Coop, Bauhaus og nu 7-Eleven: De seneste hackerangreb er et vink med en vognstang

7-Eleven har kæmpet med et nedbrud på grund af et større hackerhangreb, som lagde virksomheden fuldstændig ned. Angrebet ramte blandt andet betalingsterminalerne, point of sale-systemerne, og hvis det lyder bekendt, er det præcis, hvad der også skete for Bauhaus for kort tid siden og hos vores svenske venner i Coop Sweden.

Det overrasker mig dog desværre ikke: Imens det er ærgerligt for alle os, som blev afskåret fra at købe pølsehorn, og for 7-Eleven-koncernen naturligvis, er it-sikkerhed i detailhandlen/retailbranchen notorisk overset. Derfor bør de seneste angreb og/eller nedbrud være et vink med en vognstang: Få styr på sikkerheden – helt ud på kanten af jeres virksomhed.

Retail er den mest udsatte gruppe

Mange tror, at det er medicinalbranchen og hospitaler, som er de mest udsatte institutioner for cyberangreb, for det er dér, der kan skabes størst skade. Det mener de store analysehuse Gartner og Forrester også, men det er jeg uenig i – for det er ikke det, jeg oplever, når jeg selv bevæger mig rundt i de skjulte online-fora, hvor hackere og it-kriminelle åbent deler erfaringer.

For hospitaler har en moralefirewall, en naturlig beskyttelse mod de fleste hackere: For modsat den almindelige overbevisning, har hackere en samvittighed. De er også sønner, og de har også børn. Derfor har de færreste grupperinger lyst til at ramme hospitaler, da det kan betyde tab af menneskeliv. Her tænker jeg på ”almindelige” hackergrupper og ikke statstilknyttede grupperinger, som nok mere skal anses som cyber-soldater.

Hvad der er fælles for hackergrupperne er dog, at de vil ses.

De vil have anerkendelse for deres evner og resultater, og derfor angriber de store virksomheder, hvor konsekvensen af deres angreb er store, tydelige og mærkbare. Derfor er detailvirksomheder åbenlyse mål: For rammer du eksempelvis POS-systemet (point of sale), lukker du hele virksomheden. Det trækker overskrifter på samtlige medier, og samtidig er den eneste varige skade, at 7-Eleven tjener færre penge. Derudover har de fleste store detailkoncerner også pengene til at betale løsesum, hvilket jo også gavner hackerne.

Og derfor skal andre i branchen kun forvente også at blive udsat for angreb.

Hvordan kommer de igennem?

Så hvordan kommer hackerne igennem til en virksomhed som 7-Eleven? En mulighed kan være et phishing-angreb via mail, men en anden og meget realistisk mulighed er et fysisk angreb på selve 7-Elevens terminaler.

Langt de fleste kasseterminaler kører med en særlig isoleret version af Windows-systemet til at drive softwaren. Det er ofte en gammel, men meget driftssikker version af Windows, men som modsat kun sjældent er opdateret og dermed meget sårbar over for indtrængende. Og det kan godt være, at kasseterminalerne ikke er på internettet, men de er forbundet til et fælles backend-system i et datacenter, som er på nettet, og til alle andre kasseterminaler.

Næste gang du står i køen i Fakta, Kvickly eller i Magasin i kiosken, så prøv at se ned på kasseapparatet. Du vil højst sandsynlig kunne se frit tilgængelige USB-porte. De porte er ofte ubeskyttede, så det er absolut realistisk, at en ondsindet har bedt den ansatte i 7-Eleven om at tage en pakke smøger fra øverste hylde, og imens den ansatte har ryggen til, smidt en USB-pind med ondsindet kode ind i terminalen, og så starter festen.

Mange virksomheder skaber stærke it-sikkerhedsmæssige ydermure for at beskytte mod indtrængende, men er en hacker først inde, er der fri passage fra kasseterminalerne i en butik og tilbage til backend-systemet i datacentret, og er man der, kan man virkelig skabe ravage – såsom at lukke hele systemet ned.

Jeg var for år tilbage med til at implementere et kasseterminal-system hos en større, tidligere dansk kæde, som havde baseret hele deres gamle system på et selvudviklet Linux-system. Det fungerede godt nok glimrende men var så hullet, at jeg kunne have gennembrudt deres it-forsvar med en gammel Nokia-telefon.

Og fedt, hvis du tænker, at du har styr på dette, men hvis tre store kæder inden for relativt kort tid bliver lagt ned, som det sker nu med Coop Sweden, Bauhaus og 7-Eleven, har branchen et problem.

Hvem rammes næste gang?

Vi kommer unægtelig til at se flere af de her typer nedbrud og angreb mod de store kæder, indtil de får ordentlig beskyttelse på deres end-points. Men det, der skræmmer mig mere, er, når de kommer til at ramme dem, der er mindre.

I stigende grad vælger mindre virksomheder – tænk frisører og små uafhængige butikker og cafeer – at købe ind i en samlet point of sale-service, som eksempelvis fungerer via en iPad og en kortlæser, der så håndterer alt fra salg, pengeoverførsel til kvitteringer og regnskaber. Og imens en iPad og iOS er et yderst beskyttet system, er de enkelte apps og apps’ infrastruktur ikke.

Rammer du sådan en platform, lammer du ikke én virksomhed, men tusindvis af virksomheder.

Så kære butiksejer, direktør og it-chef i retailbranchen. Er du parat til at blive ramt?