att de ringde upp anställda och låtsades komma från it-avdelningen för att på så sätt försöka komma över inloggningsuppgifter.
”De här grupperna är oerhört förslagna”, säger Niklas Stenberg.
För de 80 drabbade bolagen – som bland annat tillverkar tekniska komponenter till industrin – väntade samtidigt en annan utmaning. De skulle ju hålla igång den dagliga verksamheten utan digitala system.
”Pappret blev det nya guldet. I stället för att ha lagersaldon i affärssystemen så inventerade de med penna och papper”, minns Niklas Stenberg.
Den 19 december – alltså drygt en och en halv månad efter attacken – hade alla bolag återigen fungerande it-system.
I dag summerar Addtech den totala negativa ebita-effekten till 150 miljoner kronor. Av det är ungefär hälften direkta kostnader, för bland annat konsulter, medan resten är indirekta kostnader och inkomstbortfall. Det kvartal då attacken ägde rum växte försäljningen trots allt med 12 procent.
”På sikt tror vi att det här kommer att vara en parentes i vår historia. Genom krisen har vi haft en tydlig och gemensam fiende och våra anställda, kunder och leverantörer har slutit upp bakom oss”, säger Niklas Stenberg.
Polisutredningen pågår fortfarande och han vill därför inte kommentera storleken på den lösensumma som begärdes, eller vilka som låg bakom attacken.
”Men det är ett kriminellt och internationellt nätverk som är välkänt i de här kretsarna”, säger han.
Utöver polisen har även Myndigheten för samhällsberedskap varit inkopplad i fallet. Men Niklas Stenberg efterlyser ändå mer stöd från statligt håll.
”Det behövs mer resurser för att hantera den här typen av frågor”, säger han.
Han tror att mörkertalet kring cyberangrepp är stort därför att många företag helt enkelt hellre lägger locket på.
”Men vi känner att frågan är större än bara Addtech. Det vi kan göra för att bromsa cyberbrotten är att vara transparenta och att dela med oss av våra lärdomar”, säger han.
En sådan erfarenhet är att under en cyberattack slås de vanliga kommunikationsvägarna ut. För Addtech blev lösningen att sätta igång omfattande telefonkedjor. Vd:n ringde sin ledningsgrupp som i sin tur kontaktade alla sina nyckelpersoner.
”Det man annars mejlade om fick vi ta över telefon. Så många sms och telefonsamtal som jag hade första veckan, det har jag normalt på ett år”, säger han.
Att just Addtech blev utsatta är mer eller mindre en slump, hävdar vd:n.
”De här nätverken fiskar väldigt brett i flera länder och skickar ut tusentals krokar. När de väl får hugg hos någon, det vill säga hittar ett kryphål innanför skalskyddet, då skjuter de till resurser”, säger han.
I dag bedömer bolaget att hackarna fick fotfäste redan under försommaren genom en mejlbilaga som smittade en enskild arbetsstation. Därefter tillbringade de flera månader med att kartlägga system och avinstallera säkerhetsprogram med hjälp av ett autentiskt användarkonto som kapats.
För Niklas Stenberg understryker det tillvägagångssättet hur viktig den mänskliga faktorn är för ett effektivt cyberförsvar.
”De kriminella nätverken inser att bolagen blir allt bättre på att bygga en säker miljö. Men det går aldrig att helt skydda ett it-system mot mänskliga misstag. Därför måste man lägga mycket tid på att utbilda personalen”, säger han.