NotPetya: Mærsk skrinlagde opgradering af sikkerhed - det var ikke bonusgrundlag

Illustration: RaksyBH/Bigstock
Planer om sikkerhedstiltag, der kunne begrænse NotPetya-ransomwaren, der kostede Mærsk mindst 1,9 milliarder kroner, blev skrinlagt bl.a. på grund af manglende bonusser til chefer.

Da den verdensomspændende NotPetya-ransomware ramte Mærsks kontorer verden over sidste sommer, udløste det scener lige ud af en actionfilm. Medarbejdere løb ned ad gangene og råbte, at kollegaerne skulle slukke computere, mens it-medarbejdere sparkede dørene ind til konferencelokaler og hev ledninger ud af maskiner midt i møder.

Det skriver Wired-journalisten Andy Greenberg, som har brugt et år på at interviewe interne kilder i Mærsk og andre nøglepersoner i NotPetya-angrebet til sin kommende bog om bagmændene, en russisk hackergruppe, han kalder Sandworm.

Historien er intens læsning, men den mest inkriminerende del af historien lyder, at Mærsk var klar over alvorlige it-sikkerhedsfejl i konglomeratet inden angrebet, men at en planlagt opgradering af sikkerheden blev skrinlagt af apatiske chefer.

»Fornyelsen af sikkerheden blev godkendt og budgetteret, men dens succes blev aldrig gjort til en key performance indicator (KPI) for Mærsks øverste it-chefer, så implementeringen af opgraderingen ville ikke udløse bonusser. De bevægede sig aldrig videre med sikkerhedsopgraderingen,« skriver Greenberg.

Flere servere kørte ifølge hans kilder stadig Windows 2000, og interne redegørelser udpegede manglende netværkssegmentering som et stort sikkerhedsproblem. Et segmenteret netværk kunne netop have begrænset, men næppe standset, spredningen af NotPetya.

Målrettet ukrainsk infrastruktur

Ransomware-varianten spredtes som en steppebrand på grund af det lækkede NSA-hackerværktøj NotPetya, der gjorde det muligt at køre arbitrær kode på Windows-maskiner, samt det gratis sikkerhedsværktøj Mimikatz, der bl.a. scanner hukommelse for passwords og kan automatiseres til automatisk at prøve at få adgang til andre computere på netværket, med hvad den finder.

Greenberg skriver, at det blot tog 45 sekunder for NotPetya at dræbe netværket i en større ukrainsk bank, og ransomwaren havde en fest på Mærsks globale netværk. Infektionen startede, da en finanschef i Mærsks afdeling i den ukrainske havneby Odessa bad it-afdelingen installere skattesystemet M.E.Doc på en enkelt computer.

Han kunne dog umuligt vide, at opdateringsserverne hos Linkos Group, udviklerne af M.E.Doc, var blevet hacket af Sandworm-gruppen og dermed gav dem en bagdør ind i alle computere, som brugte skattesystemet. Og det var fra disse opdateringsservere, NotPetya mødte verden for første gang.

Angrebet var tilsyneladende sat i værk for at decimere ukrainsk it-infrastruktur. Et vedvarende projekt for Sandworm-gruppen, der også står bag hacking-angrebene på elværker, der ifølge Wired har mørkelagt Ukraine flere gange.

Fire hospitaler alene i Kiev blev ramt sammen med seks strømudbydere, to lufthavne og mindst 22 ukrainske banker. Det fik infrastrukturministeren til at erklære »regeringen død«, eftersom ransomwaren var kodet til aldrig at kunne dekryptere offerets filer, uanset om man betalte løsesummen.

17 ud af Mærsks dengang 76 havneterminaler i hele verden endte med at være fuldstændigt døde. Fra Los Angeles til Mumbai kunne havneportene ikke åbne, kraner stod stille, og titusindvis af lastbiler blev bedt om at vende om, mens Mærsks ansatte i havnene febrilsk forsøgte at omdirigere fragtruter og finde varehuse til opbevaring af fragt, mens alle telefoner og interne it-systemer var ude af drift.

Mærsks havnearbejdere tyede til at sætte papirsedler på skibene, kommunikere med kunder via WhatsApp og opbevare kundedata i Excel.

Sov under bordene

Mærsk oprettede et emergency center i Maidenhead, London, hvor den globale it-arm af konglomeratet havde hovedkvarter. To etager af kontorbygningen var blevet reserveret til nødarbejdet, og medarbejder sov i dagevis under bordene og i konferencerummene, da alle hoteller og enkeltværelser inden for flere kilometers afstand var fuldt booket.

Bare Deloitte alene, der var hyret til at få fod på problemet, havde 200 af sine egne ansatte på kontoret, mens Mærsk samlede omkring 400 medarbejdere fra hele verden.

Tidligt opdagede Mærsk til sin forfærdelse, at de ikke kunne kontakte en eneste domain controller - serverne, som havde overblik og regler for hele Mærsks omfattende infrastruktur. Der var ingen backup, da de omkring 150 servere var indstillet til at have backups af hinandens data, men der var ikke taget højde for et scenarie, hvor alle servere simultant ville opgive livet.

Efter paniske telefonopkald verden rundt fandt Mærsk én eneste overlevende domain controller: i Ghana. Serveren havde overlevet på grund af et tilfældigt strømsvigt, der havde slukket den, før infektionen nåede frem.

På grund af den dårlige båndbredde i landet kunne Mærsk dog ikke downloade serverens indhold. Da ingen af de vestafrikanske ansatte havde britisk visum og kunne flyve over med en kopi af serveren, indledte Mærsk et stafetløb med en ekstern harddisk, hvor en ghanesisk medarbejder overgav disken til en nigeriansk medarbejder, som endelig fløj mod England med nøglen til hele gendannelsesprocessen i Mærsk.

I eftermælet af angribet fortalte bestyrelsesmedlemmet Jim Hagemann Snabe om, hvordan de måtte genopbygge hele deres globale it-infrastruktur, og at det kun lykkedes på grund af medarbejdernes udholdenhed. Siden da har it-medarbejderne fået stort set samtlige it-sikkerhedstiltag, som de har bedt om, skriver Wired.

Alle sikkerhedskilder interviewet af Wired fortæller, at de er overbevist om, at et lignende angreb kan lade sig gøre i dag og potentielt blive endnu større. Globale virksomheder er tæt forbundne, it-sikkerheden alt for kompleks, og angrebsfladerne alt for store til at kunne helgardere sig mod statsfinansierede hackere, der vil udgive en verdensomvæltende virus.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (29)
Michael Cederberg

Det er fint at NATO laver en cyberstyrke. Det er fint at forsvaret har center for cybersikkerhed.

Men der hvor slaget skal slås er i det offentlige, i virksomhederne og hos private. Med at sikrere individuelle systemer og netværk. For selv hvis vi kan slå hårdt igen mod angreb og selv hvis staten sikrer sine systemer, så er det stadigvæk utallige systemer i kommuner, virksomheder og hjemme hos danskerne.

For hvis man fx. kunne ramme domain controllere i mange danske virksomheder, så står landet stille. Det samme hvis man rammer cisco switche. Eller SOHO routers til ADSL eller kabelnettet. Eller ...

Vi er nødt til at gentænke brugen af IT og hvordan det er netværket. Fx. burde langt de fleste computere i det offentlige og i virksomheder ikke have tilgang til internettet.

Christian Nobel

Men der hvor slaget skal slås er i det offentlige, i virksomhederne og hos private. Med at sikrere individuelle systemer og netværk.

Præcis.

Det hjælper intet at samfundet pøser milliarder i en cyberkrigsstyrke, underlagt krigsministeriet, nok nærmere tværtom.

Det skal ud i det åbne i form af aktiv forebyggelse og information mv., for det det nytter ikke spor at Center for CyberUsikkerhed sidder og leger wargames, når det i virkeligheden drejer sig om at virksomheder ryger i fælden som resultat af monokultur og manglende seriøsitet omkring sikkerhed.

Maersk ligger fuldstændig som de selv har redt, og om så hele statsbudgettet blev proppet i cfcUs, så ville det ikke have ændret en bønne.

Ivo Santos

Det må siges at være flot klaret at man i Maersk ikke har taget backup af alle relevante domæne kontroller. Jeg tør ikke tænke på hvad det helvede det ville have været hvis de var blevet tvunget til at bygge hele domæne netværket fra bunden, og det inklusiv alle Active Directory objecter og policies.

Men, det viser da også hvor vigtig det er med alt fra firewalls, og at der ikke findes alt for mange som har enterprise administrator rollen da det er den som rolle som kan nedlægge en hel organisation. hvor af domæne administrator rollen i det mindste er begrenset til det lokale domæne.

Ditlev Petersen

Hvis det der foregik i en film, ville publikum vel udvandre? Bare tanken om en tekniker, der løber om kap med en "orm". Og så "stafet" med en harddisk.

Jeg håber da, at nogen lærer af det der. Også uden for Mærsk.

Hvordan gik det med det der fynske (?) skole-edb (Er Det Borte?)? Det var vist også noget, som man ikke behøvede have backup af.

Michael Cederberg

Det undrer også mig. Hvis man har noget vigtigt så er det vel naturligt at have en offsite og offline backup. Hvordan har det ikke været en del af disaster recovery planen?

Det er nemt at være bagklog Når alt på nettet ryger, så skal man blot have overset en enkelt vigtig ting før man står med håret i postkassen.

Naturligvis skal man gøre sit bedste mht. recovery, men lige så vigtigt er det at sikre at et angreb kan begrænses til få systemer. "Defence in depth" er vigtigt sådan at der er flere sikkerhedsbarrierer mellm det vilde internet og virksomhedens (eller borgerens) systemer.

Jens Jönsson

Det er nemt at være bagklog Når alt på nettet ryger, så skal man blot have overset en enkelt vigtig ting før man står med håret i postkassen.

Der er jo >ikke< snak om at være bagklog. Hvis man ikke har taget backup af sit AD, så er det jo dumhed. Intet andet. Man kan altså ikke dække sig ind under uvidenhed. Og det kan umuligt være økonomi. Funktionen er stort set standard i alle større backupsystemer.

Jeg har været i en del større firmaer, med masser af DC'ere i netværket. Selvfølgelig blev der taget backup af hver og én. Hver dag...
(Men det var heller ikke relateret til en chefs mulige bonus)

Denny Christensen

Næppe - for IT sikkerhed er stadig ikke sexet og der skal nok flere katastrofer til, før virksomhedsledere anerkender behovet.

Meget forståeligt, skal jeg bruge 100 mil på noget usynligt som en IT chef siger er nødvendigt, eller skal jeg bruge 100 mil på tiltag der umiddelbart er målbare og kan ses positivt på bundlinien?

Lidt det samme som mange værksteder oplever, at før en lampe lyser op i instrumentpanelet er der ikke mange der kigger under motorhjelmen for at kigge efter om alt er ok. Og man mødes jo også af en plastic inddækket motor :)

Kjeld Flarup Christensen

Er om det her får ordlyden af bonus-aftalerne ændret, så bonus bortfalder hvis huller i sikkerheden bliver udnyttet?

Bonusser er ude af kontrol
https://ing.dk/artikel/banedanmark-har-udbetalt-resultatbonus-direktoere...

Jeg tror ikke det er nok bare at skrive sikkerhedshuller ind.

Grundlæggende så bør det være et krav, at afdelingen har et resultat som ikke ligger under budgettet. Jeg har svært ved at se et tab på 1,9 mia. ikke sprænger nogle budgetter.

Isoleret set så kan IT afdelingen jo godt holde budgettet hvis det er de andre afdelinger som bærer tabet. Derfor skal der også være en ansvars paragraf.

Endelig skal der være et kollektivt element i bonusserne, således at man interesserer sig for andre end en selv.

Men det ender helt sikkert med nogle retssager hvis man begynder at lægge ansvar ind i bonussene.

Morten Fordsmand

Nu står der jo ingne steder i artiklen at man ikke havde en backup af sit AD.

Men at man valgte at bruge AD'et fra en overlevende server kan der være flere gode grunde til, men da jeg ikke var i Maidenhead skal jeg ikke kloge mig derpå ud over at nævne et par faktorer der måske, måske ikke spillede ind.

1) backupvar ikke tilgængelig fordi backupinfrastrukturen var lagt ned af selvsamme angreb
2) Indlæsning af AD specielt i ældre udgaver fra backup, er en kompleks og besværlig process.
3) Det kan være at man valgte at følge to løsningsspor.

Povl H. Pedersen

Segmentering er et af de vigtigste sikkerhedstiltag. Suppleret med noget udgående proxy med whitelisting for servere.

Problemet er dog, at det medfører en vedligeholdelsesopgave, og det kræver at man læser dokumentation, og har de folk der kan fejlsøge når dokumentationen som sædvanligt er fejlagtig på dette område.

Og lige segmentering har et problem med at antal åbninger vokser over tid, og bør re-evalueres grundigt med få års mellemrum. Og grundigt er en af de ting der er sparet væk.

Torben Larsen

Kan I klare en gammel traver?
I de “gode gamle dage”, før internettet og den slags uoverskueligheder fandtes, var der 2 (amerikanere tror jeg) der skrev UNIX-bogen. Langt henne i bogen, sikkert under emnet sikkerhedskopi, skrev de at hvis maskinen gik ned (dengang gik EDB-maskiner ned i tide og utide) og det viste sig at sikkerhedskopien ikke virkede, så havde man forhåbentlig sikkerhedskopi nr. 2. Og hvis den heller ikke virker, så “sæt dig hen i en krog og græd”.
Slå det selv op på internettet, hvis du tør.

Mogens Lysemose

Mærsk er een af de to største virksomheder.
Jeg kan se de var gået endnu videre med minimize cost, maximize kpi. Her ses resultatet af ekstremt ensidigt fokus.

Alt for mange virksomhedsledere interesserer sig ikke for sikkerhed. Ingen roser dem for at bruge resurser på det - før noget akut sker.

Virksomhedsledere er villige til at løbe risici der virker usandsynlige - uanset de potentielt kan være livstruende for virksomheden hvis det faktisk sker.

Det var det samme med det japanske atomkraftværk: "det er urealistisk at der nogensinde kommer 8 m høje bølger som slår ind over vores bølgeafskærmning så derfor gør det ikke noget at kølingen står i kælderen da vandet aldrig kan komme derned." De havde desværre ikke tænkt på tsunamier.

Mogens Lysemose

"Man" har hørt om andre store virksomheders virksomheder der forlader sig 100% på SAN-replikering off-site og automatisk failover til andet hostingcenter så de mener at der ikke behøves backup af produktionens vitale servere, da de to hostingcentre aldrig går ned samtidig.

Desværre har den slags jo som regel et skjult "single point of failure", som kunne være SAN-replikeringen - ødelægges SAN1 og replikeres det til SAN2 så ryger det hele.

Og så står produktionslederne og er pludselig meget uenige og utilfredse med IT-afdelingens beslutning om at de ikke behøvede backup men bare kunne geninstallere fra bunden.

Hans Nielsen

Rusland har allerede fortalt os at de ser os som må for atomvåben mål alligevel. og vi kan jo ikke være ikke på at en Præsident i USA kan og vil have samme interesser som os.

og som Rusland selv siger, man skal passe på med at true en Atommagt, mens de selv truer en atommagt :-)

Putin og Trump har jo vist at de kun tager mindre lande alvorligt og overholder indgåede aftaler hvis de har atomvåben. Som jeg ser problemet er det at for FÅ stater og befolkninger har adgang til lignende våben.
Palæstinenser vil nok hurtigt kunne indgå en aftale med Israel, hvis de var sikkert muligheden for gensidigt total ødelæggelse.

Der har heller ikke være de store krig mellem Indien, Kina og Pakistan efter at alle parter har fået Atomvåben.

Hans Nielsen

Kunne straffe de ansvarlige ordentligt for et Cyberangreb på os. Også med konventionelle våben ?

Hvis vi skulle kunne gå i krig med, eller virke troværdigt og kunne straffe Rusland som har atomvåben. SÅ bør man nok væbne sig selv ligedan, inden man går ud og rasler med Sablen.

En genindførelse af Ubådsvåben også med "speciale" torpedoer kunne virke effektiv og afskrækkende. Men det skal vi måske ikke have, for de bedste konventionelle af dem kan købes i Tyskland og Sverige, ikke USA ?

Man kan også spørge om hvad de 2-3 Milliarder extra vi nu poster i "cyber forsvaret" går til. Udover at en medarbejder har fået en tilkalder telefonen, så der også er døgnvagt.

Hjalp de under angrebet mod Mærk, og med hvad ?

Og kan USA og NAS ikke sagsøges for udgifterne, det var deres "våben" som havnet i hændere på nogen andre. Hvis de i stedet have advaret mod og hjulpet til med at lukke huller, i stedet for at udnytte dem. SÅ have Verden været et langt sikrere sted.

Mikael Ibsen

seriøse overvejelser om bonus til højt kvalificerede og højtlønnede chefer for at passe det arbejde, de i sin tid blev ansat til, ja, at passe !!!
Grundlønnen ender nemt med at blive opfattet som et honorar for bare at møde op, og hvis der skal ske mere, må der extrabetaling til fx. i form af div. bonusordninger.
Grundlæggende usundt, hvilket her blev demonstreret med al ønskelig tydelighed.

Tobias Tobiasen

Hjalp de under angrebet mod Mærk, og med hvad ?

Og kan USA og NAS ikke sagsøges for udgifterne, det var deres "våben" som havnet i hændere på nogen andre. Hvis de i stedet have advaret mod og hjulpet til med at lukke huller, i stedet for at udnytte dem. SÅ have Verden været et langt sikrere sted.


Jeg har svært ved at anklage andre end Mærsk for skaderne her. De kørte gamle usikre programmer der for længst var patchet, de havde dårlig netværksegmentering og en mangelfuld disaster recovery plan. Hvis man vælger at køre sin IT på den måde så må man leve med at man risikerer at tabe et par milliarder en gang i mellem.
Det kan man ikke beskylde NSA, USA eller Rusland for.
Der er ingen beviser for at et andet land var gået bevidst efter at angribe Mærsk.

Martin Leopold

Hej,
Selvom det ikke er helt relateret, så kan jeg kan ikke lade være at tænke på den her video om hvordan bonusser generelt påvirker menneskers evne til at løse problemer. Det nemt at få resultater, der er i modstrid med det ønskede resultat. Dan Pinks udlægning: "... når opgaverne krævede selv basale kognitive evner, ledte en større belønning til dårligere præstationer."
https://www.ted.com/talks/dan_pink_on_motivation

  • Martin
Thomas Christensen

Kan i hvert fald godt nikke genkende til, at KPI'erne tidligere har være med til at splitte virksomheden ad, og det sammen med tidligere udfordringer efter frasalget af Maersk Data og det problematiske skifte til et nyt bookingsystem gav et efterskyld af IT-forskrækkelse.

Kulturen har klart rod i en 1950/1960 inspireret amerikansk KPI baseret tankegang, hvor modstridende KPI'er imellem afdelingerne skal holde det hele i skak i sørge for, at det hele er effektivt og kan måles. Resultater er bare ofte, at det skaber siloer, og er du under det omkostningspres som APM konglomoratet og ikke mindst ML har været under med et sindsygt volatilt marked, så kan det resultere og kortsigtet fokus og give store problemer på sigt.

Det er min opfattelse, at det er blevet bedre, og måske endda meget bedre både i forhold til IT, KPI-fokus og organisationen som helhed. Men selv uden på nogen måde at have direkte indsigt i sikkerheden, er det dog ikke svært at se paralellerne i problamatikkerne linket direkte til angrebet. Var i hvert fald ikke overrasket, da de blev ramt.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder