TOMRAs raske respons baner vei for normalisering etter cyberangrep
16. juli ble TOMRA utsatt for et omfattende cyberangrep som midlertidig forstyrret den digitale infrastrukturen. Selskapet isolerte umiddelbart de berørte systemene for å begrense angrepets innvirkning og ivareta datasikkerheten. Manuelle løsninger har holdt virksomheten i drift mens systemene ble validert og gjenopprettet. To måneder senere er TOMRA på god vei mot normal drift.
Selv om angrepet var omfattende, tyder kriminaltekniske analyser på at de raske begrensningtiltakene reduserte potensielle skader betydelig. Først og fremst er det ingen tegn til lekkasje av konfidensielle data eller datakryptering, og det ble ikke fremsatt krav om løsepenger. TOMRA fortsetter å samarbeide med relevante myndigheter og tilsynsmyndigheter i sine markeder for å håndtere hendelsen.
TOMRAs president og CEO, Tove Andersen, uttrykker sin beundring for de ansattes motstandsdyktighet og engasjement i denne utfordrende perioden. «Vi har stått overfor en helt ny utfordring, og jeg er forbløffet over hvor engasjert og årvåkne teamet vårt har vært i arbeidet med å støtte kundene våre», sier Andersen.
TOMRA har fortsatt å produsere og levere utstyr og tjenester i hele perioden og begrenset angrepets innvirkning på kundene. De fleste tjenestene og maskinene har opprettholdt driften til tross for at de først ble koblet fra TOMRAs domene for å begrense angrepet. Tilkobling til nettbaserte tjenester er blitt gjenopprettet så snart systemene er validert og gjenopprettet eller gjenoppbygd med styrkede sikkerhetstiltak.
Til tross for forstyrrelser og manuelle løsninger har cyberangrepet ikke hatt noen betydelig innvirkning på salg, service eller produksjon. Omdirigering av ressurser til gjenopprettingen har ført til noen forsinkelser i innovasjonspipelinen og kontantstrømmen på grunn av utsatt fakturering. Hendelsen forventes ikke å ha vesentlig påvirkning på inntektene, men har hittil pådratt seg engangskostnader på 120 millioner kroner, som vil bli innregnet i 3. kvartal i 2023. Kostnadene er knyttet til cyberangrepsrespons og forbedringer i selskapets cybersikkerhet. Merkostnader forventes å bli bokført i 4. kvartal.
Viktige funn fra etterforskningsrapporten
- Etterforskningen bekreftet at trusselaktøren startet sin rekognoseringsfase den 10. juli og gikk over til angrepsfasen den 15. juli. Søndag 16. juli kl. 05.51 CET oppdaget TOMRA Security Operations mistenkelig aktivitet, og iverksatte proaktive tiltak for å stenge ned tjenestene og koble fra nettsteder for å begrense angrepet.
- Trusselaktøren rettet seg spesifikt mot TOMRAs domene og interne systemer, og ingenting indikerer at noen av TOMRAs kunder var utsatt eller i fare. Det ble ikke funnet tegn til lekket konfidensiell informasjon, kryptering av data eller krav om løsepenger.
- Trusselaktøren benyttet privilegie-eskalering og utnyttet innebygde Windows-verktøy for å navigere lateralt og utføre skadelige operasjoner på målsystemene. Dette inkluderte opprettelse av bakdører og passordendringer. Etterforskningen avdekket tekniske indikatorer for verktøy som ble brukt av trusselaktøren, og kastet lys over teknikkene de brukte for å utnytte TOMRAs systemer.
- Trusselaktøren benyttet seg av viktige verktøy og metoder som innebygd Windows-funksjonalitet, ondsinnede PowerShell-payloads og ondsinnede binærfiler som muliggjorde etablering av kommando- og kontrollkanaler. Det ble identifisert skadelige aktiviteter på ulike områder, inkludert lokale Windows- og VMware-miljøer samt Azure-plattformen.
Cyberangrep er en alvorlig trussel mot digitaliserte samfunn og bedrifter, og jeg er takknemlig for at vi klarte å stoppe angrepet før det gjorde alvorlig skade. Dette var imidlertid en tankevekkende og ydmykende opplevelse, og det er fortsatt mange kolleger som strever med konsekvensene av angrepet.
Gjenoppbygging
Cyberangrepet på TOMRA har krevd en grundig gjenoppbygging av hele IT-infrastrukturen i den globale organisasjonen. Dette har inkludert gjenoppbygging av våre kjernedatasentre, gjennomgang av mer enn fem tusen brukerkontoer og omarbeiding og gjenoppretting av underliggende IT- og nettverksinfrastruktur. I tillegg har vi sikret at alle IT-enheter i bruk står utenfor fare og innført økte sikkerhetstiltak rundt våre aktiva.
«Vi har iverksatt tiltak for å implementere en av de mest moderne og sikre cybersikkerhetsarkitekturene – en såkalt Zero Trust-arkitektur – for å forhindre fremtidige forstyrrelser og for å beskytte oss selv, våre kunder, partnere og leverandører. Jeg vil gjerne uttrykke min oppriktige takknemlighet til alle våre støttende og tillitsfulle interessenter i denne utfordrende tiden», sier Andersen.
Hos TOMRA er vi opptatt av å samarbeide med relevante parter og dele innsikt fra våre erfaringer. Vårt fokus på åpenhet og kunnskapsdeling styrker vårt forsvar mot fremtidige trusler og fremmer et mer robust digitalt landskap for alle», avslutter Andersen.
Erfaringer og endringer
Cyberangrepet på TOMRA er en viktig påminnelse om de kritiske erfaringene både TOMRA-organisasjonen og andre må ta i betraktning i møte med utviklingen av cybertrusler. Rask og proaktiv årvåkenhet, kombinert med tidlig oppdagelse og begrensning, har vist seg å være de viktigste strategiene for å redusere potensielle skader. Denne hendelsen fikk TOMRA til å prioritere forbedring av cyberrobustheten og fremskynde investeringer i infrastruktursikkerhet.
Videre mener vi at det er mange verdifulle erfaringer som kan være nyttige for andre i lignende situasjoner. Medarbeidernes bevissthet spiller en sentral rolle, og det gjorde det for TOMRA i dette tilfellet. Det er viktig å gi omfattende opplæring og understreke viktigheten av årvåkenhet. I tillegg er det avgjørende å ha gjennomtenkte gjenopprettings- og backupplaner på plass, samt drive opplæring i fortsatt drift uten systemer eller i bruk av alternative kommunikasjonsmetoder.
Å definere ditt minimum levedyktige selskap og prioritere kritiske applikasjoner gir et tydelig utgangspunkt for gjenopprettingsarbeid. Det er viktig å etablere en definert struktur og prosedyre for gjenoppretting etter hendelser, siden hendelsene ofte kan vare lenger enn forventet. Det å lære av andres erfaringer og få støtte fra personer med relevant ekspertise, kan vise seg å være uvurderlig.
Regelmessig og åpen kommunikasjon med interessenter, samt tidlig planlegging for å gjenvinne tillit, er viktige aspekter for å kunne håndtere slike hendelser på en vellykket måte. I tillegg har TOMRA samlet en mengde teknisk innsikt om design og oppsett som vi gjerne deler med andre i nettsikkerhetsfellesskapet.
Det var TOMRAs samhandling med kundene og samarbeidet med myndigheter samt eksterne eksperter som bidro til en vellykket håndtering av situasjonen. Vi mener at erfaringene vi gjorde oss under denne hendelsen gir verdifull veiledning for bedrifter over hele verden som navigerer i et stadig skiftende landskap av cybersikkerhet.
«Når jeg tenker tilbake på de siste to månedene, er jeg takknemlig for at jeg kan si at vi har stått fast ved forpliktelsen vi kom med i starten av denne utfordrende situasjonen: å komme ut av det som et sterkere selskap, fast bestemt på å skape en mer bærekraftig verden. Takket være vårt engasjerte team har vi styrket selskapet vårt, slik at det står sterkere enn noensinne», avslutter Andersen.
Dette er den endelige oppdateringen fra TOMRA om cyberangrepet, men hvis du har spørsmål, kan du sende en e-post til TOMRA på [email protected].