Slik håndterte Nordic Choice dataangrepet: – Det har vært tøft

Choice-ansatte har fulgt gjester til rommet og ført bookingliste på tavle. Etter flere uker med trøbbel er hotellkjeden snart i mål med opprydningen.

Natt til 2. desember iler Kjetil Neergaard til hovedkontorene til Petter Stordalens hotellkonsern Nordic Choice. Han må inn på serverrommet for å rykke ut alle kabler han kan finne.

Alarmen har akkurat gått i Choice. Hele datasystemet deres er under angrep. Det kriminelle nettverket som står bak er i ferd med å stenge Choice ute fra deres egne systemer, ved å kryptere filer. Det settes krisestab. Internett kobles ut. Alt for å hindre mer skade.

Fem uker senere står teknologidirektør Kari Anna Fiskvik og Neergaard står i det samme serverrommet, kanskje hakket mer avslappet. Neergaard beklager rotet – opprydningen etter kabel-rykkingen hans i starten av desember har ikke stått øverst på prioriteringslisten.

Ansatte har skrevet bookinglister på tavler og tatt betalt på vipps mens systemene har vært nede.

Også nøkkelkortsystemet har vært rammet av angrepet. Løsningen har vært at ansatte må låse inn alle gjester med et masternøkkelkort. Akkurat det er på listen over de vanskeligere tingene å få på plass igjen.

Nå melder teknologidirektøren at hotellkjeden er 95 prosent på beina igjen etter angrepet.

Det kan de takke et bærekrafts- og sikkerhetsprosjekt for.

Allerede før angrepet var Choice i gang med å føre deler av dataparken sin over på Googles nye operativsystem Chrome os. Litt for å minske mengden nye dataenheter de måtte kjøpe inn årlig, og litt for å spre dataen sin over flere systemer.

– Vi har litt galgenhumor på det. Vi starter 2022 med at et av de største prosjektene vi skulle gjennomføre i år allerede er ferdig, sier Fiskvik og ler.

– Mafiavirksomhet

Chrome-prosjektet ble et mye større pluss enn ventet, da cyberkriminelle tok seg inn på hotellkjedens Windows-systemer.

Angrepet ble først oppdaget noen dager etter at de kriminelle hadde tatt seg inn.

Fiskvik forteller at det er snakk om et såkalt «Quackbot reply chain»-angrep. Det vil si at angriperne gir seg ut for å være en person ansatte allerede har en e-posttråd gående med.

Så har de sendt ut en fil i denne tråden, som noen i Choice har lastet ned. Ifølge Choice er det det kriminelle nettverket «Wizard Spider» som har kommet seg inn i systemene og installerte løsepengeviruset Conti. Nettverket holder trolig til i Russland.

Fiskvik understreker at hun ikke vil gi de kriminelle et så fancy tilnavn som «hackere».

– Jeg liker å kalle en spade for en spade. De er kriminelle kartell, det er mafiavirksomhet som har dette som forretningsmodell. De omtaler oss som klienter de har tilbudt en deal.

Angriperne la igjen et «visittkort» i form av en tekstfil på skrivebordet til de angrepne pc-ene. Der instruerer de om at Choice må ta kontakt for å vite prisen for å få igjen filene, og hindre at dataen de har fått tak i blir lekket på nettet.

Det var uaktuelt for Choice. De vet ikke hva summen ville vært.

– Viruset er ikke bygget for å bli trukket tilbake. De opererer som mafiaen har gjort i alle år – i det øyeblikket de er inne og du har betalt for å få tilbake noe én gang, så kommer det som regel et nytt krav, for beskyttelse for eksempel, sier Fiskvik.

Verdensrekord i Chrome-konvertering

Da angrepet var avdekket og stoppet, sto Choice overfor en enorm oppgave. Å fjerne viruset fra alle dataenheter krevde timevis med arbeid for hver enhet.

Med mindre de kunne få fart på Chrome-prosjektet. Da kunne de få mye opp å gå igjen ved å bytte operativsystem – og det kunne gjøres fra hovedkontoret, istedenfor at noen måtte reise rundt til hvert enkelt hotell for å rense hver enhet.

Google lot dem hoppe i køen for å få prosjektet på bena.

– I løpet av 48 timer fikk vi konvertert 2000 maskiner fra Windows til Chrome. Det er for så vidt en verdensrekord. Ingen har gjort det før – kanskje fordi de ikke har vært nødt, sier Fiskvik med et smil.

Nå er 3500 maskiner konvertert, og 250 Windows-maskiner er renset.

– Så langt er det ingen som har greid å hacke Chrome, bank i bordet. Google har lovet en premie på 105.000 dollar hvis noen klarer det. Det er klart det er en sammenheng med hvor lenge Windows har eksistert versus Chrome. Men ny teknologi er bygget på en annen måte, den er vanskeligere å hacke, sier Fiskvik.

Ansatte hardest rammet

Hun regner med at løsningen har spart kjeden for fire uker arbeid. Nå gjenstår mindre ting, som nøkkelkort og betalingsløsninger. Akkurat hva angrepet har kostet, har de ikke greid å regne seg frem til ennå.

Da det kom en ny nedstenging omtrent samtidig, ble det vanskelig å skille årsakene for omsetningsfall fra hverandre.

De er nå nesten helt sikre på at det kriminelle nettverket ikke har fått tak i gjesteopplysninger.

Fiskvik er ikke gjerrig på rosen til de ansatte, som har funnet løsninger og sørget for at hotellkjeden knapt har fått en eneste klage fra kunder mens systemene var nede.

Fiskvik påpeker at det da er ekstra vondt at dataen som er tapt, tilhører nettopp ansatte. Nettverket har fått tak i ansattes lokale filer – blant annet bankkortnummer, personnummer og lønnsdata. Deler av det er lekket på sider som selger slik informasjon.

– Det er de samme menneskene som allerede har stått i en krise i to år, som har jobbet døgnet rundt for å få dette opp og stå, og så fått en ny lockdown ...

De fleste ansatte har tatt lekkasjen med relativt stor ro, forteller Fiskvik. Hun understreker at selv om data er lekket, skal det mye til for at noen skal kunne bruke den til å handle eller ta opp lån i ansattes navn. Da trenger de totrinnsidentifikasjon.

– Men det er klart det har vært tøft for dem, sier Fiskvik.