Hackere tok over hotellet

En sommermorgen, midt i Selje Hotels høysesong, skjedde det utenkelige. Hackere brøt seg inn på hotellets bookingsystem og holdt verdifulle data som «gissel».

Det var ingen umiddelbare tegn på at noe var galt da Jan Sindre Hamre, kundeansvarlig på idylliske Selje Hotel, skulle sjekke dagens gjestelister. Fellesferien stod for døren og man merket at høysesongen var kommet til Vestlandet. Bookingsystemet var nede, men det er jo sånn som skjer av og til med datamaskiner. Det holdt ikke med de klassiske problemløserne; steng programmet, slå maskinen av og på igjen. Uansett hva de gjorde, nektet bookingsystemet å fungere. Hamre ringte dataselskapet som leverte bookingsystemet.

Først etter at de hadde kikket nærmere på saken, ble det klart at det slett ikke var en feil i systemet. Selje Hotel hadde blitt rammet av datakriminelle, og rammet hardt. Hackere hadde tatt seg inn på hotellets datasystemer, funnet filene som inneholder hotellets bookinglister, og låst filene med et uknekkelig passord. Hele systemet var dermed ubrukelig, og hackerne krevde løsepenger.

Fant «gisselbrev»

– Vi oppdaget det da vi ikke kom oss inn på booking- og front deskprogrammet vårt. Etter å ha kontaktet dataselskapet vårt, gikk vi inn på serveren. Der ble det funnet et «gisselbrev» hvor de krevde penger for å åpne de krypterte filene, sier Jan Sindre Hamre.

Uten bookingsystemet arbeidet de ansatte på Selje Hotel i blinde overfor gjestene. Låst i systemet var alle bookinger, gjestelister, fakturering, kort fortalt det meste som trengs i driften av et moderne hotell. At utenforstående skulle kunne sabotere hele driften, kom som lyn fra klar himmel.

– Vi ante ikke at dette var mulig, så det var en veldig tøff periode for hotellet, sier Hamre.

Akkurat hvordan de datakriminelle hadde skaffet seg adgang, ble aldri godt besvart. Sannsynligvis sendte de et datavirus via e-post, dataviruset kom seg løs på det interne nettverket til hotellet og hackerne kunne ta seg inn.

– Det verste som kunne skje

Det tok noe tid før Selje Hotel fikk oversikt over omfanget av innbruddet, og flere dager etter oppdagelsen var konsekvensene av innbruddet fremdeles uklare.

– Det var bare frustrerende, det å ikke ha noen form for kontroll på hva som skjer på hotellet er noe av det verste som kan skje i denne bransjen. Du føler at du ikke kan gi gjestene den servicen som de fortjener, forteller Hamre.

I tillegg til frustrasjonen det skapte for ansatte og gjester, ble det økonomiske tapet tydelig ganske raskt. Fellesferien var rett rundt hjørnet, og fremdeles hadde hotellet ingen oversikt over ledige rom.

– Klart det var et tap i en slik situasjon, ettersom vi ikke torde å selge så mange rom i vår aller viktigste sesong. Vi var jo lammet en stund, siden vi ikke viste hvilken kapasitet vi hadde. I tillegg kom utgiftene til dataselskapet og innkjøp av nye servere, sier Hamre.

Stod frem i media

Med et bookingsystem ute av drift, ingen tilgang til e-postadresser og telefonnummer, og nye gjester på vei, valgte Selje Hotel å stå frem i media for informere gjestene om situasjonen.

– Etter et døgn forsto vi at dette ville ta tid. Da var det bare å prøve å få dette ut i media. Slik oppnådde vi at flest mulig av de gjestene som hadde bestilt, tok kontakt med oss på nytt.

Historien til Selje Hotel er ikke unik, likevel er det få norske bedrifter som velger å ta steget til anmeldelse av datakriminalitet. Etter å hatt fått kontakt med de datakriminelle via e-post, valgte Selje Hotel å anmelde saken til politiet.

At hotellet valgte å stå frem med sin historie, betyr mye.

– Det er altfor sjeldent man hører om slike tilfeller, selv om de skjer hele tiden, sier Sigmund Clementz, kommunikasjonsrådgiver i If, som tilbyr forsikring mot akkurat denne type saker.

– At Selje Hotel står frem og forteller sin historie om datainnbruddet er viktig, for det setter søkelyset på hvor alvorlig dette problemet er når det rammer en bedrift.

Vanskelig å stoppe

Med dagens avanserte datakriminelle, er det ikke nok å «bare» installere et godt antivirusprogram på bedriftens datamaskiner. Ledelsen må tenke mer helhetlig, og sørge for opplæring i tillegg til å installere de nødvendige programmene på datamaskinene.

– De færreste tenker ikke på at tradisjonell beskyttelse som brannmur og virusprogramvare ikke er tilstrekkelig for å stoppe dagens sofistikerte angrep, sier sikkerhetsekspert Tommy Bårdevik i IBM.

Han peker på at en bedrift må oppfostre en god sikkerhetskultur hos de ansatte. Etterhvert som ansatte blander jobb og privatliv mer og mer, blir opplæringen stadig viktigere. Det er Hamre enig i.

Skjerpede rutiner

På Selje Hotel har de ansatte fått klar instruks om hva de har lov til å gjøre på jobbens datamaskiner. Nå er det slutt på å ha private programmer kjørende på datamaskinene, og et filter har blitt installert for å hindre ansatte i å nå ondsinnede nettsider.

De har innført nye rutiner for de ansatte, og for driften av hotellets IT-systemer.

– Det er vanskelig å gardere seg helt mot slikt, men jeg tror det viktigste rådet er å ha god backup, og ikke legge alt på en server men ha en ekstern backup som tillegg. Gjerne jevnlig rutinesjekk på datautstyret også, sier Jan Sindre Hamre.

For Hamre ble det en dyrekjøpt erfaring, men etter lange og harde dager er driften tilbake til normalen igjen.

– Nå har vi, om ikke annet, fått tilbake kontrollen igjen på hotellet. Men alt er selvfølgelig ennå friskt i minnet, sier han.

Samarbeider med IBM

Konsekvensene av et datainnbrudd kan reduseres betraktelig, med en ny kategori forsikringer som har kommet på det norske markedet.

– Det kan være litt vanskelig for en bedrift å vite hva man skal gjøre om man blir rammet av datainnbrudd. Med en forsikring mot datainnbrudd, vil IBM ta seg av det praktiske og forsikringen tar seg av økonomiske konsekvenser, sier Sigmund Clementz i If.

I tillegg til å dekke økonomiske tap og konsekvensene fra et innbrudd, gir forsikringen øyeblikkelig eksperthjelp for å stille en diagnose og utrede hva man kan gjøre videre når et datainnbrudd mistenkes.

Frisørsalong hacket
Da en ansatt klikket på en e-post som utga seg for å komme fra pakkeleverandøren UPS, låste samtlige datamaskiner hos frisøren seg.
Presset for 40 000 kroner
Datakriminalitet og styrets ansvar
Er du styremedlem eller daglig leder i en bedrift? Da har du ansvar også for bedriftens digitale verdier. Og et hackerangrep kan bli dyrt – svært dyrt.
Datakriminalitet og styrets ansvar
Slik hindrer du hackere i å ta over bedriften
Hackere og datakriminelle leter natt og dag etter sikkerhetshull i dine datasystemer og mobiltelefoner. Her får du 10 tips om hva du kan gjøre for å redusere risikoen for å bli angrepet.
Her er 10 tips