En ettrig journalist ringer mig och börjar ställa frågor om en cyberattack mot det företag jag jobbar på. Jag är kommunikationsansvarig och ska ta alla frågor från media. Men vad då cyberattack? Jag har inte hört ett smack om någon attack.
– Vi har bekräftade uppgifter om att ditt företag läckt 75 miljoner användarkonton; vi vill ha en kommentar om attacken, stressar reportern i luren.
– Jag har inga uppgifter om någon cyberattack, jag måste be att få återkomma när jag vet mer, svarar jag och känner att det där inte lät speciellt övertygande.
– Menar du att den första uppgiften ni får om cyberattacken kommer från media, är det så dålig koll ni har, är det det jag ska skriva? Vi behöver gå ut om två minuter.
– Jag, eh eh, måste få återkomma när jag vet mer, svarar jag och känner hur musklerna kramar åt om halsen. Vad f*n ska jag svara?
Det här var en övning under ett studiebesök på IBM i Kista. IBM har en svart fet lastbil de kallar C-TOC, ett rullande it-säkerhetscenter som kan sättas in i kritiska situationer under cyberattacker, men som även i stor utsträckning används för utbildning och övningar. C-TOC är skickligt gjort, riktigt skickligt. IBM:s personal agerar olika roller, reportern ovan till exempel, och stressar den övande organisationen till tusen. Allt bygger på verkliga händelser; det är så här det går till.
Vi, ett tiotal inbjudna medlemmar av presskåren, sitter i rader i ett rum, i lastbilen alltså, framför en skämvägg. Vi har även stationära telefoner och datorer framför oss. Vi är indelade i olika team – IT, HR, Finans, Information, med flera. Vi spelar ett fiktivt globalt finansbolag, och vi är inte förberedda för fem öre.
Telefonerna ringer plötsligt överallt. Även min. CFO:n ringer och säger att han fått ett mail från vd:n som sitter på ett plan till Japan. CFO:n, Mark heter han och är i och för sig trevlig, säger att han fått ett brådskande och irriterat mail från vd:n som bett honom skicka 2,5 miljoner till ett visst konto. Pengarna är skickade, men nu har ”Mark” insett att det är en bluff. Vi måste stoppa överföringen. Varför ringer han mig, jag är ju kommunikationsansvarig? Vad ska jag svara på det?
Samtidigt pågår ett kackel runt mig så jag knappt kan höra vad ”Mark” säger. Prover av de stulna kundkontona ligger på Pastebin, hojtar IT. Kunderna ringer som galna, ropar Finans. Aktiekursen sjunker med 50 procent. Och hackarna har stoppat en hiss i byggnaden, full med folk, och vill ha en lösensumma. Media står i entren och vill ha svar på frågor. Det är ditt jobb, säger handledaren till mig, en rapp danska som vet att peka med hela handen. Intervju om två minuter, är du beredd? Nope!
Vem leder, vem tar ansvaret, ropar danskan över kaoset? En bekant it-säkerhetsexpert och bloggare som av en slump befinner sig här tillsammans med mig, tar till slut ledningen och ställer sig vid en whiteboard för att samla in informationen från alla håll och kanter. Det börjar sakteliga kristallisera sig vad som händer.
Danskan ger mig korta snabba instruktioner om vad jag ska säga till media – vi har sjösatt en incidenthantering, vi utreder incidenten, ja det ser ut som att vi hackats, nej vi har ingen mer information om händelsen än så, vi har en utredning på gång, vi är jättemåna om våra kunder, i detta nu sätter vi upp en webbsida med information, vi går ut med mer information så fort vi vet mer, ….
Jag dirigeras att ställa mig framför alla andra. Kamera på, in kommer reportern, skakar hand och börjar ställa jobbiga frågor. Jag gör så gott jag kan, men det känns superjobbigt. Efter tre fyra frågor börjar jag känna mig lite mer säker i kläderna och kör den inkörda ramsan. Och sen är det slut på övningen. Pew!!!
Okej, jag är inte dummare än att jag fattar att IBM vill ”make a point” och i slutänden sälja incidentövningar och utbildningar. Men ärligt, om det här var en övning, hur känns det i verkligheten? Alla kan bli cyberattackerade, men få, enligt IBM i alla fall, har en incidentplan och är tillräckligt övade. Typ 25 procent av alla organisationer vet vad de ska göra när en sådan här sak händer. Jag tycker väldigt synd om de övriga 75 procenten.
Läs också: Ransomware-attack mot amerikansk stad inte över – pågått två veckor
