Klokken er 07:23. En medarbejder ringer og siger, at hendes computer viser en besked om, at alle filer er krypteret, og at I skal betale 50.000 euro for at få dem tilbage. Hvad gør du nu?

Hvis svaret er "jeg ved ikke rigtig", er det tid til at lave en beredskabsplan — inden situationen opstår. Fordi under et angreb tænker du ikke klart. Adrenalin, panik og tidspres er en dårlig kombination. En skriftlig plan giver dig et script at følge, når hjernen holder op med at fungere optimalt.

Den første time: isolér, dokumentér, kontakt

Isolér de ramte systemer

Det allervigtigste første skridt: afbryd de ramte enheder fra netværket. Træk netværkskablet ud, sluk for WiFi, isolér enheden. Formålet er at stoppe spredningen — ransomware og malware bevæger sig aktivt på netværket og inficerer alt det kan nå.

Sluk ikke computeren. Det lyder kontraintuitivt, men at slukke kan slette beviser, der er vigtige for efterforskning og forsikring. Lad den stå tændt men isoleret.

Dokumentér hvad du ser

Tag billeder af alle skærme med din telefon. Notér tidspunkter, fejlmeddelelser, hvilke systemer der er ramt. Denne dokumentation er afgørende for forsikringskrav, politianmeldelse og eventuel myndighedsindberetning.

Ring til din IT-partner

Nu. Ikke om to timer. Ring med det samme. Din IT-partner kender jeres infrastruktur og kan hjælpe med at vurdere omfanget og tage de næste skridt. Har I ikke en IT-partner, bør det første opkald gå til CFCS (Center for Cybersikkerhed) på 33 32 55 80.

Betal ikke løsesummen som det første skridt. Det garanterer ikke, at I får filerne tilbage. Det finansierer kriminelle. Og det fortæller angriberne, at I betaler — hvilket øger risikoen for at blive ramt igen. Konsultér altid din IT-partner og eventuelt politiet først.

Time 2–6: vurdering og eskalering

Kortlæg omfanget

Hvad er ramt? Kun arbejdsstationer eller også servere? Er backuppen intakt? Er der tegn på, at data er blevet kopieret ud inden krypteringen (dobbelt afpresning)? Disse svar afgør den videre strategi.

Hvem skal kontaktes?

  • IT-partner — allerede gjort
  • Cyber-forsikring — ring og anmeld hændelsen. De har typisk en krisestyringstjeneste inkluderet.
  • Datatilsynet — hvis personoplysninger er involveret, skal I indberette inden for 72 timer. Det er et GDPR-krav.
  • Politi — særligt ved ransomware med løsesumsbesked bør I anmelde til politiet.
  • Bestyrelse / ejere — ledelsen skal orienteres.

Kommunikation til medarbejdere

Fortæl medarbejderne, hvad der er sket — kortfattet og faktabaseret. Bed dem om ikke at tale med pressen eller dele på sociale medier. Forklar hvad de skal og ikke må gøre i mellemtiden. Usikkerhed og rygter er næsten lige så skadeligt som angrebet selv.

Time 6–24: gendannelse og analyse

Nu begynder den tekniske gendannelse — men det sker kun fra verificerede, rene backups. Geninstaller systemer fra bunden. Gendan data fra backup. Verificér at backuppen er ren, inden I forbinder den til netværket igen.

Parallelt starter den tekniske analyse: hvordan kom angriberne ind? Hvornår skete det første kompromittering? Hvad kan I gøre for at forhindre det næste gang?

Lav planen nu — ikke bagefter

En IT-beredskabsplan behøver ikke være lang. En A4-side med navne, telefonnumre og rækkefølge af handlinger er tilstrækkelig. Gem den printet et fysisk sted — for hvis jeres systemer er krypterede, kan I ikke tilgå et digitalt dokument.