TOMRA opplevde i juli i fjor et alvorlig cyberangrep på sine systemer. Erfaringen har styrket organisasjonen og bekreftet hvilke prosesser og eiendeler som er viktig å beskytte om krisen oppstår.
Eva Sagemo, Group CFO i TOMRA, deler sine viktigste refleksjoner etter cyberangrepet:
- Krisehåndteringsplan må være på plass, og sørg for jevnlig trening.
- Oversett IT- og sikkerhetsteknisk informasjon til C-suite, slik at beslutninger tas på riktig grunnlag.
- Forstå organisasjonens risiko, planlegg risikohåndtering og følg opp avvik.
- Kartlegg, kategoriser og beskytt organisasjonens eiendeler.
- Forstå dine interessenter, interne og eksterne, og jobb godt med styret. Det er styret som til slutt er ansvarlig for at forsvarlig forretningsdrift er ivaretatt.
Det jeg ofte sier til andre CFO’er med IT- ansvar, er at du MÅ tørre å gå ned i materien, du må forstå ansvaret ditt og gå dypt ned i systemene. Det er store investeringer som skal på plass og da må du vite hva du investerer i.
Hvordan forstår du at du står i en krise?
TOMRA er et internasjonalt selskap med mer enn 5000 ansatte som opererer i over 100 land. De har tre autonome forretningsområder, og er et vekstselskap med agile prosesser som gjør dem i stand til å opprettholde denne veksten på topplinjen.
Da telefonene begynte å ringe om et mulig alvorlig cyberangrep på TOMRA sine systemer i juli 2023, nølte ikke Eva Sagemo, Group CFO i TOMRA, om å iverksette krisehåndteringsplanene selv om informasjonen hun satt på var noe ufullstendig.
Da Eva tok over som Group CFO i mars 2022, fikk hun også ansvaret for informasjonssikkerheten i TOMRA. Hun valgte å bruke mye tid på å lære seg IT-systemene, og jobbet tett på sikkerhetsteamet for å forstå hva de gjorde på dette området.
Selv om de ikke var 100% i mål med å tette alle skott i systemene, var de allerede godt drillet gjennom gode, forankrede prosesser i toppledelsen og hyppig trening innen cybersikkerhet internt med alle ansatte i TOMRA. Eva Sagemo legger vekt på at mye av sikkerheten i et selskap handler om forretningskultur og kunnskap hos ansatte.
Takket være innsikten i IT-systemene, samarbeidet med sikkerhetsteamet og et godt kriseprogram, var verktøyene for å håndtere de første kritiske dagene på plass. Nå opplevde de også viktigheten i å ha klare rollefordelinger med navn på rollene i forkant av en krise, samt at alle involverte må stole på og være tro mot krisehåndteringsprogrammet. Alle aksjonspunkter og beslutninger må loggføres igjennom krisen!
IT-sikkerhetsteamet og ledelsen må snakke samme språk
Sagemos erfaring handler om et tydelig lederskap som står trygt i tøffe valg når en krise som denne inntreffer.
Hun påpeker to viktige punkter for å stå godt i en krisesituasjon.
– Sørg for å ha ledere som tar ansvar, som engasjerer seg og forstår, fordi sikkerhet er et komplekst område med teknologier og trusselbilder som endrer seg konstant. IT-organisasjon og sikkerhetsorganisasjon må snakke et C-suite språk, slik at lederne forstår risikobildet og kan
løfte dette videre opp i styrerommet for beslutning.
Kunnskapsrike ledere innen sikkerhet, kombinert med evnen til å tilpasse seg skiftende beste praksis og tilgang til banebrytende teknologier, har stor betydning for hvordan en organisasjon evner å ligge i forkant av cybertrusler.
Styret må informeres for å forstå risikomatrisene
Styret har et ansvar for drift og risiko i organisasjoner. Ledelsen i TOMRA var raske med å informere styret, allerede fra dag en, selv om de ikke hadde komplett oversikt over hva de sto i. Deretter holdt de dem jevnlig underrettet om status, etterforskning, planlagte aktiviteter, kostnadsbildet, samt intern- og eksternkommunikasjon.
– Vår første prioritet lå i å få opp teknisk drift
Innovasjonstakten ble hardt rammet hos TOMRA da drift og R&D systemer ble tatt ned, og forsinkelsene i innovasjonsprosjektene var ikke til å unngå. Oppsiden lå i måten TOMRA opererer på, og Eva viser til en sterk bedriftskultur.
Kreative ansatte i drift fant måter å jobbe manuelt og fortsatt produsere uten noen operative systemer på plass, for så å legge prosessene inn i systemene i etterkant. R&D jobbet på samme måte, med ekstra ressurser på plass, for å ta inn forsinkelsene. Dette arbeidet har gjort at TOMRA har klart å lansere to nye produkter i 2024 innen området Collection, som leverer panteløsninger.
– Kundefokus er en absolutt prioritet, og høyest prioritet for oss var og er de tekniske løsningene inn mot våre kunder. Da vi tok ned våre systemer rammet det en hel infrastruktur med mer enn 2/3 deler av alle TOMRAs pantemaskiner som gikk i offline modus. Maskinene fungerte operasjonelt, men på diskkapasitet. Vi jobbet døgnet rundt for å få disse systemene så raskt som mulig opp igjen, ellers ville forbrukerne møte pantemaskiner som var nede.
Allerede etter en uke hadde TOMRA fått satt opp ny integrasjon og kunne starte jobben med å koble pantemaskinene tilbake til nettverket sitt.
– Kategorisere eiendelene dine for hvordan du skal komme raskest mulig tilbake
For å forhindre et nytt cyberangrep, har TOMRA gjort store investeringer i sine sikkerhetssystemer, ved blant annet å segmentere hele det tekniske miljøet sitt. Med læringen de har fått, ser de nå på hvordan de kan jobbe enda tettere internt og med kundene sine for en sikrere fremtid. Samtidig oppdaterer de seg kontinuerlig på tekniske sikkerhetstjenester i markedet.
Skreddersøm i kommunikasjonen og kontroll på narrativet
Tilbakemeldingene TOMRA har fått på sin eksternkommunikasjon gjennom denne prosessen har vært veldig gode.
Kommunikasjonen mot børs, analytikere og investorer er en ting, men måten de kommuniserte til kundene sine var fabelaktig, forteller Eva Sagemo. Dette gjaldt spesielt kundene i pantevirksomheten, som er diversifisert på tvers av geografisk lokasjon og har forskjellig oppsett og kultur. Her har de hatt tett dialog, utstedt kundetilpassede informasjonsbrev og deltatt i kundemøter der både sikkerhetsteamet og Eva var til stede for å forklare hva som ble gjort. Dette var viktig for å bygge tillit til gjenoppbyggingsprosessen, men også for den fremtidige kunderelasjonen.
Alle selskap er forskjellige. I en krise gjelder det å finne den åpenheten og transparensen som passer for seg. For TOMRA var det viktig å være tydelige der de kunne være åpne og dele den kunnskapen de nå fikk, samtidig var de få som kommuniserte ut i markedet for å kontrollere at narrativet var likt.
Dagens drift bærer preg av innsikten ledergruppen og styret har fått om cyberkostnader
TOMRA har lært at man aldri kan være 100% forberedt for et cyberangrep. Det er kunnskap om IT-sikkerhet, god kommunikasjon i ledergruppen og riktige investeringer i sikkerhetsteknologi som gjør et selskap mer forberedt.
TOMRA vurderer risiko løpende gjennom året, med dypdykk innen informasjonssikkerhet. De har en plan på hvordan de skal gjenoppbygge, men også hvordan de skal modernisere.
I Q3 2023, kun noen måneder etter angrepet, visste TOMRA mer om kostnadsbildet på hva cyberangrepet kom til å koste dem. Som børsnotert selskap, påpeker Eva at finansmarkedet er pragmatiske og rasjonelle når det kommer til cyberkostnader. Årsaken er at dette er engangskostnader som ikke har noe med fremtidig drift å gjøre.
– Markedet er mer opptatt av hvor mye du har tenkt til å investere fremover på dette området. Denne dynamikken er det viktig for ledere å ha med seg i betraktninger rundt sin egen cybersikkerhet.
