27. juni blev A.P. Møller - Mærsk - og mange andre virksomheder - ramt af det omfattende cyberangreb Petya.
Angrebet lagde Mærsks shippingforretning ned i flere dage og endte med at koste virksomheden knapt to milliarder i tabte indtægter, viser selskabets netop offentliggjorte regnskab. Det kan du læse mere om her: Milliardregning til Mærsk: Cyberangreb koster Mærsk op mod to milliarder kroner
Her har du svar på seks vigtige spørgsmål i kølvandet på regnskabet.
1. Hvordan er Mærsk endt med en regning på mere end en milliard kroner for hackerangrebet?
Regningen stammer primært fra tabt fortjeneste. Det omfattende cyberangreb 27. juni tvang selskabet til at lukke hele 76 havneterminaler i 59 lande. Det betød, at virksomheden ikke kunne modtage ordrer i flere dage.
Eksisterende kunder kunne bestille containerfragt igen efter et par dage, men en ting er at modtage ordrer, noget andet er at håndtere dem.
Desuden var det i længere tid umuligt for nye kunder at foretage bestillinger. A.P. Møller-Mærsk fortæller i sit seneste regnskab, at man var ramt på ordre-volumen i flere uger.
Når man som A.P. Møller-Mærsk er verdens suverænt største shipping-virksomhed og håndterer 16 procent af al containerfragt på verdensplan, så det bliver hurtigt til store beløb, når man mister ordrer i så lang tid.
2. Er en regning på mere end en milliard kroner en stor regning for et hackerangreb af denne størrelse?
Ja. Det er en kæmpe-regning, som ville tvinge de fleste virksomheder i knæ.
Og hvis man ser på A.P. Møller-Mærsk-koncernens samlede regnskab, så er hackerangrebet faktisk på størrelse med forskellen på underskud og overskud for årets andet kvartal, der netop er offentliggjort.
Mærsk vurderer, at Petya har kostet virksomheden mellem 1,3 milliarder kroner og 1,9 milliarder kroner i tabt omsætning.
Det gør ondt, for A.P. Møller-Mærsks samlede regnskab ender med et underskud på nogenlunde samme beløb.
Derfor er det selvfølgelig afgørende, og derfor har effekten af angrebet givet genlyd helt op i toppen af virksomheden.
Og det er også derfor Mærsk har sendt CEO Søren Skou ud og fortælle om angrebet i Financial Times.
Det kan du læse mere om her.
Omvendt er A.P. Møller-Mærsk en virksomhed, der omsætter for knap 60 milliarder kroner i kvartalet.
En milliard-regning lyder som noget, der kan vælte en virksomhed. Det er det på ingen måde i dette tilfælde.
En ofte overset effekt er dog prestigetabet. Og det må gøre ondt på en virksomhed, der som A.P. Møller-Mærsk står for ro og regelmæssighed.
Nu er selskabet i stedet blevet centrum for en skræmmehistorie af den slags, som man som it-chef fortæller sin direktion, når man skal have lidt ekstra kroner til it-sikkerheden. Det må gøre nas.
3. Ville A.P. Møller-Mærsk have kunne undgå det dyre angreb, hvis selskabet i stedet havde investeret en milliard kroner i it-sikkerhed?
Sandsynligvis ikke.
Malwaren inficerede systemerne hos A.P. Møller-Mærsk via en kompromitteret opdatering i et stykke regnskabssoftware, der er obligatorisk at bruge for virksomheder, der betaler skat i Ukraine.
Der er altså tale om en malware, som A.P. Møller-Mærsk i princippet selv har installeret i sine systemer via automatiske opdateringer til et obligatorisk system, man havde fuld tillid til.
I modsætning til mange andre hackerangreb, kan Petya-angrebet altså ikke koges ned til, at ofrene bare skulle have opdateret deres Windows-maskiner. Det havde ikke hjulpet stort.
En noget forsimplet sammenligning kunne være, hvis hackere fik mulighed for at sprede malware via eksempelvis NemId.
Det er svært at gardere sig mod.
Til gengæld kan man diskutere, om A.P. Møller-Mærsk har været forberedt godt nok, når angrebet fik lov at lukke virksomheden ned i hele verden.
Flere eksperter har påpeget, at A.P. Møller-Mærsk burde have opdelt sin forretning mere, så effekterne af angrebet kunne isoleres med det samme.
Så det er nok snarere et spørgsmål om at gribe it-sikkerhed rigtigt an end at bruge yderligere en milliard kroner på området.
4. Hvad er læren af det store angreb mod Mærsk for os andre?
For virksomheder må lektien være, at det er ikke et spørgsmål om, hvorvidt du bliver bliver hacket, men om hvornår du bliver hacket.
I sikkerhedskredse er man for længst gået væk fra illusionen om, at det er muligt at beskytte sig 100 procent mod cyberangreb.
Seriøs it-sikkerhed handler i dag om at beskytte de vigtigste dele af virksomheden og være forberedt på at begrænse skaderne, når man bliver ramt.
Det store problem for A.P. Møller-Mærsk er ikke, at virksomheden blev ramt af Petya. Det kan ske for alle. Problemet er, at man bliver tvunget til at lukke sine systemer i hele verden.
Det er dyrt, og det kan undgås i fremtiden ved at have den rette struktur på plads.
5. Kan vi forvente at se lignende kæmpeudgifter i fremtiden?
Ja. Mærsk er på ingen måde et unikt tilfælde, og Petya har kostet store virksomheder over hele verden milliarder af kroner. Cyberangreb som Petya viser, at alle er sårbare, og i et erhvervsliv der er digitaliseret og forbundet på kryds og tværs, er der stor risiko for at blive ramt, uanset hvor godt man har styr på sikkerheden.
Angreb som WannaCry og Petya illustrerer en ny type cyberangreb, hvor skaderne kan være enorme for helt tilfældige virksomheder, og der er intet, der tyder på, at hackerne bag Petya specifikt har haft et horn i siden på Mærsk. Ofrene er tilfældige, og det er en type cyberangreb, der på mange måder ligger tættere på terrorisme end økonomisk kriminalitet.
Ikke desto mindre er udgifterne enorme, og vi har indtil videre ikke set noget seriøst bud på, hvad man skal gøre for at undgå, at det sker igen.
6. Hvad kan vi gøre for at undgå lignende angreb?
Desværre nok ikke så forfærdelig meget.
Når virksomheder bliver ramt af cyberangreb kan det ofte spores tilbage til, at de ikke har opdateret deres systemer eller har haft gabende huller i sikkerheden.
Det er ikke tilfældet med Petya, og der er ikke nogen, der med troværdigheden i behold har kunnet sige, at hvis vi bare havde gjort x, så havde Petya-angrebet ikke fundet sted
Moderne virksomheder er fuldstændig gennem-digitaliserede og forbundne, og derfor er angrebsfladen så stor, at det er umuligt sikre sig 100 procent mod lignende angreb.
Men man kan forberede sig på dem.
Store virksomheder som A.P. Møller-Mærsk bør opdele deres netværk og forskellige forretninger så skarpt som overhovedet muligt, så skaderne isoleres med det samme, man kan konstatere et cyberangreb.
Derudover er det essentielt, at der foreligger en handlingsplan i alle afdelinger, så de kan fungere autonomt i tilfælde af et angreb.
Det betyder ikke, at man ikke bliver hacket - men det betyder, at det ikke koster to milliarder kroner.
Derfor arbejder på man lige nu højtryk på inde hos Mærsk lige nu. For Petyas succes er jo også noget, som andre cyberkriminelle har holdt øje med og forsøger at tage ved lære af.