Demant er fortsat i gang med at genoprette sine it-systemer, efter at et hackerangreb i starten af september ramte selskabet og medførte en lukning af al kritisk it-infrastruktur.

Demant selv har ikke offentliggjort mange informationer om typen af angrebet, eller hvor bredt det har ramt selskabets systemer inden for både produktion, salg og distribution.

Ude fra kan det dog godt se ud som om, at det danske selskab ikke tilstrækkeligt har kunnet isolere angrebet og få lukket hurtigt ned for netop den del af it-infrastrukturen, der blev ramt, vurderer Tom Van de Wiele, der er it-sikkerhedsekspert, over for Ritzau Finans.

Han arbejder som sikkerhedskonsulent hos sikkerhedsselskabet F-Secure i Danmark, hvor han blandt andet simulerer angreb på selskabers infrastruktur for at finde steder, hvor sikkerheden kan forbedres.

"Det er en ekstremt uheldig situation. Der har været et par eksempler i Danmark alene, som forhåbentlig har inspireret selskaberne til at gøre noget. Det er meget svært at forhindre angrebene, men man skal i hvert fald gøre sådan, at man kan isolere angrebene," siger Tom Van de Wiele til Ritzau Finans.

"Jeg kan kun basere det her på de informationer, der har været ude gennem pressen, men baseret på det ser det ud til, at det her angreb eskalerede ud over et punkt, hvor det kunne isoleres og kontrolleres. Og det har haft nogle konsekvenser i form af store finansielle tab," uddyber han.

For meget frihed i systemerne

Han peger på, at hovedproblemet for selskaber som Demant typisk er, at der er for meget frihed inden for de enkelte netværk i it-infrastrukturen - og ikke tilstrækkeligt med sikkerhedslag.

"Hver gang man ser nyheder om tusindvis af computere, der bliver påvirket af ting som ransomware, betyder det normalt, at der er for meget fri interaktion inden for netværkene. Det betyder, at der mangler adskillelse og opdeling mellem de interne netværk i selskaberne," siger Tom Van de Wiele.

"Det er ren spekulation, men det kan være sket, fordi Demant ikke har været i stand til at isolere angrebet på netværksniveau, og på den måde spreder det sig så meget, som det har været indikeret i pressemeddelelserne fra selskabet," fortsætter han.

Ifølge sikkerhedseksperten kunne det være forhindret ved at have flere separate netværk og adgangskontrol mellem netværkene, men afgørende er det også at finde en måde, hvor man hurtigt opdager det, hvis ens it-systemer kommer under angreb.

"Man kan altid finde en måde at angribe selskaber på, og at sikkerheden bliver brudt er ret normalt, men det bør være en klar prioritet fra selskaberne at opdage dem og reagere på dem rettidigt," siger Tom Van de Wiele.

Det handler ifølge ham om at have en god og stærk kultur for informationssikkerhed i selskabet, men det allermest afgørende er at være forberedt på, at et angreb kan ramme når som helst.

"Angriberne har hele deres "karriere" til at angribe de her selskaber, så man er oppe mod nogen, der har meget mere tid og mange ressourcer. Så man er nødt til at antage, at sikkerhedsbrud kan ske, så man ikke bare er afhængig ét sikkerhedslag, men har en lang række lag at falde tilbage på," siger Tom Van de Wiele.

Demant: Vi reagerede hurtigt

Hos Demant selv er vurderingen, at selskabet netop fik reageret hurtigt nok til at begrænse effekten af angrebet.

Selskabet henviser til sin seneste meddelelse om hændelsen, hvor der også blev sat tal på de finansielle effekter af hackerangrebet.

"Vores hurtige reaktion på hændelsen og lukningen af vores it-systemer på tværs af lokationer og forretningsenheder inddæmmede og begrænsede hændelsen, men alligevel blev kerneforretningsprocesser i hele værdikæden, herunder R&D, produktion og distribution, påvirket af hændelsen," skrev Demant ved den lejlighed.

"Som en yderligere følge af vores hurtige reaktion viste back-up af data sig generelt at være intakt. Det har betydet, at vi har kunnet foretage genetableringen på en struktureret og effektiv måde, samtidig med at vi har forbedret sikkerheden omkring gruppens it-infrastruktur yderligere," hed det videre i meddelelsen.

I øvrigt har kommunikationen fra selskabet hele vejen gennem forløbet fokuseret meget klart på, at det netop reagerede hurtigt og fik lukket de kritiske systemer, så angrebet undgik at sprede sig for meget.

Angreb koster 550-650 mio. kr.

Demant meddelte første gang om hackerangrebet den 3. september, hvor det ifølge meddelelsen også var sket.

Dengang lukkede selskabet alle kritiske it-systemer ned på tværs af dets lokationer og forretningsenheder. Siden har Demant løbende arbejdet på at genoprette systemerne, og det arbejde er nu kommet så langt, at selskabet i sidste uge kunne opdatere om de finansielle konsekvenser af episoden.

Demant vurderer, at angrebet vil koste 550-650 mio. kr. inklusive 100 mio. kr., som selskabet får tilbage i forsikringsdækning.

Derfor er forventningerne til hele 2019 blevet nedjusteret tilsvarende, så der nu ventes et driftsresultat (EBIT) på mellem 2,0 mia. kr. og 2,3 mia. kr.

De tidligere forventninger lød på et EBIT-resultat på 2,65-2,85 mia. kr.

De endelige effekter på nøgletal som organisk vækst, pengestrømme og gearing kan endnu ikke opgøres præcist, men dem vil Demant opdatere om i forbindelse med periodemeddelelsen for tredje kvartal, som selskabet onsdag udskød til den 18. november fra den 7. november.

Da Mærsk i sommeren 2017 var udsat for et hackerangreb, estimerede selskabet efterfølgende den samlede regning til 200-300 mio. dollar, hvilket dengang svarede til omtrent 1,3-1,9 mia. kr.

Demant udskyder regnskab efter hackerangreb

Demant-chef efter hackerangreb til 550 millioner: "Ingen kan vide sig sikker"