«Et utpresningsvirus har tatt seg inn i deler at våre IT-systemer», skriver Synsam til Datatilsynet.
NRKbeta har fått innsyn i to avviksmeldinger sendt til det norske og svenske datatilsynet der selskapet oppgir å ha blitt utsatt for et datainnbrudd.
Det kommer etter at selskapet nettsider og interne arbeidsverktøy var nede over en lenger periode.
– Synsam Group har hatt driftsforstyrrelser i virksomhetens IT-miljø. Vi har startet en undersøkelse og mens den pågår kommer vi ikke til å kommentere den, sier kommunikasjonssjef Jenny Fridh i Synsam-gruppen.
Synsam har så langt vært tilbakeholdne med å forklare årsaken for disse driftsforstyrrelsene, men til tilsynene bekrefter selskapet at de tror årsaken er et løsepengevirus.
«Et utpresningsvirus har tatt seg inn i deler at våre IT-systemer», står det i avviksmeldingen sendt til det norske datatilsynet. Meldingen er datert til 17. september, to dager etter at nettsidene gikk ned.
16. september oppgir Synsam til det svenske datatilsynet at det handler om «hacking», «phishing», og «skadelig programvare».
– Så vidt vi vet på dette tidspunktet, ser det ut til å være et forsøk på utpressing, står det i avviksmeldingen sendt til det svenske datatilsynet.
Kun deler av meldingen er offentliggjort etter Synsams ønske om å forhindre at «de med onde hensikter» blir informert om hvilke tiltak som er gjort og hvordan hendelsen har blitt håndtert.
– Dere sier til det norske datatilsynet at det er et løsepengevirus, hvorfor vil dere ikke si det offentlig?
– Synsam-gruppen kommenterer ikke på spørsmål om sikkerhet, svarer Fridh.
Hackergruppe hevder å stå bak
Synsam-gruppen er en av Europas ledende aktører innen optikerbransjen. Selskapet har rundt 450 butikker under merkevaren Synsam og Profil Optik.
NRKbeta har tidligere omtalt at aktøren bak løsepengeviruset REvil Ransomware hevder å ha hacket Synsam-gruppen.
«Alle nettverk har blitt låst, inkludert sikkerhetskopier», skriver aktøren på «Happy Blog».
Fridh ønsker ikke å utdype informasjonen i avviksmeldingene eller svare nærmere på hvorvidt de har blitt utsatt for et løsepengevirus.
– Hvilken dialog har Synsam hatt med de påståtte angriperne?
– Vi har ikke vært i dialog med noen, svarer Fridh.
(11:40) Saken er oppdatert med spørsmål og svar om hvorfor Synsam har vært åpnere med Datatilsynet enn offentligheten om årsaken til driftsutfordringene.
Er da alle data om kundeopplysninget i andre sine hender? Og hvis ja hva skal de da gjøre. Dette er ikke bra.
Hei, per nå vet jeg / vi ikke noe om kundeopplysninger. Det kan være at noen har hatt tilgang til dem og hentet dem ut, men det er foreløpig bare spekulasjon.
‘«Alle nettverk har blitt låst, inkludert sikkerhetskopier», skriver aktøren’.
Noe som kan bare skje dersom sikkerhetskopiene er online. Det røper en grunnleggende feil i driftsrutinene. Sikkerhetskopier skal være offline.
Men det er en regel som brytes av mange!
Selvsagt er sikkerhetskopier online – det er ikke vanlig å nappe ut taper lenger. Det er fullstendig mulig å sikre online kopier, men Synsam har tydeligvis bommet der også.
«You asked for it, you got it!»-type sikkerhet…
Selvsagt kan du frakoble en sikringsdisk. Selvsagt kan du sende sikkerhetskopiene til en off-site sikring som er frakoblet nettet til enhver tid når det ikke overføres sikringsdata. Og sikringsanlegget settes opp slik at den kun godtar autentiserte oppkoblinger fra helt spesifikke adresser.
Du kan alltid risikere å miste de aller siste oppdateringene: Du samler opp en batch inkrementelle oppdateringer, online, og innen disse er flyttet offside til sikringsanlegget kan de ødelegges – av brann, jordskred, lynnedslag eller hackere. Men når de er sikret, off-site og off-line, bør de være helt utilgjengelig for hackere.
(Annet enn om hackerne bryter seg inn i sikrings-anlegget og fysisk tar med seg diskene.)
Tja, terroristene sier så, men hvorfor skal man tro på dem? Regner med at det er hva alle som blir angrepet får høre og av og til stemmer det om det gjør det med Synsam er ren gjetting fra oss som ikke kjenner detaljene i systemet.
Meh! Løsepengevirus fungerer som regel slik at det ikke forsvinner noe data ut. De bare krypterer de med en eller annen god kryptering og så må du betale for å få nøkkelen til å låse opp filene.
Sikkerhetskopiene blir ofte kompromittert ved at filene er låst før man tar backup, og derved er låst også i backupen.
Backupen har normalt mange lag, da, så å spole tilbake ei uke eller noe, burde funke. Med mindre angrepet har klart å kompromittere selve backupserveren, så bør jo databaser også være urørte.
Det jeg ikke skjønner er hvorfor denne informasjonen må hentes fra kommentarseksjonen, brude ikke dette ha blitt nevnt i selve artikkelen?
Hackere bør behandles som de terrorister de er.
herlig gutta. vente 3 dager til synsam sender rapport og så be om innsyn. jobba dere nesten ihjel nå? sjornalister az.
hva med å faktisk ta i ett tak og gjøre noe nyttig? undersøke hvordan disse nepene i synsam klarte å slippe inn denne programvaren? hvordan de har mislykkes med å trene sine egne ansatte i nøkkelposisjoner fra å unngå slikt? hvordan de har hatt manglende sikkerhet og svake skiller mellom de forskjellige roller hvor hvem som kan overstyre og kryptere (les: skrive!) filer eller ikke er brutt.
det er ganske trist å skrive en oppsummering av en rapport når det er så mange spørsmål og retninger man kunne undersøkt.
er det ikke litt kvalmende å late som om man er på jobb dag ut og dag inn og bare leverer fra seg drit?
Weng. Du kan jo prøve å jobbe som journalist og tro du får full lønn for å bruke flere dager på en sak på 2000 tegn. Med mindre det dreier seg om tredje verdenskrig har ikke en gang NRK budsjetter til sånt. Dessverre.
tja. det er jo jævla mye mer enn 2000 tegn som skrives om Trump, så det er antagelig rom for å hente litt tid, penger og sjornalister derifra om man trenger.
eller kort oppsummert: du snakker piss!
Å argumentere mot «kort oppsummert: du snakker piss!» er ihvertfalt ikke verd bryet.
Jeg tror de fleste kan ha sympati med at Synsam ikke ønsker å gi de kriminelle info om hva slags tiltak som blir satt i gang.
Men jeg har problemer med å forstå hvordan dette kan forhindre at berørte kunder kan bli informert.
Umiddelbart så tenker jeg at hackerne har satt noen krav som forbyr dette.
Men nå vet jeg ihvertfall hvor jeg ikke skal kjøpe briller.;)