CYBERATTACKERNA

Experter: Därför är Coop-attacken bara början

Bild: Mostphotos, Ali Lorestani/TT

It-attacken mot Coop och flera företag förra sommaren slog ut betalsystemet i hundratals butiker och skapade panik. ”Det var vårt företags Tjernobyl-scenario”, säger it-experten Fabian Mogren som hamnade mitt i händelsernas centrum. Nu varnar experter för att attacker mot det svenska samhället lär bli fler, inte färre.

Publicerad:
Uppdaterad:

Fredagen den andra juli förra året var en het sommardag. Prognoserna visade att värmeböljan skulle hålla i sig ett bra tag till, Italien slog ut Belgien i herrarnas fotbolls-EM och många svenskar förberedde sig för semester. En av dessa var Fabian Mogren, vd på Visma EssCom, som jobbade sin sista dag innan ledigheten. Visma EssCom tillhandahåller driftstjänster för it-miljöer som är verksamhetskritiska eller intäktskritiska. Det kan handla om kassor i butiker, men också om it som sitter inskruvad i fordon som exempelvis biljettsystem i en buss.

Under fredagsförmiddagen hade Fabian Mogren tömt inboxen på sin jobbmail och kryssat av allt på att-göra-listan.

– Kollegorna sa ”åk hem, du behöver inte sitta här”. Så jag åkte iväg och paddlade och lagade sedan en god middag till familjen. När barnen hade somnat och jag och hustrun satt kvar i soffan med ett glas vin, ringde jobbet. Det hade skett en svårtolkad incident hos en av kunderna. Den typen av händelser sker ibland så jag sa att jag fanns till hands om de behövde hjälp och tänkte att det var bra med det, säger han.

En stängd Coop butik i Stockholm lördagen den tredje juli förra året. Bild: Lisa Abrahamsson/TT

Snabbt kom det in fler och fler larm. Flera av Visma EssComs kunder hade utsatts för attacken, men värst drabbat verkade kunden Coop, med 800 butiker, vara.

– För att kunna sköta uppdateringar, patchning och se till att hårdvaran mår bra, använder vi ett förvaltningsverktyg som heter Kaseya. Det är ett stort och robust system som används globalt. Nu i efterhand vet vi att det var en rysk hackergrupp som inför USA:s nationaldag den fjärde juli lyckades hacka Kaseya.

Den största attacken – hittills

Även om attacken inte var riktad direkt mot Coop eller Visma EssCom direkt drabbades båda två.

– Kaseya hade haft svagheter i systemet som inte hade åtgärdats och det hade hackarna utnyttjat. Det var den största malware-attacken som vi känner till, säger Fabian Mogren.

Fabian Mogren, vd på Visma EssCom

Under kvällen började medier rapportera om att det inte gick att betala med kort i flera Coop-butiker över hela landet.

– Konsekvensen för Coop blev att flertalet av butikerna stängdes efter att kassasystemen stängdes ner. Vissa av våra butiker kunde kringgå problemet genom Coops mobila betallösning, Scan & Pay som inte påverkades av attacken, säger Kristofer Öhman, CTO, Coop Sverige.

Han fortsätter:

– Ett av spåren för att hantera attacken var att på mycket kort tid skala upp och rulla ut Scan & Pay till ett flertal av våra butiker som inte hade erbjudit tjänsten tidigare. Det andra spåret var att snabbt få igång de kassasystem som hade påverkats av attacken. Kombinationen av båda lösningarna gjorde att vi mycket snabbt kunde öppna upp våra butiker för medlemmar och kunder.

”Det som skedde förra sommaren var vårt företags Tjernobyl-scenario”

För Fabian Mogren och alla anställda på Visma EssCom fick den annalkande semestern skjutas fram. Lördagsmorgonen gick åt till att hantera media, Polisen och panikslagna kunder som ville ha avstämningsmöte varje timme. Frågorna var många, men en ställdes oftare än alla andra: hur får vi igång alla maskiner igen?

– Vi insåg snabbt att kassorna inte gick att fjärrstyra. Då fick vi skicka ut tekniker till alla platser, sammanlagt var det 3 000 lokaliseringar. Förutom våra egna tekniker fick vi snabbutbilda vår övriga personal, bussa tekniker från vårt systerbolag i Norge och dammsuga marknaden efter allt som gick att få tag på. Tekniker instruerades att fixa två kassor per butik och sen åka vidare, berättar han.

Sex dygn efter attacken gick det att handla i alla butiker igen, men inte i alla kassor. Teknikerna fick bege sig ut en vända till för att fixa alla kassor, kösystem och skrivare. Ytterligare sex veckor senare var alla butiker helt återställda.

– Det som skedde förra sommaren var vårt företags Tjernobyl-scenario, säger Fabian Mogren.

Jonas Milton, utredare på MSB Bild: FREDRIK KARLSSON

Men, varnar han, attacken ifjol var antagligen bara början på vad som väntar stora delar av det svenska samhället framöver, inte minst efter den ryska invasionen av Ukraina och det nya säkerhetsläge som nu är vår verklighet.

It-säkerhetsexperten David Jacoby var inne på samma spår i samband med attacken.

– Nu visar det sig att Coop inte kan ta betalt av sina kunder men det skulle lika gärna kunna vara allvarligare tjänster, exempelvis betaltjänster hos apotek eller bensinstationer, sa han till SVT.

”Bra att företagare känner oro”

Det oroliga säkerhetspolitiska läget har gjort att hot mot företag och skräckscenarier hamnar högt upp på agendan hos många svenska näringsidkare. Men Myndigheten för Samhällsskydd och Beredskap, MSB, har under en längre tid arbetat med frågan tillsammans med andra myndigheter.

– Även om det som sker i vår omvärld är djupt tragiskt, så är det bra att man som företagare känner en oro. Det innebär att man har en medvetenhet om att det finns saker därute som kan påverka ens verksamhet. Det kan handla om ett avbrott i uppkopplingen, ett elavbrott, en leveranskedja som dör ut, eller olika typer av påverkan som kan drabba verksamheten, säger Jonas Milton, utredare på MSB:s avdelning för krisberedskap och civilt försvar.

Viktigast: Att förstå sin verksamhet

Nyligen meddelade regeringen att 60 statliga myndigheter ska bli beredskapsmyndigheter med ett särskilt fokus på civil beredskap, vilket innebär att förebygga sårbarheter och hantera krissituationer, i vardagen såväl som i krig. Dessutom delas Sverige in i tio beredskapssektorer, som innefattar stora delar av den samhällsviktiga verksamhet som bedrivs i Sverige.

– Det handlar om att förtydliga rollerna i samhället inom ett antal sektorer, som olika tårtbitar där varje bit innehåller myndigheter, företag, intresseorganisationer och liknande. Om man är ett livsmedelsföretag hamnar man i en tårtbit, ett energiföretag i en annan, finansiella tjänster i en tredje och så vidare, säger Jonas Milton.

Han fortsätter:

– Viktigast är att förstå sin verksamhet och var man är i leveranskedjan. Ofta är man ju mitt i en kedja. Är verksamheten eller delar av den samhällsviktig? Om ja, bör du även analysera om du bedriver säkerhetskänslig verksamhet och i så båda fallen föra dialog med ansvarig myndighet inom den sektor du tillhör.

En god omställningsförmåga och insikten att man som enskilt företag inte kan lösa problem på egen hand är fundamentalt framöver.

– När Coops system slogs ut förra sommaren samarbetade man med ICA, som köpte vissa varor från Coop för att sälja. Liknande samverkan kan behöva ske i många andra branscher. Man måste kunna kroka arm med konkurrenter och ställa om fort. I pandemin kunde många företag ställa om och tillverka helt andra saker för att bistå samhället samtidigt som man tjänade pengar, säger han.

Norden väl rustat för kriser

2019 inleddes projektet ”Kritiska flöden och försörjningskedjor under hot i förändring” där en rad forskare från Lunds Tekniska Högskola, Umeå universitet och Totalförsvarets forskningsinstitut deltar. Forskargruppen utgår från frågan ”vilka metoder och strategier som stärker samhällets resiliens under normala eller mer extrema hotbilder” och fokuserar främst på energiförsörjning, livsmedel, transporter, hälso- och sjukvård, omsorg, information och kommunikation.

Niklas Eklund, professor i statsvetenskap Bild: Mattias Pettersson

Projektet beräknas pågå till 2024 och slutsatserna är därmed inte presenterade. Men Niklas Eklund, professor i statsvetenskap vid Umeå universitet och den som leder projektet, menar att Norden är relativt väl rustat mot yttre hot.

– Norden i allmänhet och Sverige och Finland i synnerhet har utvecklat totalförsvarskonceptet där drivkraften är att ta hänsyn till hela samhället. Vi har byggt upp en modell där vi kopplar det statliga försvarstänkandet till hela samhällslivet samtidigt. I Sverige och Norden krävs inte att en minister pekar med hela handen, utan det finns ett driv underifrån från både det privata och det offentliga. Jag uppfattar det sättet att tänka som en styrka, säger Niklas Eklund.

”Det handlar lite om att bita ihop ekonomiskt och hålla ut”

Även om mardrömsscenarierna uteblir framöver är nya tider att vänta, betonar han.

– För företagare som oroar sig för sina investeringar tyder mycket på att vi går mot en ekonomi som mer påminner om hur det såg ut förr i tiden än de senaste 20-30 åren. I västvärlden har det på senare år handlat om att få loss pengar, men nu kommer man att bygga in pengar i verksamheter.

– Prisnivåer och konsumtionsmönster kommer att ändras. Det handlar lite om att bita ihop ekonomiskt och hålla ut. Konjunkturer går upp och ner, precis som räntepolitik. Och vi har krig i Europa, det går inte att bortse ifrån, säger han.

Ett år efter attacken – mycket arbete återstår

Efter den massiva attacken förra sommaren fick till slut Fabian Mogren sin efterlängtade semester. Men trots att inget företag kan tillåta sig själv att ta semester mot it-attacker, finns det alltjämt en utbredd naivitet, resonerar han.

– Ett år efter attacken är det fortfarande många som inte tar det på det allvar som det förtjänar. Det är precis som när de tre små grisarna bygger hus i sagan. Det spelar ingen roll om man installerar ett avancerat larmsystem om hyddan är gjord av gräs. Man måste förstå att man kan drabbas oavsett hur gott intrångsskydd man har och ha koll på om personalen är utbildad, vem man ska ringa och vilka system man behöver ha fall back på.

Bild: Ali Lorestani/TT

Coop var redan från början tydliga och transparenta med att de var en del av en global cyberattack.

– It-attacken var svår att både förutsäga och förhindra, vilket gör det svårare att vara självkritisk. Men det är klart att vi dragit många lärdomar av händelsen och vad vi kan göra bättre. Dessa lärdomar håller vi på att implementera genom vårt säkerhets- och arkitekturarbete, säger Kristofer Öhman, CTO, Coop Sverige, och betonar att de samhällsfunktioner som har ansvar också behöver reflektera över det här och jobba tillsammans med företagen för att få bästa effekt.

Fabian Mogrens slutsats inför framtiden är tydlig: alla bör oroa sig.

– Detta är inte en storföretags- eller småföretagsfråga, det är en samhällsfråga. Konsekvenserna när en arbetsgivare riskerar att gå omkull är att arbetstillfällen riskeras. Det märkte vi hos oss förra sommaren när en medarbetare frågade mig: ”Fabian, tror du att vi finns kvar om en månad?”. Och då jobbar vi ändå med det här och ger kunder råd om hur man ska arbeta med säkerhet.

Jakob Stenberg
Publicerad:
Uppdaterad: