Da hackere lammede Danish Agro

Siden april har Danish Agro været hæmmet af et hackerangreb foretaget af udenlandske kriminelle på jagt efter løsepenge. Sagen har kostet tusindvis af arbejdstimer og et tocifret millionbeløb for grovvarekoncernen, der nu gør status over forløbet. "De første 30 dage var sagen i mit hoved døgnet rundt," fortæller topchefen.

Foto: Benjamin Nørskov/ERH

Henning Haahr sad med sin familie og nød en stille søndag morgen, da hans mobiltelefon brummede. En SMS fra Danish Agros IT-direktør Bo Rønn tikkede ind.

Kort efter ringede telefonen, og den bekymring, SMS'en havde varslet, blev nu bekræftet.

Danish Agros IT-system var blevet angrebet af hackere.

Fra da - den 19. april 2020 - var der dømt krise i grovvareselskabet.

Kort efter frokost samme søndag hoppede Henning Haahr i bilen og kørte fra hjemmet i Viborg til selskabets kontor i Galten, mens myndighederne orienteres.

Her mødte han på koncernens servere det syn, som alle koncernens medarbejdere i Danmark, Norge, Sverige, Finland og Polen ville mærke konsekvensen af mandag morgen. En blå skærm og en tekst om, at det ville kræve en betaling at købe sig adgang til systemerne igen. Et tocifret millionbeløb.

"Jeg blev selvfølgelig bekymret, for hvis man tænker på worst case, er det dybt alvorligt at stå uden IT-systemer. Vi fandt dog rimelig hurtigt ud af, at vi fortsat kunne producere vores varer, og det gav en vis ro," fortæller Henning Haahr, der ikke vil spekulere i, hvad angrebet havde kostet, hvis driften også var blevet ramt.

På kontoret i Galten vest for Aarhus blev en lang arbejdsdag skudt i gang. Det var samtidig startskuddet på den hidtil sværeste tid som topchef i Danish Agro for Henning Haahr, der har siddet på posten siden 2017.

Først holdt han et møde med IT-direktør Bo Rønn, koncernproduktonsdirektør Morten Petri Jensen og to eksterne konsulenter.

Meldingen fra konsulenterne var klar. Angrebet var et såkaldt ransomwareangreb foretaget af en professionel kriminel gruppe fra udlandet.

"Vi tog et valg helt fra begyndelsen om, at vi ikke ville forhandle med forbryderne. Vi ville ikke gå den vej, der hedder at betale løsepenge. Det ville efter vores bedste overbevisning være den forkerte vej at gå. Vi tog den hårde vej, men også den eneste rigtige. Samtidig besluttede vi, at vores strategi skulle være, at vi ville gå tidligt ud og kommunikere, at vi var blevet ramt. Vi ville ikke at holde det fordækt på nogen måde."

Herefter tog Henning Haahr kontakt til bestyrelsesformand Jørgen Mikkelsen og orienterede om situationen. Et bestyrelsesmøde mandag morgen blev aftalt.

"Det var sådan en arbejdsdag, der ikke sluttede. For de fleste gik den over i mandag. Selv nåede jeg hjem hen på natten og havde nogle telefonsamtaler og SMS'er i løbet af natten. Jeg var tilbage på kontoret kl. 6 mandag morgen. Det var meget kaotisk," erindrer Henning Haahr.

Kl. 22.51 blev medarbejderne i Danish Agro af kommunikationsdirektør Søren Møgelvang orienteret om situationen med følgende besked:

Danish Agro mail.png

I første omgang troede – eller håbede – ledelsen i Danish Agro-koncernen, at omkring 100 af selskabets i alt ca. 350 servere var blevet angrebet. Natten til mandag viste det sig, at alle Windows-servere var ramt.

En ny uge og en ny virkelighed var i gang.

Fra den dag arbejdede de fleste af selskabets IT-folk hver dag i 69 dage i træk.

"Det gik hårdest for sig de første tre-fem uger, og i den periode sad der vel omkring 20-30 eksterne konsulenter og hjalp vores egne IT-folk, der også tæller omkring 30 på koncernniveau. Fra den 19. april og frem til den 26. juni blev der arbejdet på sagen 24 timer i døgnet. Det svingede lidt, men der sad som regel mellem 30 og 50 medarbejdere på sagen," fortæller Henning Haahr.

Danish Agro IT.jpg
Sådan så det ud på et af de daglige koorderingsmøder i IT-afdelingen, hvor håndteringen af IT-angrebet blev koordineret af Danish Agros IT-folk og eksterne konsulenter med komplekse infrastruktur-tegninger på væggen.

En grim konstatering

Det var allerede otte dage før, computerskærmene hos Danish Agro gik i blåt, at gerningsmændene tog de første skridt ind i koncernens IT-systemer.

Det skete gennem en udenlandsk leverandør, som Henning Haahr ikke vil nævne med navn.

"Hackerne overtog leverandørernes IT-system og sendte en phishing-mail direkte fra leverandøren ind i en helt konkret mailkorrespondance med os, der kørte i forvejen. På den måde kom de ind i vores system og fik installeret hackersoftware."

Med en fod inden for kunne hackerne i ro og mag bruge otte dage på at arbejde sig fra computer til computer og inficere Windows-miljøet.

Da "patient 0" var fundet kunne det omfattende oprydningsarbejde begynde. Hackerne skulle smides ud af systemet, alle de installerede bagdøre skulle opdages og derefter slettes, mens alle 350 inficerede servere skulle geninstalleres.

De første 30 dage var sagen jo i mit hoved døgnet rundt. Jeg lavede selvfølgelig også andre ting, men det var ikke sådan, at jeg kunne lægge det fra mig.

Henning Haahr, adm. direktør i Dansih Agro

Foruden arbejdet med opklaring og oprydning trængte andre spørgsmål sig på.

Kunne overtagelsen være undgået?

Svaret fra eksperterne var nedslående.

"Vores konsulenter fortalte os, at 99 ud af 100 virksomheder i vores størrelse ville være faldet i. Det er jeg meget bekymret over," siger Henning Haahr.

Han mener, at en læring af angrebet er, at det ikke er muligt at sikre sig mod hackerangreb.

"Det er grimt at konstatere, men hvis man siger, man er uden for risiko, er man det i hvert fald ikke," lyder vurderingen fra topchefen, som i samme ombæring understreger, at der er meget, virksomheder kan gøre for at beskytte sig.

Han nævner blandt andet vigtigheden af at have har en stærk IT-struktur, samt meget stor bevidsthed og opmærksomhed på det. Derudover skal virksomheder til enhver tid have en backup at slå tilbage på, hvis ulykken er ude, mener Henning Haar.

Han fortæller, at Danish Agros sikkerhedsniveau nu er blevet opgraderet markant.

"Vi har selvfølgelig løftet vores IT-sikkerhedsniveau og er gået fra et gennemsnitligt niveau til best in class."

Danish Agro IT 2.png
Chips og cola har været en del af de lange arbejdsdage i Danish Agros IT-afdeling de seneste måneder.

Der er nu gået 76 dage, siden Henning Haahr fik spoleret sin søndag med familien.

"De første 30 dage var sagen i mit hoved døgnet rundt. Jeg lavede selvfølgelig også andre ting, men det var ikke sådan, at jeg kunne lægge det fra mig."

I dag er omkring 90 pct. af IT-miljøet i Danish Agro oppe at køre igen, og selvom Henning Haahr stadig betegner sig som meget ydmyg over for opgaven, kan han nu begynde at kigge fremad. Ja, han regner endda med at holde lidt ferie.

Cyberangreb ligger absolut i top fem over de største trusler mod vores virksomhed, og det tror jeg, det gør for enhver virksomhed

Henning Haahr, adm. direktør i Dansih Agro

Samtidig kan han også gøre status over, hvad hele sagen har kostet for grovvarevirksomheden.

"Vi var så heldige og dygtige, at vi formåede at holde driften kørende gennem hele forløbet. Derfor bliver det relativt set et mindre millionbeløb. Et tocifret millionbeløb i den lave ende."

Var I forsikrede?

"Vi undersøgte muligheden for at få en global forsikring på det her område for halvandet år siden, da Mærsk blev ramt af et hackerangreb. Vi fandt ud af, at det ikke lader sig gøre i realiteten. Derfor er det heller ikke noget, vi kan gøre fremadrettet," siger Henning Haahr.

Forsikringsselskabet Tryg udbyder cyberforsikringer til virksomheder. Virksomheden oplyser til AgriWatch, at det kan være svært at få en forsikring i Danmark, hvis ønsket er at få forsikret et driftstab større end 100 mio. kr.

En stor risiko i fremtiden

Henning Haahr håber, at han ved at stille frem kan få andre virksomheder til at overveje muligheden for at opruste IT-forsvaret.

Samtidig vil han også appellere til danske og europæiske myndigheder og politikere for at få cyberangreb endnu højere op på dagsordenen.

Bag murene i Danish Agros egen fæstning har der også været anledning til at kigge på, hvad der kunne være gjort anderledes.

"Den søndag morgen kunne jeg godt have tænkt mig en beredskabsplan. Læringskurven blev lidt stejl. Jeg tror ikke, man kan have en beredskabsplan til alt, men til det her, hvor risikoen er så markant, bør man have det. Jeg ville gerne have nedskrevet, hvordan vi skulle gribe de første tre-fire dage an, selvom jeg ikke er sikker på, vi ville ikke have gjort meget anderledes," siger Henning Haahr.

"Cyberangreb ligger absolut i top fem over de største trusler mod vores virksomhed, og det tror jeg, det gør for enhver virksomhed. Det er en trussel, vi er nødt til at tage dybt seriøst, og vi er nødt til at bruge bunkevis af ressourcer på at sikre vores IT-struktur. Det er jo systemer, der er åbne for omverdenen, og alt kører via integrationer. Enhver åbning er også en trusselsmulighed," vurderer topchefen.

Han håber nu på at gå en søndag i møde, hvor telefonen ikke brummer.