Sjællandske lokalbaner hacket af nyt digitalt kartel

13. juli kl. 02:438
Maribo Station
Maribo Station Illustration: Lokaltog A/S.
Ransomwaregruppen Black Basta har ramt dansk infrastruktur. Lokaltog A/S vil ikke give nogle detaljer om angrebet eller dets betydning - her er det, vi ved.
Artiklen er ældre end 30 dage

Organiserede it-kriminelle holder ikke sommerferie. Det illustrerer det kun to måneder gamle ransomwarekartel, Black Basta, der nu har ramt to danske virksomheder på bare én måned. Denne gang er det Lokaltog A/S, der driver seks lokalbaner på Sjælland - og som dermed bidrager til driften af kritisk dansk infrastruktur - der er ramt. 

Bag enhver moderne togdrift ligger et væld af logistik, systematik og koordination. Lokaltog A/S er ingen undtagelse, og al den planlægning genererer rapporter, data og information i bunkevis. Data, der nu ligger frit tilgængeligt på det mørke internet, fordi Black Basta ikke bare er lykkedes med at infiltrere og kryptere ukendte dele af Lokaltogs systemer. 

De har også kopieret store datamængder fra selskabets systemer herunder ti gigabyte fra en særlig undermappe hos Lokaltog kaldet ‘Ledermappen’. Et ukendt antal medarbejdere har også fået delt en ukendt mængde data om dem - herunder medarbejdernes lønningslister. I alt er der tale om cirka 40 gigabyte data i dokumenter, Powerpoints, tekniske tegninger og Excel-ark. Samtlige af chefgruppens møder de sidste år er også kompromitteret.

De mange data blev umiddelbart set opbevaret ukrypteret hos Lokaltog A/S, hvilket har gjort det nemt for Black Basta, der allerede er berygtet for netop automatiske indhentninger og læk af data fra de systemer, hackerne inficerer. Black Basta har simpelthen udviklet en specifik offensiv software til at gennemtrawle inficerede systemer og systematisk ekstrahere data.

Artiklen fortsætter efter annoncen

Hvis de stjålne data var blevet krypteret af Lokaltog A/S selv inden angrebet, ville Black Basta ikke have kunnet offentliggøre så store datamængder så kort efter angrebet - hvis nogensinde.

Lokaltog A/S har endnu ikke offentliggjort deres tal for driftsstabiliteten for de sidste par måneder og derfor er det uklart, om angrebet har påvirket selve togdriften, og i så fald i hvilken grad. Hjemmesiden er online, og selskabet har ikke meldt noget ud til den brede offentlighed overhovedet. 

Myndigheder informeret - men hvornår?

Lokaltog A/S ønsker ikke at stille op til interview. Det gør Movia, der ejer aktiemajoriteten i selskabet heller ikke - man betragter oplysninger om angrebet som hemmelige, lyder det fra selskabet. 

Derfor er der meget, vi ikke ved om angrebet, men i en kort mail til Version2 oplyser Lokaltog A/S, at man er ‘opmærksom på hackerangrebet’, samt at angrebet er indberettet til Center for Cybersikkerhed:

»Alle systemer og data i Lokaltog A/S er genskabt og sikrede i forhold til det konkrete angreb – parallelt hermed har Lokaltog A/S taget hånd om de medarbejdere, som har fået lækket private oplysninger i forbindelse med cyberangrebet,« skriver Lokaltog uden at komme ind på, hvor mange medarbejdere der er ramt eller hvilke data, selskabet har lækket om dem. 

Der indgår som tidligere nævnt lønningslister. Version2 bed dog mærke i, at Datatilsynet ikke var nævnt - så vi kontaktede tilsynet, der ikke havde fået nogle indberetninger fra hverken Movia eller Lokaltog A/S. Derfor spurgte vi på ny Lokaltog A/S om det kunne passe. I en opfølgende mail lød det:

»Lokaltog A/S har naturligvis orienteret alle de relevante myndigheder inklusiv Center for Cybersikkerhed og Datatiltilsynet.«

Derfor tog vi igen kontakt til Datatilsynet, der netop havde fået en anmeldelse om angrebet - mindst fire døgn efter data blev lagt online på det mørke internet. 

Pligt til at oplyse myndigheder 

Mens det står virksomheder frit for, om de vil dele deres erfaring med destruktive hackerangreb med omverdenen, har man i Danmark pligt til at oplyse myndigheder om blandt andet brud på persondatasikkerheden, der ifølge persondataforordningen er defineret som: 

»Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.« 

En dansk virksomhed skal orientere Datatilsynet inden for 72 timer, hvilket Lokaltog A/S ikke har gjort. Det kan skyldes at Lokaltog ikke vidste, at data var blevet stjålet fra virksomheden, før Version2’s henvendelse. 

Flere ubesvarede spørgsmål

Først og fremmest er det stadig uvist hvordan Lokaltog blev kompromitteret i første omgang. Version2 har også spurgt virksomheden, om togselskabet har betalt den løsesum, hackerne krævede. 

Det vides heller ikke, om angrebet er blevet meldt til politiet eller hvorfor Lokaltog opbevarede de store datamængder i usikker form, samt hvilken betydning angrebet og datalækket har haft for Lokaltog og den infrastruktur, selskabet driver. 

Version2 følger op, når der kommer nyt i sagen. 

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
13. juli kl. 11:01

Jeg kan til stadighed ikke helt forstå hvordan virksomheder under Danmarks kritisk infrastruktur, bliver ved med at overse deres forpligtelser, når både Datatilsyn, CFCS og diverse standarder tydeligt opfordrer og hjælper på vej til at man følger loven og respekterer privacy.
Mon det igen er økonomi der afgører, at man vælger tilstrækkelig sikkerhed og compliance fra?
Datatilsynet kan i denne sag, nok dele mere ud end en advarsel,- oven i det kommer så den udgift, der rammer Lokaltog, for at redde data...det ville nok være billigere at gøre det rigtigt første gang... "When will they ever learn"...

4
13. juli kl. 12:51

Kan man sige at et lokaltog i Køge er kritisk infrastruktur ? Det er nok vigtigt at fokusere på det der betyder noget :-)

7
14. juli kl. 11:01

Sektoren er udpeget som kritisk, men det er op til Trafik-, Bygge- og Boligstyrelsen at udpege hvilke operatører det omfatter. Jeg kender ikke deres nyere vurderinger, men tidligere var lokalbanerne ikke udpeget.

5
13. juli kl. 13:54

Kan man sige at et lokaltog i Køge er kritisk infrastruktur ?

Der er vel ikke tale om et tog, der kører rundt i Køge. Det er til og fra Køge og dermed meget savnet, hvis det går ned. Plus de 5 andre lokalbaner, der er med i hackerpakken.

Så jo, det kan godt betegnes som kritisk.

3
13. juli kl. 12:11

Lokaltog A/S er et aktieselskab, hvor trafikselskabet Movia er hovedaktionær og ejer godt 75 procent af selskabet. De øvrige aktier ejes af kommunerne Faxe, Gribskov, Guldborgsund, Halsnæs, Hilleroød, Helsingør, Holbæk, Kalundborg, Køge, Lolland, Odsherred, Slagelse, Sorø og Stevns samt private investorer. Og Movia er ejet af de 45 kommuner og to regioner på Sjælland.

Så selskabet er ejet af kommuner og regioner. Der vælter det næppe med penge.

1
13. juli kl. 10:15

»Først og fremmest er det stadig uvist hvordan Lokaltog blev kompromitteret i første omgang. «

(Host!) IT-Havarikommission (Host!)

8
14. juli kl. 16:36

»Først og fremmest er det stadig uvist hvordan Lokaltog blev kompromitteret i første omgang. «

(Host!) IT-Havarikommission (Host!)

Jeg har stor sympati for dit forslag om en IT-Havarikommission, men ...

Først og fremmest er det nok vigtigt at forstå, at mobning aldrig kan være et redskab for opklaring - af noget somhelst!

Dernæst er der i IT-haverier, mange faktorer indvoldveret. Som vi så det med TMs (Teknolgiens Mediehus') overgang til Drupal 9. (To faktorer)

IT-haverier kan opdeles i flere kategorier:

  1. Nedbrud af hardware/software.
  2. Samspilsproblemer mellem HW/SW-komponenter.
  3. Opsætningproblemer.
  4. Design- og/eller konstruktions-fejl.
  5. Ledelsesfejl.
  6. Inkompetance af medarbejdere/ledere.
  7. Vilkårlig kombination af ovenstående

(Denne liste er sikkert ikke komplet!)

Af disse (mulige) grunde kan det være vanskeligt at fastslå en "rootcause".

Desuden er der i klassiske haverikommissioners arbejde et før og et efter (ulykken) og et kendt ulykkestidspunkt. Det at noget har fungeret i "årevis" er ingen garanti for. at der (dengang) ikke var noget galt. Som i andre haverier kan der f.eks. være risikoadfærd/kultur i virksomheden.

Tillid er ikke nok - desværre - IT forandrer sig hurtigt og langt fra alle grundlæggende principper er kendt eller velforstået. Man kan komme et stykke af vejen ved sunde principper og åbenhed. Men falcifikation er en faktor her - det holder kun til ét kontraeksempel. Man kan måske finde egnede "ronkadorer", der kan udgøre kommissionens ledelse, men fageksperticen må hyres fra sag til sag.

En anti-nulfejlskultur er måske en god begyndelse?

/Nis

6
14. juli kl. 01:02

@Poul-Henning Kamp

(Host!) IT-Havarikommission (Host!)

Jeg kigger tit i hvad der er af rapporter fra Havarikommissionen fra bane. Og et række typiske hændelser som regel kun noteret i virksomheder, som fx kørsel forbi et signal på stop, uheld i overkørsler og de fleste personpåkørsel.... Er ransomware-angreb efterhånden en standard-ting som fx her CFCS kan håndtere.

Det vigtigste er mere at få viden om hvordan man undgår den slags. For det rammer både offentlige og private virksomheder. Og nogle gange kan det bare være en alminde medarbejder, som uforsigtig får trykket på noget, som denne ikke skulle have gjort. Eller noget som er blevet overset. Og hvis der er nogle læringspunkter, så bør det samles sammen hurtig og formidles ud til dem, som kan bruges det uden at en virksomhed i praksis skal hænges ud.