Organiserede it-kriminelle holder ikke sommerferie. Det illustrerer det kun to måneder gamle ransomwarekartel, Black Basta, der nu har ramt to danske virksomheder på bare én måned. Denne gang er det Lokaltog A/S, der driver seks lokalbaner på Sjælland - og som dermed bidrager til driften af kritisk dansk infrastruktur - der er ramt.
Bag enhver moderne togdrift ligger et væld af logistik, systematik og koordination. Lokaltog A/S er ingen undtagelse, og al den planlægning genererer rapporter, data og information i bunkevis. Data, der nu ligger frit tilgængeligt på det mørke internet, fordi Black Basta ikke bare er lykkedes med at infiltrere og kryptere ukendte dele af Lokaltogs systemer.
De har også kopieret store datamængder fra selskabets systemer herunder ti gigabyte fra en særlig undermappe hos Lokaltog kaldet ‘Ledermappen’. Et ukendt antal medarbejdere har også fået delt en ukendt mængde data om dem - herunder medarbejdernes lønningslister. I alt er der tale om cirka 40 gigabyte data i dokumenter, Powerpoints, tekniske tegninger og Excel-ark. Samtlige af chefgruppens møder de sidste år er også kompromitteret.
De mange data blev umiddelbart set opbevaret ukrypteret hos Lokaltog A/S, hvilket har gjort det nemt for Black Basta, der allerede er berygtet for netop automatiske indhentninger og læk af data fra de systemer, hackerne inficerer. Black Basta har simpelthen udviklet en specifik offensiv software til at gennemtrawle inficerede systemer og systematisk ekstrahere data.
Hvis de stjålne data var blevet krypteret af Lokaltog A/S selv inden angrebet, ville Black Basta ikke have kunnet offentliggøre så store datamængder så kort efter angrebet - hvis nogensinde.
Lokaltog A/S har endnu ikke offentliggjort deres tal for driftsstabiliteten for de sidste par måneder og derfor er det uklart, om angrebet har påvirket selve togdriften, og i så fald i hvilken grad. Hjemmesiden er online, og selskabet har ikke meldt noget ud til den brede offentlighed overhovedet.
Myndigheder informeret - men hvornår?
Lokaltog A/S ønsker ikke at stille op til interview. Det gør Movia, der ejer aktiemajoriteten i selskabet heller ikke - man betragter oplysninger om angrebet som hemmelige, lyder det fra selskabet.
Derfor er der meget, vi ikke ved om angrebet, men i en kort mail til Version2 oplyser Lokaltog A/S, at man er ‘opmærksom på hackerangrebet’, samt at angrebet er indberettet til Center for Cybersikkerhed:
»Alle systemer og data i Lokaltog A/S er genskabt og sikrede i forhold til det konkrete angreb – parallelt hermed har Lokaltog A/S taget hånd om de medarbejdere, som har fået lækket private oplysninger i forbindelse med cyberangrebet,« skriver Lokaltog uden at komme ind på, hvor mange medarbejdere der er ramt eller hvilke data, selskabet har lækket om dem.
Der indgår som tidligere nævnt lønningslister. Version2 bed dog mærke i, at Datatilsynet ikke var nævnt - så vi kontaktede tilsynet, der ikke havde fået nogle indberetninger fra hverken Movia eller Lokaltog A/S. Derfor spurgte vi på ny Lokaltog A/S om det kunne passe. I en opfølgende mail lød det:
»Lokaltog A/S har naturligvis orienteret alle de relevante myndigheder inklusiv Center for Cybersikkerhed og Datatiltilsynet.«
Derfor tog vi igen kontakt til Datatilsynet, der netop havde fået en anmeldelse om angrebet - mindst fire døgn efter data blev lagt online på det mørke internet.
Pligt til at oplyse myndigheder
Mens det står virksomheder frit for, om de vil dele deres erfaring med destruktive hackerangreb med omverdenen, har man i Danmark pligt til at oplyse myndigheder om blandt andet brud på persondatasikkerheden, der ifølge persondataforordningen er defineret som:
»Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.«
En dansk virksomhed skal orientere Datatilsynet inden for 72 timer, hvilket Lokaltog A/S ikke har gjort. Det kan skyldes at Lokaltog ikke vidste, at data var blevet stjålet fra virksomheden, før Version2’s henvendelse.
Flere ubesvarede spørgsmål
Først og fremmest er det stadig uvist hvordan Lokaltog blev kompromitteret i første omgang. Version2 har også spurgt virksomheden, om togselskabet har betalt den løsesum, hackerne krævede.
Det vides heller ikke, om angrebet er blevet meldt til politiet eller hvorfor Lokaltog opbevarede de store datamængder i usikker form, samt hvilken betydning angrebet og datalækket har haft for Lokaltog og den infrastruktur, selskabet driver.
Version2 følger op, når der kommer nyt i sagen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
