Når Michael Andersen som chief operating officer i psychological operation og forensic psychology hos Eagle Shark ikke mailer med hackere om løsesummer og dekryptering, giver han interview og holder foredrag i hele landet.
Han har nemlig noget på hjerte. Selvfølgelig skal man tænke sig godt om, før man går ud og siger noget, understreger han.
Særligt under et angreb, hvor alt, hvad man siger, kan blive brugt imod en. Men åbenhed ér vigtig.
– Vi skal have aftabuiseret det her. Det er dumt at påstå, at man ikke forhandler med kriminelle og ikke vil give dem penge. Vi skal altid forhandle. Forhandlingen er det centrale. Rigtig mange virksomheder kan ikke tåle at lade være. Og frem for alt samler vi efterretninger op, når vi forhandler, siger han.
Denne artikel er en del af et tema, der handler om at dele viden under hackerangreb:
Tal om det
Forhandleren
Sæt spot på ulykken
Michael Andersen mener, at det går alt for langsomt, når det handler om at hjælpe de virksomheder, der bliver ramt.
– Center for Cybersikkerhed gør kun noget, hvis kritisk infrastruktur bliver angrebet. Men den lille frisør Ida eller Pouls VVS er overladt til sig selv. Hvis de anmelder en hændelse, går der 8-12 måneder, før en betjent når frem til at konstatere, at der ikke er nogen spor at sikre. Der ligger i tusindvis af anmeldelser hos politiet, siger han.
I håbet om at styrke videndelingen bruger Michael Andersen en stor del af sin tid på at tale om, hvad virksomheder kan gøre for at forberede sig bedst muligt på et angreb, og hvordan de reagerer klogt og køligt, når det sker.
Som sikkerhedsforhandler taler han om begreber som cyber risk assessment, pentest, beredskabsplaner, etisk positionering, IR-team, stresstest-beredskab og awareness-træning. Men ledelsesfilosoffen i ham har en forkærlighed for begrebet sofrosyne, som kan oversættes til mådehold eller besindighed. Og her er vi inde ved det, Michael Andersen ser som det helt store perspektiv i denne sammenhæng:
– Vi lever i en tid, hvor alting skal gå hurtigere og blive mere effektivt for hver dag, der går. Men jo mere jeg stresser dig, desto mere kommer du til at trykke på det, du ikke skal trykke på. Der er behov for eftertænksomhed og besindighed, så vi bliver bedre i mødet med det unormale.
Vi skal stoppe udskamningen af dem, der forhandler, og dem, der betaler. Og når et hackerangreb er overstået, skal vi selvfølgelig dele vores erfaringer
Som et aktuelt eksempel på åbenhed nævner han det lille fynske landmålerfirma LIFA, der i marts blev udsat for et angreb fra den russiske hackervirksomhed Conti. LIFAs direktør, Thomas Boding, gik i pressen og fortalte, at det formentlig handlede om at få adgang til kritisk infrastruktur, da landmålerfirmaet har kunder i forsyningssektoren. ”Jeg tror, vi er de første af mange, der vil blive ramt. Det kan man frygte”, sagde Thomas Boding til TV 2.
Michael Andersen sammenligner tabuet om hackerangreb med vores holdning til kønssygdomme. Vi vil ikke røre ved det, fordi vi tror, det smitter:
– Vi har et kæmpe problem i branchen. Mange går ud og markedsfører sig på, at de ikke taler med banditterne. Men det gør de alligevel. Vi skal stoppe udskamningen af dem, der forhandler, og dem, der betaler. Og når et hackerangreb er overstået, skal vi selvfølgelig dele vores erfaringer.
Da sikkerhedsforhandler Michael Andersen fra Eagle Shark forhandlede løsesum med en hackergruppe sidste sommer, var prisen kun en lille del af hans fokus. Målet var i langt højere grad at samle efterretninger.
9. juni klokken 10.31
Alarmen går hos it-sikkerheds-firmaet Eagle Shark i det centrale København. Hotelbookingplatformen AK Techotel er blevet offer for et ransomware-angreb, som har lammet dele af hotelbranchen i Danmark.
10.40
Eagle Sharks tekniker får adgang til filen og konstaterer, at det er en Dharma RaaS. Michael Andersen opretter en protonmail og udarbejder en offerprofil på AK Techotel. Helt usædvanligt vælger AK Techotel at live-blogge om situation på deres supportside.
12.19
Michael Andersen indleder dialogen med gidseltagerne. Hans kolleger går i gang med at monitorere, hvad der foregår på internettet, som kunne have relevans. Michael Andersen bruger selvfølgelig samtalen til at tage stilling til gidseltagernes konkrete udmeldinger og formidle dem videre til sin kunde. Men parallelt med dette sammenstykker han en gerningsprofil ved at tolke på den tid, det tager dem at svare, og nuancerne i svarene. Hvor højt oppe i hierarkiet sidder den person, han taler med? Er angrebet startet af den organisation, han er i kontakt med, eller er det købt af en anden angriber? Og så fremdeles.
12.22
Michael Andersen får sit første svar. Efter en del dialog frem og tilbage — en trussel om, at filer bliver slettet hver 24. time — får Michael Andersen proof of life: Gidseltagerne dekrypterer to vigtige filer, som viser, at de har de afgørende nøgler.
18.03
Michael Andersens kontakt giver ham de to filer tilbage og sender ham tilbuddet på, hvad en række ydelser — blandt andet rådgivning efter behov, sletning af alle filer fra deres servere, fortrolighed — skal koste.
19.00
Michael Andersen takker for modtagelsen af filerne og meddeler, at han vil drøfte udspillet med direktøren klokken 19.30. Han skriver også, at den pris, gidseltageren har angivet, er sindssyg høj for en virksomhed i en Covid-ramt branche. Der kommer ingen svar på dette.
21.22
Michael Andersen meddeler gidseltageren, at prisen kan lukke forretningen, og at hackeren er nødt til at komme med en anden pris og i øvrigt er nødt til at bekræfte, at ingen filer bliver slettet den aften.
22.06
Gidseltageren garanterer, at ingen filer bliver slettet, og kommer med en ny pris.
23.06
Michael Andersen afviser prisen, som stadig er alt for høj.
10. juni klokken 7.40
Michael Andersen skriver, at banken ikke kan hjælpe dem, og tilbyder et bitcoin-beløb, som ligger et godt stykke under gidseltagerens udspil.
9.47
Gidseltageren afslører, at han formentlig har købt angrebet, ved at skrive, at han har haft en omkostning, som han skal have dækket. Derefter går dialogen frem og tilbage.
14.05
Gidseltageren skriver en pris og meddeler, at man får en uge til at finde pengene, og at det nuværende beløb bliver pålagt renter.
15.06
Michael Andersen skriver, at det er muligt, han kan finde nogle penge på investorsiden. Han beder også om at få at vide, om backup er slettet, og hvor hurtigt filerne kan dekrypteres. Til sidst skriver han et beløb, som er -lavere end hackerens sidste udspil, og beder om info på gidseltagerens wallet. Imens arbejder hans efterretningskollegaer på højtryk for at skaffe viden om, hvad der foregår.
16.29
Efter lidt mere frem og tilbage skriver Michael Andersen, at han har skaffet bitcoin-summen. Et beløb, som er lidt mindre end det, der sidst er blevet drøftet.
17.16
Gidseltageren sender decoderen.
I dagene efter skriver Michael Andersen og gidseltageren videre om forskellige tekniske og praktiske spørgsmål. 14 dage senere er AK Techotel og deres kunder tilbage i loopet. Gennemsnitstiden for at komme ovenpå igen efter et hackerangreb er ifølge Michael Andersen 281 dage. Hvor mange af sagerne der ender med betaling, ved man ikke.
DU MÅ ALDRIG STÅ ALENE
Hvis du kommer i berøring med cyberkriminelle handlinger via dit arbejde, skal du selvfølgelig reagere. Men gå ikke ud og tal offentligt om det uden godkendelse fra din ledelse.
DEL VIDEN I FORTROLIGE FORA
Bliv endelig ved med at diskutere, reflektere og bytte erfaringer med kolleger og fagfæller.
BÆR JERES VIDEN VIDERE
Gå efter mønstrene i det, I oplever, og bær erfaringer videre til de relevante myndigheder i anonymiseret form.
Kilde: Ole Tange, it-politisk rådgiver, PROSA