På innsiden av et dataangrep

– Jeg tenker at sommeren 2023 virkelig går inn i historiebøkene for Tomra.

Det sier Eva Sagemo, økonomidirektør i det norske pante- og sorteringsselskapet.

Med sine 82.000 pantemaskiner globalt er Tomra et av selskapene fra Norge med størst fotavtrykk i verden.

Søndag 16. juli er en dag Sagemo aldri vil glemme.

To dager før hadde Tomra levert kvartalsrapport og de ansatte tok steget ut i en velfortjent sommerferie.

Selv dro Sagemo til Italia, der hun skulle på rundreise sammen med barna sine.

Det skulle vise seg å bli en veldig kort tur.

– Jeg landet lørdag kveld og hadde så vidt åpnet øynene søndag morgen, da telefonen ringte.

Det var IT-avdelingen. De hadde oppdaget merkelig aktivitet i Tomras datasystemer og mistenkte at selskapet var utsatt for et dataangrep.

– De sa de ikke var helt sikre, men jeg fikk en umiddelbar følelse av at noe var veldig galt, sier Sagemo.

Den unormale aktiviteten pekte mot Montreal i Canada. Resten av ledelsen ble koblet på og IT-avdelingen jobbet på spreng for å kartlegge hva som foregikk.

Selskapet forteller nå for første gang hvordan det var å bli utsatt for et dataangrep.

– Jeg har aldri vært utsatt for en sånn krise før og det er mange andre i Tomra som heller ikke har det, sier Sagemo.

Dataangrepet har kostet selskapet 200 millioner kroner, forteller Sagemo. Det er 80 millioner høyere enn selskapet tidligere har gått ut med.

Sagemo håper andre kan lære av deres historie.

Den store kriseknappen

For Tomra var dataangrepet en krise.

– Mange tenker at et dataangrep først og fremst er en IT-krise. Men hele selskapet er jo under angrep, sier Sagemo.

Søndag ettermiddag trodde de at de hadde kontroll. Sagemo, som hadde fulgt prosessen digitalt fra hotellrommet i Italia, pustet lettet ut.

Men det gikk ikke lang tid før hun fikk en ny telefon.

– Det var fullt kaos, aktiviteten hadde eksplodert.

Sagemo, i samråd med resten av ledelsen, bestemte seg for å trykke på den store kriseknappen.

– Det vil si at vi tok ned store deler av driftsmiljøet og kjørte i offline-modus, forklarer Sagemo.

All den viktigste infrastrukturen ble koblet fra, blant annet datasentre og servere. 65 prosent av Tomras over 82.000 panteautomater globalt gikk også ned.

Flere ansatte ble sendt på hjemmekontor.

– Det var dramatisk fordi vi ikke visste hva som skjedde i systemene internt da vi la det dødt. Vi visste heller ikke hva som ville skje når vi faktisk startet det opp igjen, sier Sagemo.

De fleste av pantemaskinene Tomra fortsatte å fungere, men på et tidspunkt ville alle stanse helt opp. De eldste med minst lagringsminne ville stanse først.

– Vi trykker penger hver dag, hvert sekund, globalt i pantemaskinene våre. Da kan vi ikke risikere at noe går galt, sier Sagemo.

Om Tomras 82.000 pantemaskiner ble satt ut av drift, ville selskapet få en kraftig ripe i omdømmet sitt.

– Det var en kamp mot klokken.

Avbrøt ferien

Sagemo måtte brått avbryte ferien i Italia og reise hjem for å bli kriseleder.

– Det var bare å brette opp ermene og forholde seg til at vi stod midt i et omfattende dataangrep, sier Sagemo.

Hun dro rett fra Gardermoen, med koffert i hånden og høy puls bankende i brystet, til Tomras hovedkontor i Asker.

Her var den ene fløyen allerede transformert til krisesenter.

– På døra hang et stort skilt hvor det bare stod «incident» og ingen andre enn oss som jobbet med det, fikk komme inn.

Fordelt på fire møterom koordinerte Tomra arbeidet med å få oversikt og kontroll på dataangrepet. Selskapet hentet inn Deloitte og Defendable til å hjelpe dem. På det meste bidro over 200 ansatte og konsulenter, ifølge Sagemo.

Mellom møterommene beveget de seg med rask gange, høye skuldre og stive smil.

– I den første perioden var usikkerheten og redselen for det ukjente det aller verste.

Å få oversikt etter et dataangrep tar ofte lang tid. For Tomra tok det to uker fra de oppdaget den mistenkelige aktiviteten til de opplevde å ha oversikt over situasjonen.

Økonomisk motiv

Kriminelle har de siste årene begått spektakulære dataangrep mot norske selskaper.

I 2019 stod Hydro i samme situasjon og for to år siden publiserte hackere bedriftsinterne dokumenter fra Choice Hotels.

De kriminelle forsøker ofte å presse selskaper for penger ved å stenge ned IT-systemer og true å med å publisere sensitiv informasjon.

– Det verste som kunne skjedd for Tomra er at data faktisk ble tatt ut av systemene våre. For eksempel sensitiv data om medarbeidere eller kunder, sier Sagemo.

– Vi er heldig som unngikk det.

Bjørn Jonassen leder cybersikkerhetsavdelingen til Deloitte. Han påpeker at det som regel er to ulike motivasjoner bak dataangrep: Økonomisk og politisk.

I tilfellet med Tomra, var angrepet trolig økonomisk motivert.

– Vi vet ikke sikkert hva som var intensjonen bak angrepet, for det ble aldri stilt løsepengekrav. Men det har skjedd i lignende situasjoner, sier Jonassen.

Angrep på trappene

Tidligere i høst slo Nasjonal sikkerhetsmyndighet (NSM) alarm om bølger av dataangrep.

– Vi er bekymret, sier Martin Albert-Hoff.

Han er avdelingsdirektør for Nasjonalt cybersikkerhetssenter ved NSM.

– Utviklingen er voldsom og oppmerksomheten må høynes, fortsetter han.

Albert-Hoff mener det er viktig at bedrifter som rammes av dataangrep er åpne om opplevelsen.

– Vi trenger at hendelser varsles, slik at det er mulig å bygge et godt situasjonsbilde. Vi må ha en felles situasjonsforståelse i Norge – enten det er fred, krise eller krig, sier han.

Albert-Hoff påpeker at mange bedrifter er flinke, men at flere av de samme svakhetene går igjen.

– Svake passord, uferdige systemer og utdaterte løsninger er fortsatt nøkkelen inn i det digitale maskineriet, påpeker han.

Jonassen i Deloitte deler bekymringen til Albert-Hoff.

– Vi har en trusselsituasjon som er høy, uoversiktlig og vi ser også at den stiger. Så det er helt klart at angrep som dette vil skje igjen, sier Jonassen.

Han mener det er viktig at flere bedrifter skaffer seg bedre oversikt over egne systemer.

– Uten innsikt, er det vanskelig å gjøre ting riktig fremover.

Ikke skambelagt

Når man først et utsatt for et datainnbrudd, er situasjonen en helt annen. Da må man handle raskt.

– Når en angriper kommer inn i systemene som i dette tilfellet, er det mange dører å lukke for å stenge angriperen ute, sier Jonassen.

Han mener Tomra gjorde rett i å stenge ned systemene for å få kontroll istedenfor å håpe på det beste.

– Hvis man sitter for lenge og vurderer hva man skal gjøre, så går klokka, og det kan få enorme konsekvenser, sier Jonassen.

Jonassen mener Tomras åpenhet rundt angrepet de ble utsatt for kan hjelpe andre å kikke egne virksomheter i kortene.

Sagemo er enig:

– Dette er jo ikke noe som skambelagt. Det er noe som kan skje hvem som helst uansett hvor god man er. Så åpenhet har vært viktig for oss, og vi er glad for at vi har vært det hele veien. Det er ikke noe å angre på.

For Tomra var sikkerhetsbevisste ansatte og gode rutiner nøkkelen til å oppdage innbruddet tidlig, og for å holde selskapet i drift selv om mange av IT-systemene var nede.

Ikke over ennå

I Tomras demosenter i Asker står eldre og nyere pantemaskiner side om side. Her tar Tomra med kunder for å vise frem framtidens pantesystemer.

I dag fungerer det meste som normalt i selskapet, men Tomra rydder fremdeles opp i ødeleggelsene etter angrepet.

– Vi jobber fremdeles mot normal drift, men 17. september var en merkedag. Det hadde gått to måneder og det var den første dagen vi følte vi hadde sånn noenlunde kontroll på det operasjonelle. Da feiret vi med kake!

Økonomidirektøren ler. Men opprydningen har kostet dyrt.

– I utgangspunktet har det ikke hatt noen konsekvens for forretningene. Vi har fått ordre og vi har klart å levere. Men det som koster, er jo å gjøre en etterforskning så stor som den vi gjorde. Vi estimerer at det har kostet oss rundt 200 millioner kroner.

– Det er mye.

– Det er mye penger man kunne brukt på noe annet.