Få snakker høyt om at de har blitt offer for digital utpressing. Papirkompaniet åpner nå opp om dataangrepet som brakte selskapet til knærne i fem uker.
– Vi er i godt selskap, men det er kanskje ikke noe å skryte av, sier Tor Olav Jacobsen.
Han er daglig leder og største eier i Papirkompaniet. Selskapet med 19 ansatte leverer alt fra kort til kosedyr til norske butikker.
Sommeren 2019 ble de offer for skruppelløse kriminelle som hadde kryptert alle datamaskiner og servere selskapet eide. Slik ble de med i en stadig mindre eksklusiv klubb av norske virksomheter.
De siste tre årene har NRK identifisert minst 30 andre virksomheter som har blitt rammet av løsepengevirus. De mest kjente er Hydro, Amedia og Østre Toten kommune.
– Jeg må innrømme at det var et par våkenetter etter at jeg oppdaget hva som hadde skjedd og forstod omfanget, sier Jacobsen.
Alle maskiner låst
«Alle dine filer er nå kryptert!», startet en tekstfil som lå på selskapets datamaskiner. Jacobsen kom på kontoret etter at en selger oppdaget at nettbutikken deres var nede.
Det var en søndag midt i fellesferien.
– Jeg tenkte «det her kan sikkert løses med backup», sier Jacobsen i dag.
Han ler nervøst. Slik gikk det dessverre ikke. Selskapet hadde en sikkerhetskopi av selskapets viktigste filer, men også den hadde blitt kryptert.
Det tok fem uker før selskapet å komme seg tilbake på beina. Men for å komme tilbake i drift tok Jacobsen et kontroversielt valg. De betalte de kriminelle i overkant av 130.000 kroner for å få tre passord for å åpne opp de to viktigste IT-systemene.
– Kunne vi unngått det så ville vi selvfølgelig gjort det. Det var et valg vi følte vi måtte … vi var presset opp i et hjørne, sier Jacobsen.
– Har du selv hatt betenkeligheter med at dere har betalt ut penger til kriminelle?
– Ja. Det er ikke noe man ønsker å gjøre. Derfor begrenset vi det så mye vi kunne. Vi aksepterte å miste en del data.
Papirkompaniet anslår selv at de tapte omtrent tre millioner kroner på dataangrepet. Katastrofen ble likevel avverget. Frykten var at kundene skulle gå til andre, mens selskapet lå med brukket rygg.
– Når ting tar lang tid så får kundene fort nye kjøpsmønster. Da kan de finne på å kjøpe varene vi har av andre.
Ikke anbefalt å betale løsepenger
Politiet og en rekke IT-eksperter advarer mot å utbetale løsepenger. De mener at man ikke kan være sikker på at man vil få dataene tilbake og at det finansierer kriminalitet.
– Men dette bildet er ikke helt svart-hvitt. Noen virksomheter havner i en så lei knipe at de ikke ser andre løsninger enn å betale, sier Thomas Tømmernes som leder Ateas avdeling for IT-sikkerhet.
Det var Atea som hjalp Papirkompaniet med å håndtere dataangrepet og forhandlinger med de kriminelle.
Tømmernes advarer likevel sterkt mot å betale ut løsepenger. Han forteller at mange tror det magisk vil løse problemene, noe det ikke gjør.
– Selv om man øyensynlig raskt får dataene sine tilbake og kan fortsette produksjon vil kvalitetssikring og gjenoppretting av data uansett ta tid. Man må huske at en kompetent kriminell aktør har vært på innsiden av systemene, sier Tømmernes.
De kriminelle kan ha lagt inn en bakdør i systemene som gjør at de kan angripe på nytt. Det er også mulig at sensitive persondata likevel publiseres på det mørke nett. Betaling gir ingen garantier, konstaterer Tømmernes.
Kjenner du til flere datainnbrudd? Tips journalisten på martin.gundersen@nrk.no eller +47 47756515 (også Signal).
Utbetaling av løsepenger er absolutt siste utvei, understreker Jan Søgaard som er sjef for Netsecurity. Også de hjelper bedrifter å håndtere dataangrep.
– Vi har i flere tilfeller utbetalt løsepenger på vegne av kunder. Det ønsker vi ikke å gjøre, men særlig for de mindre selskapene vil det være situasjoner der det ikke finnes alternativer, sier Søgaard.
– Vi har i disse sakene forhandlet ned beløpet. Jeg kan ikke oppgi konkrete beløp, men vi snakker ikke om millioner.
Konkurser etter dataangrep
Thomas Tømmernes i Atea kjenner til to tilfeller der selskaper har gått konkurs som følge av et digitalt utpressingsforsøk. Tømmernes ønsker ikke å navngi selskapene.
– Det ene var innenfor turistnæringen og ble utsatt for digital utpresning. De hadde ikke backup som fungerte eller betalingsmidler. De gikk konkurs i forbindelse med at de ikke fikk dataene tilbake, sier Tømmernes.
Det andre selskapet opplevde at kundenes data kom på avveie.
– De mistet tilliten, noe som førte til at mesteparten av kundene sa opp avtalen med selskapet.
NRK ble først kjent med dataangrepet mot Papirkompaniet gjennom målrettede Google-søk.
Ha sikkerhetskopi
– Det var den første gangen vi hadde opplevd den typen sikkerhetsbrudd. Vi trodde vi var godt dekket med backuper og rutiner. Det var vi tydeligvis ikke, sier Jacobsen.
I etterkant av dataangrepet har Papirkompaniet oppgradert alle sine IT-systemer. De tar nå en sikkerhetskopi av de viktigste filene på en harddisk som ikke er koblet til internett eller noen andre datamaskiner.
Om ulykken skulle inntreffe igjen vil denne sikkerhetskopien sikre at de ikke vil stå i samme situasjon, forteller Jacobsen.
LES OGSÅ: Slik kom de kriminelle seg inn i Nordic Choice sine IT-systemer