"Vil du betale med bitcoin for at få frigivet dine data?"

’Du har en uafhentet pakke hos Post Danmark, klik her for at hente dine oplysninger’ – denne type meddelelse fik de ansatte hos GF Forsikring tidligere op til flere gange om ugen. Når de så klikkede på vedhæftningen, blev et lille stykke software downloadet til medarbejderens pc og begyndte at kryptere alt data.

7 gode råd: Sådan undgår du ransomware

”Typisk havde vi kollegaen stående kort tid efter som et stort spørgsmålstegn: ’hvorfor hedder alle mine filer pludselig .encrypted?’ Og så måtte vi i gang med at slette alt og gendanne fra backup. Det var ikke specielt kompliceret men til gengæld tidskrævende,” siger Thomas B. Pedersen, der er it-infrastrukturarkitekt hos GF Forsikring.

Ligesom rigtig mange andre virksomheder blev GF Forsikring i stigende grad ramt af ransomware, der krypterer filer gennem et stykke software, når man fx klikker på en vedhæftning eller besøger et kompromitteret website. Typisk bliver virksomhederne bedt om at betale via bitcoin for at få de ukrypterede filer tilbage igen. De fleste virksomheder har en solid backupløsning, hvorfor det ikke er nødvendigt. Det giver dog en øget mængde administration og tager tid fra andre opgaver i it-afdelingen.

Julefreden sænkede sig med lidt forsinkelse

Første gang GF Forsikring oplevede at blive angrebet af ransomware var det op til juleaften 2015, hvor de fleste var gået på ferie. Derfor gik der fire dage, inden angrebet blev opdaget.

”En del af vores medarbejdere kunne ikke tilgå deres data en hel dag, mens vi fik genoprettet dem. Selvom der ikke var tale om forretnings kritiske data, så var disse hændelser en omkostning for virksomheden i kraft af den spildte arbejdstid, når de ansatte ikke kunne bruge deres pc,” forklarer Thomas B. Pedersen.

Til at starte med forsøgte GF Forsikring sig med øget intern information på intranet og mundtlig information i afdelingerne om angrebene, men de oplevede ikke rigtig nogen effekt. ”I en travl hverdag når du ofte ikke at tænke, før du har klikket på et link. Det er desværre helt almindeligt.”

Derfor blev Thomas B. Pedersen sammen med Atea enige om, at der skulle en anden løsning til.

”Vi gennemførte proof-of-concept på sikkerhedsløsningen Secure DNS i en måneds tid, og det kørte upåklageligt. Nu har vi kørt med det i en længere periode, og vi er ikke blevet ramt en eneste gang siden,” siger Thomas B. Pedersen.

Op til 20.000 skadelige domæner blokeres dagligt

Flere end 100 filer er sidenhen blevet blokeret med trafikfilteret, der blokerer for malware og skadelige dele af internettet. Det kan Thomas B. Pedersen se i dashboardet over løsningen. Løsningen peger på en række DNS-servere hos CSIS, som samler alle de skadelige domæner. Databasen bliver dagligt opdateret med op til 20.000 skadelige domæne.

”Vi sparer vel fem arbejdstimer om ugen på at gendanne filer, dertil kommer den tid, hvor medarbejderne ikke har adgang til deres filer. Det kører fuldstændig automatisk. Jeg skal i princippet ikke foretage mig noget. Jeg kan gå ind og se på dashboardet, hvor meget der er blokeret, og hvilke medarbejdere der klikker på de skadelige filer,” fortæller Thomas B. Pedersen.

Når medarbejderne klikker på filerne i dag, så kommer der en popup, der blokerer for sitet. Løsningen har også givet Thomas B. Pedersen og hans kollegaer mulighed for at tage fat i de enkelte kollegaer, som særligt ofte klikker på det skadelige indhold og tage en generel snak om sikkerhed. Det er med til at højne den generelle sikkerhed i virksomheden.

”Det er virkelig simpelt og en stor fordel for os, fordi vi nu kan bruge vores tid på produktive projekter i stedet for reaktive øvelser.”

Læs her 7 gode råd: Sådan undgår du ransomware