”Allt stannade” – Norrmejeriers vd om cyberattacken som hotade hela affären

Norrmejerier hade drabbats av en cyberattack som slog ut hela nätverket. Allt stod stilla, från det att mjölken kommer in i tankbilar till att den pastöriseras och förpackas. Konsekvenserna var därmed omedelbara: mjölk fick kasseras, produktion stoppades och leveranser uteblev. För varje sekund som gick ökade risken för att stoppet skulle få konsekvenser som bolaget inte skulle kunna bära.

– I vår värld får vi in mjölk varje minut. Den kan inte vänta. När vi inte kunde ta emot mjölk stannade allt. Det var dramatiskt från första stund, säger Gerhard Bley.

– Många säger att det kan ta veckor att komma tillbaka efter en sådan här attack. För oss hade det inte varit möjligt. Då hade vi inte överlevt, fortsätter han.

Minuter och timmar avgjorde

Därmed var det alltså bråttom. Det första Gerhard Bley gjorde var att samla bolagets krisorganisation, där ett av de första besluten var att ta in extern specialistkompetens direkt.

– Det handlar om minuter och timmar för att säkra systemen och kunna komma i gång igen. Det går inte sitta på all den kompetensen själv, säger han.

Det visade sig vara ett viktigt steg. Mot många bedömningar var delar av verksamheten i gång igen efter knappt två dygn, vilket var helt avgörande. Samtidigt sattes strukturen för styrning och kommunikation.

– Vi behövde kommunicera med våra ägare, som också är våra leverantörer, med personalen och med myndigheter. Och vi behövde prioritera vad som skulle göras i vilken ordning.

I ett mejeri där råvaran fortsätter att produceras ute på gårdarna oavsett vad som händer i it-miljön var varje fördröjning förenad med ökade kostnader, så parallellt söktes operativa lösningar för att avlasta trycket.

– Vi öppnade upp mot andra mejerier i Sverige och fick hjälp. Det krävdes ett enormt arbete av de som jobbade under de här dygnen, säger Gerhard Bley.

”Man känner sig rättslös”

Attacken beskrivs som en klassisk ransomware-attack. Bolaget fick hot, men betalade ingen lösensumma. Trots det ledde den till miljonbelopp i kostnader. Men för Gerhard var det inte bara en ekonomisk kris.

– Det är en sak när något brinner eller en maskin går sönder. Det är något man kan ta på. Det här är någon som vill en illa. Det är emotionellt svårare.

Bolaget kunde spåra programvaran och dra slutsatsen att det rörde sig om kommersiella aktörer, sannolikt baserade utanför Sverige, med syfte att tjäna pengar. Samtidigt beskriver Gerhard Bley en känsla av begränsat stöd från det offentliga när krisen var som mest akut. I det operativa arbetet med att återställa systemen och säkra driften fanns ingen extern kapacitet att luta sig mot.

– Man känner sig ganska utlämnad och rättslös. Allt hänger på den egna förmågan tillsammans med externa specialister.

Ett omfattande omtag

Efter attacken inleddes ett strategiskt och långsiktigt säkerhetsarbete. En omedelbar åtgärd var att införa kontinuerlig övervakning av hela nätverket.

– Vi installerade en 24-timmars övervakning. Det är som ett inbrottslarm. Det är ingen garanti, men det gör att vi ser om någon är på väg in.

Övervakningen innebär att avvikelser och intrångsförsök kan upptäckas i realtid, i stället för när skadan redan är skedd. Enligt Gerhard Bley hade man redan före attacken en relativt hög säkerhetsnivå, men händelsen visade hur snabbt hotbilden kan förändras.

– Vi hade i grunden en god IT-säkerhet. Det var också ett skäl till att vi klarade oss relativt bra, de kom inte åt allt och kunde inte förstöra allt. Men ingen kan säkra sig till 100 procent så länge man är uppkopplad, säger Gerhard Bley.

Utöver övervakningen har bolaget genomfört en rad tekniska förstärkningar, uppdateringar och strukturella förändringar. Det handlar om allt från systemhärdning och behörighetsöversyn till rutiner för incidenthantering och samverkan med externa aktörer.

– Arbetet får aldrig ta slut, eftersom hoten förändras hela tiden, säger Gerhard Bley.

Vilka är dina störta lärdomar som vd efter attacken?

– Man blir väldigt medveten om hur beroende man är. Hela fabriken står stilla och det är svårt att överblicka konsekvenserna, säger Gerhard Bley.

Enligt honom är det just förberedelserna som avgör hur organisationen fungerar när pressen är som störst.

– Att ha tydliga strukturer för krishantering gör att man kan agera lugnt även i en extrem situation. Det skapar man inte om man inte har förberett sig.

Samtidigt måste beslut fattas trots ofullständig information. Återstarten av produktionen är ett exempel.

– I vårt fall var vi inte till 100 procent säkra på att angriparna var ute ur systemen när vi startade upp igen. Men vi var tvungna att väga riskerna mot varandra. Den typen av avvägningar kan inte delegeras bort. Det kräver mod att fatta beslut, säger Gerhard Bley.