”I det sekund jeg klikker på linket i mailen, får jeg ondt i maven. Det er ligesom at opdage, at du har overført en masse penge til den forkerte konto. Jeg lukker alle faner, men det er for sent.”

Sådan oplever 32-årige Christian Cordius den februarmorgen, hvor han på få minutter mister fire års hårdt arbejde med at opbygge relationer til 12.000 følgere og dermed potentielle kunder. Resultatet bliver en mærkbar nedgang i omsætning de efterfølgende tre måneder, og et halvt år efter er de langt fra at være oppe på det antal følgere, som hackerne stjal.

Født gennem sociale medier

Som stifter af virksomheden Banana Cph, der ”redder” overskudsbananer og omdanner dem til is, har han været med til at opbygge tilstedeværelsen på det sociale medie Instagram. Banana Cph åbner i 2018, og her sælger de direkte til forbrugere, og Instagram bliver fra begyndelsen den primære kanal til markedsføring.

”Jeg prøver alle taktikker: at være sød, sur og tale til hans bedre samvittighed – den fandtes ikke.”

Christian Cordius

 

Den visuelle promovering er med til at skabe en fortælling om Banana Cph som bæredygtig, lækker is. Under pandemien går kanalen fra at være væsentlig til at blive vital. Banana Cph bliver nødt til at lukke deres på daværende tidspunkt fem butikker og flytter i stedet salget til Instagram.

”Vores fysiske tilstedeværelse forsvandt med corona. Så vi blev meget afhængige af Instagram. Her oplever vi dog et kæmpe boost. Dels får vi en hel del følgere, og for at overleve rækker vi gennem vores profil direkte ud til vores følgere, fortæller om dagens smage, tager imod bestillinger og leverer,” siger han.

Succesen på Instagram holder liv i forretningen. Christian Cordius og Banana Cph har godt fat i målgruppen og kunderne, og de er klar til at ekspandere og omstille sig fra B2C- til B2B-virksomhed med salg gennem partnere som 7-Eleven og supermarkeder. Mange opgaver bliver fordelt mellem de fire fuldtidsansatte og tre deltidsmedarbejdere. Selv har Christian Cordius en alenlang todo-liste, og det bliver en af ingredienserne i den cocktail, der fører til hackerangrebet.

Den legitime e-mail

En tidlig lørdag morgen i februar tumler Christian Cordius ud af sengen. Det har været en lang uge med et væld af forskellige opgaver. Han når ikke at sætte morgenkaffen over, før han vipper skærmen på den bærbare computer op og tjekker sin mailindbakke.

”Vi har anmodet om at få det her badge, der viser, at vi er verificeret bruger på Instagram. I indbakken er der en mail om lige netop det. Jeg tjekker hurtigt mailen, og den ser helt igennem legitim ud, så jeg trykker på linket i mailen, og så kan jeg se, at jeg bliver smidt af kontoen,” siger han.

To minutter efter vibrerer telefonen.

”Bagmanden ringer mig op på WhatsApp og siger, at jeg kan betale et par tusind kroner i Bitcoin for at få adgang til kontoen. Som modsvar prøver jeg alle mulige taktikker: at være sød, sur og tale til hans bedre samvittighed – den fandtes ikke,” siger Christian Cordius.

Telefonsamtalen slutter med, at bagmanden sender instruktioner, der forklarer, hvordan Christian kan få sin konto tilbage. Med instruktionerne følger et tilbud om fremtidig hjælp med it-sikkerheden. Begge dele takker direktøren i Banana Cph nej til.

I stedet rækker han ud til sit netværk gennem Facebook og forsøger i et par dage at følge adskillige vejledninger til at genvinde kontrollen med kontoen. Indsatsen er dog frugtesløs, og forsøgene bliver hurtigt droppet, for som han selv siger: ”Jeg havde en virksomhed, der skulle drives, og så har man ikke meget tid til at kæmpe for – måske – at få kontoen tilbage.”

I sidste ende måtte de lægge den gamle konto i graven og starte forfra, men det at genvinde følgernes gunst er ikke en nem opgave. Efter godt et halvt år har de blot 2.410 følgere – altså under en fjerdedel af deres tidligere profil.

Cyberangreb er en forretningsrisiko

Spørger man Jens Myrup Pedersen, der er professor på Aalborg Universitet og leder forskningsgruppen for cybersikkerhed, så er Banana Cph’s historie bestemt ikke unik.

Mange små og mellemstore virksomheder har skærpet deres digitale tilstedeværelse under coronanedlukningen. Og mange har gjort det så hurtigt for at overleve, at it-sikkerheden er blevet overset.

”En af de udfordringer, som særligt små og mellemstore virksomheder står overfor, er, at de i højere grad skal prioritere deres tid og økonomi benhårdt mellem fx it-sikkerhed og at drive forretning,” siger han.

Grundlæggende handler det ifølge Jens Myrup Pedersen om at få et overblik over sine risici og eventuelt at få ekstern hjælp til at sikre, at man ikke overser risici, fx hvor svært det kan være at få en social medie-konto tilbage. Man skal også være opmærksom på, at cyberangreb er en forretningsrisiko og ikke blot en it-risiko. Det indebærer også at gøre sig klart, hvilken rolle ens sociale medie-kanaler spiller i virksomheden.

”Det behøver ikke være ekstremt dyrt at få en ekstern til at se på it-sikkerheden. Og det giver utrolig stor ro i maven og baghovedet.”

Christian Cordius

Derudover kan virksomheder plukke nogle lavthængende frugter, der kan sikre dem mod langt de fleste hackerangreb – også dem, hvor man selv giver de cyberkriminelle sine loginoplysninger. Det indebærer bl.a. at bruge tofaktorgodkendelse, en password-manager og unikke adgangskoder på alle tjenester. Det er også vigtigt at holde sine applikationer og sikkerhedsprogrammer opdaterede samt at have styr på, hvilke brugere der har adgang til forskellige tjenester.

 Nu får vi ugentlige sikkerhedstjek

Ifølge Jens Myrup Pedersen kan simple forholdsregler lukke ned for langt størstedelen af alle angreb, men desværre tilhørte angrebet mod Banana Cph den anden gruppe. Christian Cordius brugte i forvejen tofaktorgodkendelse, så her har der været behov for at skærpe sikkerheden fra flere steder.

På bagkant af angrebet fik de en it-sikkerhedsekspert til at fintrimme alle deres systemer og optimere sikkerheden i alt lige fra deres sociale mediekonti til deres e-mailsystemer. Særligt sidstnævnte skal begrænse antallet af farlige mails, der når frem til de ansattes indbakker.

Og den løsning giver god mening, vurderer Jens Myrup Pedersen.

”Ingen kan blive 100 procent sikre, men man kan godt indføre tekniske sikkerhedspolitikker i fx mailprogrammer, så man reducerer antallet af farlige e-mails. Samtidig er det vigtigt at brugerne er opmærksomme på ikke at klikke på links uden først at sikre sig de er legitime - eller selv indtaste adressen på f.eks. e-boks i browseren. Det kan ikke eliminere truslen, men reducere den,” siger han. 

Netop den distinktion er Christian Cordius bevidst om i dag. Derfor har de syv ansatte i Banana Cph ugentlige sessioner med sikkerhedseksperten, så de på bedst mulig vis kan stå imod truslerne. Og det har givet ro i maven.

”Det behøver ikke være ekstremt dyrt at få en ekstern til at se på it-sikkerheden. Og det giver utrolig stor ro i maven og baghovedet. Særligt med tanke på, hvor væsentligt det er at forebygge, fordi det er så svært at få sine data tilbage, når ulykken først har ramt,” siger Christian Cordius.