Dataangrepet på Nortura: – Intet digitalt system er uangripelig

­Det er én dato som de rundt 17.000 eierne av Nortura ikke kommer til å glemme på en stund: 21. desember 2021. Under koronapandemien prøvde profesjonelle hackere å komme seg inn i konsernets digitale infrastruktur.

Hensikten var trolig å installere skadelig programvare, låse deler av innholdet for eierne – og kreve bondens selskap for løsepenger. Hackerne kom seg inn i deler av den sentrale IT-strukturen, men så gikk alarmen. Spredning til andre viktige deler av Norturas datasystem ble dermed unngått.

Ingen krav om løsepenger

Det ble aldri framsatt krav om løsepenger, antakelig fordi Nortura hadde gode nok varslingsrutiner, et solid forsvarssystem og fordi deres IT-ansvarlige reagerte raskt, opplyser selskapet. Angrepet ble politianmeldt, men omsider henlagt i juni i år. Etterforskningen er ikke avsluttet.

Ifølge årsrapporten for 2021 ble kostnaden for angrep og opprydningsarbeid anslått til rundt 36 millioner kroner. Selve hackingen ble oppdaget av Norturas sikkerhetsovervåkning som på et tidlig stadium la merke til mistenksom aktivitet. IT-systemene ble raskt tatt av nettet – for å begrense skaden og for å kunne få oversikt over omfanget av datainnbruddet.

Dermed ble en potensielt omfattende kryptering av sensitive data unngått, og hackerne fratatt muligheten til å presse bondens selskap for store summer med penger.

Kunne blitt langt verre

– Hvis ikke, ville vi vært i en langt verre situasjon. Jeg tør nesten ikke tenke på hva som ville ha skjedd dersom vi hadde måttet stoppe mottak og slakting i lang tid, sa konsernsjef Anne Marit Panengstuen kort tid etter angrepsforsøket.

Etablering av nødløsninger startet umiddelbart, for å kunne opprettholde matkonsernets viktigste forretningsfunksjoner ved de over 30 produksjonsstedene. Den digitale delen av produksjonen ble erstattet med manuelle rutiner inn mot nyåret.

Fra 3. januar 2022 var de viktigste digitale funksjonene på lufta igjen. Hackingen førte til at selskapet måtte skyve all slakting i romjulen til over nyttår, og produksjon og ekspedisjon av varer stoppet opp i en kortere periode.

Det ble ingen slakting og skjæring i fem dager, og eggpakkeriene sto stille i ett døgn. Rundt 400 bønder, som skulle levere sine dyr til slakt i romjula, måtte følges opp manuelt av selskapet.

Nortura har rollen som markedsregulator for kjøtt og egg. Det betyr blant annet at konsernet har mottaksplikt, det vil si en plikt til å ta imot egg og slakt fra alle produsenter til samme pris som gjelder på det aktuelle mottaksanlegget. Det gjelder både medlemmer og ikke-medlemmer

Bøndenes dataløsninger

Norturas dataløsninger mot bonden ble hardest rammet av datainnbruddet. Særlig «Min Side», et viktig driftsverktøy for både bøndene og selskapet. Den brukes av mange som verktøy i driftsregnskapet og til styring av produksjonen. Det er imidlertid ingen ting som tydet på at bøndenes data kom på avveie, understreker Nortura.

Gjenoppbyggingen av konsernets IT-infrastruktur har tatt tid, blant annet fordi det har pågått et omfattende arbeid med å bygge nye innmeldingsløsninger for gris, stor- og småfe, avregningsrapporter, fakturaarkiv, livdyrformidling, fjørfekjøttkontroll, eggkontroll og slaktedata.

– Nortura har håndtert hendelsen på en god måte. Den hurtige responsen og en solid beredskapsorganisasjon i selskapets forretningsområder var helt avgjørende for å redusere skader og begrense konsekvenser av angrepet, mener Mads Vaagland.

Han er leder for informasjonssikkerhet hos Nortura, Chief Information Security Offiser (CISO). Vaagland var riktignok ikke ansatt da dataangrepet på Nortura skjedde for snart to år siden, men har siden vært delaktig i både opprydningsarbeidet og utvikling av bedre datasikkerhet.

Nortura benytter seg av en global IT-partner med høy kompetanse på drift, utvikling og sikkerhet.

Oslo-mannen viser til at Nortura er vant til trygg matvareproduksjon hvor dyrevelferd, håndtering av levende dyr og krav til hygiene stiller høye krav til profesjonalitet – og kontroll. Det ga kanskje selskapet en liten «fordel» da dataangrepet var et faktum.

– Det viste seg at Nortura har en veldig god beredskapsorganisasjon som er drillet på å håndtere ulike hendelser, minner Vaagland om.

Digitale innbruddsforsøk er blitt hverdagskost

43-åringen sier til Dagens Perspektiv at ingenting tydet på at angrepet mot Nortura var målrettet. Det var nok heller tilfeldig, synes han og viser blant annet til at samme type digitalt innbruddsforsøk skjedde hos Amedia i samme tidsperiode.

Flere store norske selskaper er blitt utsatt for liknende hacking. I mars 2019 prøvde et kriminelt nettverk seg på industriflaggskipet Norsk Hydro. Det kostet konsernet godt over 800 millioner kroner.

Og i mai 2022 ble det kjent at en kopi av Norges offisielle eiendomsregister hos Norkart var lekket til en ukjent trusselaktør. Det førte til at persondata om 3,3 millioner nordmenn kom på avveie.

Heller ikke kommuner gikk fri for cyberangrep. Datasystemene i både Østre Toten, Skien og Drammen ble invadert. Også nettsidene til ulike departement, Statistisk sentralbyrå (SSB) og Nasjonal sikkerhetsmyndighet (NSM) er blitt utsatt for tjenestenektangrep. Hensikten er å få sidene ut av drift.

Ondsinnede dataangrep er blitt hverdagskost verden over. Hacking er blitt «big business». Det finnes svært profesjonelle grupper som åpner datasystemene til store virksomheter, men som går ikke inn. De selger «tilgangen» til andre og tjener store penger på denne måten, uten å ta den største risikoen, forteller Vaagland.

– Samfunnet blir mer og mer digitalisert, og samtidig mer sårbar. Det er viktig å være bevisst på dette, og at virksomhetene forbereder seg på slike angrep, understreker Norturas informasjonssikkerhetsleder.

Når ditt digitale forsvar blir sterkere, vil trusselaktører lete etter andre sårbarheter for å nå sine mål. Sofistikerte trusselaktører prøver i større grad å benytte seg av innsidere – betrodde ansatte med tilganger til interne ressurser, skriver Ann-Kristin Lie Waag og Aleksander Furnes Mallasvik. Illustrasjonsfoto: BDO

Fem effektive tiltak mot cyberangrep

I tidsrommet 2019 til og med 2021 er det blitt oppdaget en tredobling av alvorlige cyberoperasjoner mot norske virksomheter og myndigheter.

Antallet alvorlige og svært alvorlige hendelse har holdt seg på et tilsvarende nivå i fjor som i 2021, går det fram av Risiko 2023, rapporten som lages hvert år av Nasjonal sikkerhetsmyndighet (NSM). Den inneholder direktoratets trussel- og risikovurderinger.

De vanligste angrepene var distribuerte tjenestenektangrep, phishing og kartleggingsaktivitet.

«Vedvarende phishing- og kartleggingsaktivitet mot norske aktører understreker at disse er attraktive mål. Det er viktig å være bevisst på at kartlegging kan peke frem mot framtidige cyberangrep», understreker NSM.

I flere tiår har direktoratet for nasjonal forebyggende sikkerhet utviklet tiltak for beskyttelse av IKT-systemer. Ut fra dette arbeidet mener NSM at virksomheter kan stanse de fleste dataangrep med følgende tiltak:

• Installer sikkerhetsoppdateringer så fort som mulig, og mest mulig automatisk.
• Ikke tildel administrator-rettigheter til sluttbrukere.
• Ikke tillat bruk av svake passord, og bruk multifaktorautorisering der det er mulig.
• Fas ut eldre IKT-produkter.
• Tillat kun programvare som er godkjent av virksomheten eller enhetsleverandøren.

Akkurat der gjenstår det en stor jobb. En undersøkelse fra rådgivnings- og revisjonsselskapet BDO viser nemlig at hele 45 prosent av norske bedrifter ikke føler seg trygge på at de er godt nok sikret mot dataangrep. Altså nesten halvparten.

54 prosent svarte at de hadde behov for å øke sin kompetanse innen IT-sikkerhet. Nær sju av ti handelsbedrifter følte seg derimot sikker på at virksomheten er godt nok sikret mot angrep.

– Gapet mellom oppfattet og faktisk risiko utgjør en stor sårbarhet for norske bedrifter, mener Dagfinn Buset, partner i BDO.

Det skal ikke mer til enn at én ansatt trykker på en ondsinnet lenke i en epost for at angriperen kan skaffe seg tilgang til selskapets systemer, advarer Buset.

Etterlyser bevissthet

Mads Vaagland tenker i de samme banene. Det handler om den enkeltes bevisstgjøring på hvordan hen håndterer jobbdata, og bevisstheten rundt virksomheten verdier og samlede digitale sikkerhet. Om datamodenheten og organisasjonsforståelse i foretakene.

Han mener at det finnes «en veldig bredde i modenheten på digital sikkerhet» her til lands. Altså fra veldig bra til veldig dårlig. Noen sektorer, som for eksempel bankbransjen, er veldig streng regulert når det kommer til datasikkerhet, mens andre ikke har noen regulering.

Det betyr at vinningskriminelle vil bevege seg mellom ulike næringssektorer, avhengig av sikkerhetsnivå og den geopolitiske situasjonen, mener 43-åringen.

– Kort sagt handler det om kultur, kompetanse, ressurser og bevissthet rundt mulige farer. En slik hendelse som angrepet mot Nortura har en veldig bevisstgjørende effekt, sier han til Dagens Perspektiv og viser til matprodusentens rolle i matforsyningen og landets totale samfunnsberedskap.

– Nortura har utviklet et eget datasikkerhetsprogram til de ansatte og ser ut til å ha tatt lærdom av dataangrepet.

Har du noen gode råd til andre bedrifter, både private og offentlige?

– Det er å bevisstgjøre de ansatte på farene for et angrep, terpe på sikkerhet innad i organisasjonen og forankre datasikkerhet i ledelsen. IT-sikkerhet er en fundamental del av risikostyringen i et selskap og bør ikke være en salderingspost. Den må tas opp jevnlig i styremøter, sier Mads Vaagland med ettertrykk.

For konsekvensene kan bli enorme hvis det glipper på dette viktige feltet, understreker han.

– Tenk hele forsyningskjeden

Norturas IT-sikkerhetsleder mener at det er særdeles viktig å tenke lengre enn egen bedrift når det gjelder datatrygghet og kommer med et eksempel fra matproduksjonen.

– Ta Felleskjøpet som leverer fôr, tar imot korn fra bøndene og selger korn som mat til kyllinger. Et dataangrep på dem vil kunne få vidtrekkende konsekvenser, for eksempel for eggproduksjonen. Derfor må bedriftene tenke sikkerhet i hele leverandør- og forsyningskjeder, oppfordrer Mads Vaagland.

– Samfunnsberedskap er viktig. Det finnes mange eksempler på virksomheter som har måttet stenge permanent som følge av et digitalt angrep. Avhengig av foretakets funksjon kan dette selvsagt gi store konsekvenser for vitale samfunnsfunksjoner, legger han til.

• LES OGSÅ: Datasikkerhet – et virksomhetsansvar

Vaagland råder derfor næringene og myndighetene å opprette det han kaller for sektorvise responsmiljøer.

Nylig opprett Næringslivets sikkerhetsråd (NSR) et CISO-forum for matbransjen i Norge, et uformelt samlingssted hvor datasikkerhetsansvarlige deler erfaringer og diskuterer felles utfordringer med å beskytte den norske matforsyningen mot digitale trusler.

Forumet har ikke funnet helt formen enda, men er et godt eksempel til etterfølgelse, mener Nortura-mannen. Både Ringnes, Rema 1000, Coop, Bama Gruppen, Tine, Nortura, Orkla, Scandza, Agra, Felleskjøpet Agri og Norgesgruppen Data er med.

– Alle systemer vil ha svakheter

Mads Vaagland tror ikke at det finnes datasystemer som er 100 prosent sikre.

– Nei, det finnes ikke noe digitalt system som er helt uangripelig. Alle systemer vil ha svakheter, er han overbevist om.

– Ingen organisasjon kan med hånden på hjertet påstå at den overhodet ikke vil berøres av et digitalt angrep. Men mange tiltak vil sammen kunne bidra til å begrense sannsynligheten for et slikt angrep, og dets konsekvenser. Dermed vil risikoen bli mindre, sier han.