Kapning, vakuum och ClubAdmins återkomst – men vad hände egentligen?

Den 19:e januari 2019 slutade Rotarys medlemssystem ClubAdmin och de centrala hemsidorna för distrikt och klubbar att svara. Systemet var kapat sades det.

Först i mitten av april, hela tre månader senare, kom klubbsidorna tillbaks, men fortfarande inte distriktssidorna.

Här följer en redogörelse i punktform av vad som sagts under denna långa tid – vilket inte är så mycket – och därefter en analys av vad som kanske verkligen hänt och gjorts.
[ Komplettering kl 15:05 2019-04-18 markerad med NY INFO! ]

[ Artikeln är skribentens text och inte klubbens officiella ståndpunkt ]

Faktapunkter

+   kvällen fredag den 18:e januari slutar ClubAdmin svara

+   redan söndag den 20:e kommer mail att ClubAdmin är stängt och det beräknas ta ”flera dagar att åtgärda felet”

+   den 22:a mailas att det rör sig om en hackerattack som även raderat backuper, men att en första enkel version av ClubAdmin förhoppningsvis kan finnas ”om en vecka”

+   den 29:e mailas att återställning pågår och en begränsad version med huvudsakligen medlemsdata beräknas vara igång ”om en vecka”

+   den 4:e februari mailas att arbetet är mer omfattande men en basversion kan vara igång om ”ytterligare någon vecka”

Sen kommer inte fler mail, enligt en DITS har man inget nytt att berätta – på tre veckor.

+   den 25:e februari mailas om ”två goda nyheter” – att systemet är på väg tillbaks och att det mesta av data kunnat räddas

+   den 2:a mars blir medlemsdelen av ClubAdmin åtkomlig, men inget berättas om hemsidor för distrikt och klubbar

+   den 15:e mars publiceras en artikel på Rotarys centrala WordPress-webb (fristående från ClubAdmin) med rubrik ”Klubb- och distriktswebbsidor visas inte” men inget om när eller om dessa kan tänkas komma åter

Sen meddelas inget alls förrän klubbarnas hemsidor plötsligt finns den 16:e april och organisationens DITS:ar skickar ut mail om detta. Artikeln från den 15:e mars ligger dock kvar som senaste nyhet på wp-adressen. Och distriktens hemsidor dröjer ytterligare ”någon dag” enligt mailet den 16:e.

Så långt den sakliga redogörelsen punkt för punkt, vilket i stort är allt som kommunicerats till medlemmar och andra eventuellt intresserade.

Analys

Måhända brända av de tidiga beskeden som fick flyttas fram gång på gång, valde man sedan tystnad. Ingen redogörelse för vad som faktiskt hände och vilka insatser man gjort har heller presenterats. Det mesta är höljt i dunkel, men några korta punkter har framkommit genom ”sidokanaler”:

+   i beskedet den 22:a angavs att ingen backup fanns då hackerattacken även skulle ha raderat dessa

+   guvernörerna skall ha fått erbjudande från kaparna att köpa en dekrypteringsnyckel för USD 6,000 i bitcoins, vilket man vägrade

+   en senare muntlig uppgift var att ”det tar tid att dekryptera 8 miljoner filer”

+   när medlemsdelen av ClubAdmin kom tillbaks fanns till synes alla medlemsuppgifter, dokument, artiklar och faktiskt ”samma gamla buggar” kvar i systemet

Utifrån ovanstående punkter finns egentligen bara två möjligheter till hur systemet kom tillbaks:

a) leverantören hittade trots allt en hyggligt aktuell backup som kunde återställas

b) kryptonyckeln köptes trots att guvernörerna vägrade, så filerna kunde låsas upp

Rörande alternativ a) skall sägas att varje system skall ha backup på annan plats än den serverhall där det körs. Om servern havererar (eller hackas), hallen brinner, översvämmas eller annan större olycka inträffar, måste en rimligt färsk kopia finnas på annan plats så systemet kan återställas på ny server inom rimlig tid. Men det gjorde det inte utan hackarna kunde radera eller låsa backuperna enligt de tidiga besked som faktiskt gavs – och återställning tog inte dagar utan månader!

Systemet skall också av ”projektsäkerhetsskäl” funnits deponerat hos tredje part (någon handelskammare). Detta görs ofta med själva programkoden för att säkerställa att en organisation inte går miste om viktig programvara om exempelvis en leverantör går i konkurs. Men sådan arkivering består av programkoden, inte databaserna med medlemsuppgifter och dokument (särskilt nu med GDPR som skall skydda integriteten i bl.a. medlemsregister så de inte kommer tredje part till del).

Sammantaget gör det att alternativ a) verkar mycket osannolikt.

NY INFO kl 15:05 2019-04-18: syftet med denna artikel har varit att försöka ta reda på vad som verkligen hände. Erhöll ett meddelande från en ”källa med viss insyn i processen” att leverantören i samarbete med specialister lyckades återskapa data från en backupdisk – vilket ju motsäger delar av den information som gavs initialt att backuperna var krypterade. Enormt bra att få veta (och borde kunnat meddelats tidigare, både i utskick eller på direkta frågor) och gör den befarade betalningen av lösensumma nedan mindre oroande – om informationen är riktig. Dock låter det dyrt, mycket dyrare än att ha vettig backup förstås, och påverkar inte de slutsatser som dras sist i artikeln.

Finns fler alternativ än b) kvar? Att knäcka krypton och dechiffrera filer utan kryptonyckel kräver för bra kryptoalgoritmer, som hackare definitivt har tillgång till, enorm superdatorkraft (storleksordningen ”1 000 datorer i 1 000 år”). Att hackarna skulle ”glömt kvar” kryptonyckeln i en fil som inte krypterats på servern… nja, var de så kunniga att de tog sig in och krypterade systemet och backuperna gjorde de knappast ett så simpelt misstag.

På direkt fråga till guvernörerna har inget svar kunnat ges. De verkar inte veta – eller vill inte berätta – hur systemet kom tillbaks, men en farhåga som inte kunnat uteslutas är att leverantören betalade de kriminella hackarna lösensumman på USD 6,000 i bitcoins (ospårbara digitala pengar). Blotta misstanken att vår fina organisation med höga etiska ideal sponsrat kriminella hackers med sådana summor – som för allt vad vi vet kan ha finansierat terrorism, eller värre – känns mycket obehaglig.

Men ingen berättar vad som hände, vad som gjorts och vad man tänker göra om samma eller andra hackare skulle kapa systemet igen – vilket ju är en uppenbar risk.

Även leverantören verkar inse denna risk då man i en offert daterad 1:a april (!) ville höja säkerheten i klubbarnas hemsidor genom att under 3 månader bygga om visningen av dessa för dyra pengar (över 400 tkr nedsatt till 100 tkr har nämnts). Utöver att organisationen varit utan medlemsystem i över en månad och hemsidor tre månader, vilket man sannolikt inte erhåller något skadestånd för, skulle Rotary betala ännu mera och få vänta ännu längre på hemsidorna…? Guvernörerna avslog offerten – men hemsidorna har alltså lanserats igen trots att inte ens leverantören själv verkar tro på säkerheten i dem.

Slutsatser

När en allvarlig händelse som denna hackerkris inträffar borde det vara viktigt att nyttja de kommunikationsmedel man fortfarande har kvar. Till en början gjordes det genom epost-utskick. Sedan tystnade dessa och man använde heller inte hemsidan wp.rotary.se för några egentliga uppdateringar om läget. Hela organisationen hamnade i ett informationsvakuum.

Någon redogörelse från leverantören om vad som hände och vilka åtgärder som vidtagits – från hur systemet faktiskt kom tillbaks till om fungerande backup-rutiner införts – verkar inte existera och ej heller krävts?

Flera klubbar har sedan tidigare egen hemsida utanför det centrala systemet. Flera distrikt startade upp egna distriktswebbar som www.rotary2360.se och www.rotary2370.se liksom ytterligare klubbar när tiden för återställning drog iväg. Längst, och på sikt sannolikt klokast, har Distrikt 2390 gått som lämnat ClubAdmin och använder det stora välrenommerade systemet ClubRunner på www.rotary2390.se – men det kostar också mer per medlem och år.

Hur dyrt kapade webbsystem och icke fungerande hemsidor är, vad det fullständigt krossade förtroendet för leverantören kostar och allt elände som drabbar de som försöker vara aktiva i organisationen kan dock inte mätas i pengar.

Har Du frågor, kompletteringar eller synpunkter på detta? Hör gärna av Dig till
webkap@rotarykatrineholm.se

Fotnot: artikel skriven av medlem i Rotary Distrikt 2370, tillställd DG och DGE för synpunkter och rättelser, inga invändningar i sak inkom. Rotary Katrineholm drog redan förra gången webbsidorna försvann våren 2015 slutsatsen att en egen webbplats är säkrast, av flera skäl.