Laddar meny
GF Forsikring

"Vil du betale med bitcoin for at få frigivet dine data?"

Med et stigende antal angreb af ransomware var GF Forsikring ved at være godt trætte af tidsforbruget på gendannelse af data. Det resulterede i en simpel løsning, så virksomheden nu har barberet fem timers ugentligt gendannelsesarbejde væk.

’Du har en uafhentet pakke hos Post Danmark, klik her for at hente dine oplysninger’ – denne type meddelelse fik de ansatte hos GF Forsikring tidligere op til flere gange om ugen. Når de så klikkede på vedhæftningen, blev et lille stykke software downloadet til medarbejderens pc og begyndte at kryptere alt data.

”Typisk havde vi kollegaen stående kort tid efter som et stort spørgsmålstegn: ’hvorfor hedder alle mine filer pludselig .encrypted?’ Og så måtte vi i gang med at slette alt og gendanne fra backup. Det var ikke specielt kompliceret men til gengæld tidskrævende,” siger Thomas B. Pedersen, der er it-infrastrukturarkitekt hos GF Forsikring.

Ligesom rigtig mange andre virksomheder blev GF Forsikring i stigende grad ramt af ransomware, der krypterer filer gennem et stykke software, når man fx klikker på en vedhæftning eller besøger et kompromitteret website. Typisk bliver virksomhederne bedt om at betale via bitcoin for at få de ukrypterede filer tilbage igen. De fleste virksomheder har en solid backupløsning, hvorfor det ikke er nødvendigt. Det giver dog en øget mængde administration og tager tid fra andre opgaver i it-afdelingen.

Julefreden sænkede sig med lidt forsinkelse

Første gang GF Forsikring oplevede at blive angrebet af ransomware var det op til juleaften 2015, hvor de fleste var gået på ferie. Derfor gik der fire dage, inden angrebet blev opdaget.

”En del af vores medarbejdere kunne ikke tilgå deres data en hel dag, mens vi fik genoprettet dem. Selvom der ikke var tale om forretnings kritiske data, så var disse hændelser en omkostning for virksomheden i kraft af den spildte arbejdstid, når de ansatte ikke kunne bruge deres pc,” forklarer Thomas B. Pedersen.

Til at starte med forsøgte GF Forsikring sig med øget intern information på intranet og mundtlig information i afdelingerne om angrebene, men de oplevede ikke rigtig nogen effekt. ”I en travl hverdag når du ofte ikke at tænke, før du har klikket på et link. Det er desværre helt almindeligt.”

Derfor blev Thomas B. Pedersen sammen med Atea enige om, at der skulle en anden løsning til.

”Vi gennemførte proof-of-concept på sikkerhedsløsningen Secure DNS i en måneds tid, og det kørte upåklageligt. Nu har vi kørt med det i en længere periode, og vi er ikke blevet ramt en eneste gang siden,” siger Thomas B. Pedersen.

Op til 20.000 skadelige domæner blokeres dagligt

Flere end 100 filer er sidenhen blevet blokeret med trafikfilteret, der blokerer for malware og skadelige dele af internettet. Det kan Thomas B. Pedersen se i dashboardet over løsningen. Løsningen peger på en række DNS-servere hos CSIS, som samler alle de skadelige domæner. Databasen bliver dagligt opdateret med op til 20.000 skadelige domæne.

”Vi sparer vel fem arbejdstimer om ugen på at gendanne filer, dertil kommer den tid, hvor medarbejderne ikke har adgang til deres filer. Det kører fuldstændig automatisk. Jeg skal i princippet ikke foretage mig noget. Jeg kan gå ind og se på dashboardet, hvor meget der er blokeret, og hvilke medarbejdere der klikker på de skadelige filer,” fortæller Thomas B. Pedersen.

Når medarbejderne klikker på filerne i dag, så kommer der en popup, der blokerer for sitet. Løsningen har også givet Thomas B. Pedersen og hans kollegaer mulighed for at tage fat i de enkelte kollegaer, som særligt ofte klikker på det skadelige indhold og tage en generel snak om sikkerhed. Det er med til at højne den generelle sikkerhed i virksomheden.

”Det er virkelig simpelt og en stor fordel for os, fordi vi nu kan bruge vores tid på produktive projekter i stedet for reaktive øvelser.”

GF Forsikring

GF Forsikring er et kundeejet forsikringsselskab via 32 selvstændige forsikringsklubber i Danmark. ’GF’ står for Gruppe Forsikring, fordi medlemmerne altid er forsikret sammen, enten inden for et lokalområde eller et firma-/fagområde.

CryptoLocker

  • CryptoLocker er trojansk ransomware målrettet computere, der kører Windows.
  • Truslen blev første gang opdaget i 2013.
  • CryptoLocker aktiveres gennem vedhæftninger til mail og eksisterende botnet. Når de bliver aktiveret, så krypterer malwaren udvalgte filer, der er gemt lokalt ved hjælp af RSA-kryptering.
  • Nøglen til krypteringen findes kun på de bagvedliggende kontrolservere for malwaren.
  • Den angrebne bruger får besked om, at vedkommende kun kan få data tilbage ved at betale en sum penge inden en bestemt dato. Hvis datoen overskrides stiger beløbet.

Beskyttelse mod ransomware med Secure DNS

  • Secure DNS fra CSIS beskytter virksomheden ved at blokere for usikre websites, malware kontrolservere og dropservere.
  • Løsningen giver løbende opdateringer og har ingen administration eller vedligeholdelse.
  • Udviklingen kan følges via en personlig online portal, hvor man kan black- og whiteliste blokeringer, trække rapporter til ledelsen med mere.
  • Løsningen blokerer mere end 6.000.000 domæner med ondsindet indhold, og der tilføjes mellem
  • 18.000-20.000 nye domæner dagligt.
  • Secure DNS logger alle DNS opslag - også dem, der ikke bliver blokeret. Gevinsten ved det er, at der er sporbarhed i forhold til en eventuel infektion, der ikke blev blokeret fra dag 1.
Atea perceived better if you update your browser. Here you will find a new version of Internet Explorer