Ransomware er ikke en cloud-trussel. Det er en pc-trussel der bliver til en cloud-katastrofe, fordi OneDrive synkroniserer alt — også de filer din pc lige har krypteret. Det her er hvordan jeg tænker om beskyttelsen, og hvad jeg ville gøre først.

Et af de spørgsmål jeg får oftest fra kunder er: "Vi er jo i Microsoft 365, så vi er beskyttet mod ransomware, ikke?" Svaret er nej. Microsoft beskytter platformen — at den kører, at den ikke bliver hacket nedefra. Men hvis en bruger på en lokal pc får ransomware, så er pc'en udgangspunktet, og OneDrive er lastbilen der kører de krypterede filer op i skyen for jer.

Her er den korte version af hvordan det faktisk sker — og hvad I kan gøre nu, uden at skulle købe nyt udstyr.

Sådan kommer ransomware ind i OneDrive

Det starter næsten altid på en brugers enhed. En phishing-mail, en vedhæftet fil, et makro-dokument der ser uskyldigt ud. Brugeren klikker, malware kører, og inden for få minutter begynder filer at blive krypteret.

Her bliver OneDrive et problem: Klienten på pc'en opfatter krypteringen som almindelige filændringer. Den ved ikke at filerne er ødelagte. Den synkroniserer dem trofast op i skyen. Og hvis brugeren har adgang til delte SharePoint-biblioteker, så ryger fællesfiler også med.

I praksis kan ét kompromitteret laptop på 20 minutter spolere kritiske dokumenter for hele virksomheden. Det er ikke en hypotetisk trussel — det er en jeg har set ske.

Vigtigt at forstå

Selve OneDrive og SharePoint-platformen er meget sjældent angrebsmålet. Det er den lokale enhed, hvor synkroniseringen sker, der er den svage del. Beskyttelsen handler derfor lige så meget om endpoint-sikkerhed som om cloud-konfiguration.

Det første skridt: Versionshistorik er jeres redningsline

Den gode nyhed: SharePoint og OneDrive gemmer som standard tidligere versioner af alle filer. Når ransomware krypterer en fil, oprettes der en ny version — den gamle, rene version er stadig tilgængelig. I kan rulle tilbage.

Men der er to forudsætninger for at det virker:

  1. Versionering skal være aktiveret på alle vigtige biblioteker. Det er det som standard i moderne M365-tenants, men jeg ser stadig gamle SharePoint-sites hvor det er slået fra.
  2. Antallet af gemte versioner skal være højt nok. Standard er ofte 500. Hvis I bruger document automation eller har mange ændringer, kan I ramme loftet hurtigt — og så ryger de gamle, rene versioner ud bagfra.

Tjek begge dele. Det tager 10 minutter, og det kan være det der redder jer.

OneDrive Restore — gendan til et tidspunkt før angrebet

Microsoft har en funktion der hedder "Restore your OneDrive". Den lader dig rulle hele en brugers OneDrive tilbage til en specifik dato — op til 30 dage tilbage. Det er den hurtigste måde at gendanne efter et ransomware-angreb.

Det fungerer kun for OneDrive (ikke SharePoint), og det dækker kun 30 dage. Men hvis I opdager et angreb hurtigt, er det utroligt effektivt. Sørg for at jeres support eller IT-leverandør ved hvor knappen er, før I får brug for den.

Det er ikke nok i sig selv

Versionering og OneDrive Restore er solide nødforanstaltninger. Men de har grænser:

  • SharePoint Restore findes, men virker ikke altid på store biblioteker
  • Versioner kan rulle ud, hvis I har mange ændringer
  • Hvis angrebet ikke opdages indenfor 30 dage, er restore-vinduet væk
  • Slettede filer ryger ud af papirkurven efter 93 dage

Derfor anbefaler jeg dedikeret backup af Microsoft 365 til alle kunder med data der er kritiske. Det giver længere bevaring, hurtigere granulær gendannelse, og mulighed for at gendanne data der er væk fra Microsofts egne mekanismer.

"En backup der ikke er testet er ikke en backup. Det er en falsk tryghed med en faktura."

Forebyggelse — det meste angreb stopper på pc'en

Hvis I kan stoppe ransomware på pc'en, kommer den aldrig i nærheden af OneDrive. Det er der den største effekt ligger. Mine fire vigtigste råd:

1. MFA på alle konti — uden undtagelser

De fleste kontorpromitteringer starter med en stjålet adgangskode. MFA stopper det. Det er den enkleste, gratis sikkerhedsforbedring der findes — og en jeg stadig ser virksomheder uden.

2. Patches på pc'er — automatisk, hver uge

Ransomware udnytter ofte kendte sårbarheder i Windows, Office eller browsere. Hvis pc'en er opdateret, er angrebet sværere. Microsoft Intune kan styre det centralt for jer.

3. Defender for Endpoint eller tilsvarende

Almindelig antivirus er ikke nok længere. Moderne EDR-løsninger (Endpoint Detection and Response) kan opdage ransomware-mønstre mens de sker og isolere maskinen før skaden er sket. Hvis I har Microsoft 365 Business Premium, har I allerede Defender for Business — sørg for at det faktisk er aktiveret.

4. Awareness-træning

Det meste ransomware kommer ind via en bruger der klikker på noget. Korte, jævnlige træninger og phishing-simuleringer flytter markant. Jeg har skrevet mere om det i artiklen om awareness-træning.

Opdagelse — hvordan ved I at det sker?

Det er ofte for sent når brugeren ringer og siger "jeg kan ikke åbne mine filer". Men der er signaler I kan fange tidligere:

  • Mange filændringer på kort tid — særligt med usædvanlige filendelser
  • Filer der pludselig hedder noget ulæseligt som document.xlsx.locked eller Q4-rapport.docx.crypt
  • Nye filer som "READ_ME.txt" eller "HOW_TO_DECRYPT" i mange mapper
  • Login fra usædvanlige lokationer i Microsoft 365 audit log

I Microsoft 365 kan I sætte alarmer op for unormalt mange filsletninger eller -ændringer. Det er ikke perfekt, men det giver jer en chance for at reagere før alt er væk.

Hvis det sker — handlingsplan

Det vigtigste når ransomware rammer er at handle hurtigt og i den rigtige rækkefølge:

  1. Isolér den kompromitterede pc. Træk netværkskablet ud, sluk WiFi. Stop OneDrive-synkronisering med det samme.
  2. Stop synkronisering på alle andre maskiner der har adgang til de samme delte mapper, indtil I ved hvad der er sket.
  3. Lås den kompromitterede brugerkonto i Microsoft 365.
  4. Vurder skaden. Hvilke biblioteker er ramt? Hvor mange filer? Hvornår startede det?
  5. Gendan fra versioner eller backup. Brug OneDrive Restore eller jeres backup-løsning.
  6. Lav root cause-analyse. Hvordan kom det ind? Skift adgangskoder, ryd op, dokumentér.

En enkelt øvelse-aften, hvor I går processen igennem teoretisk, gør at I ikke skal opfinde det hele i panik den dag det rammer. Jeg anbefaler at lave det her én gang om året.

Bør I betale løsesummen?

Politiet og sikkerhedsmyndigheder fraråder det generelt. Der er ingen garanti for at I får data tilbage, og I finansierer organiseret kriminalitet. Fokusér i stedet på at have backup og gendannelse på plads så valget aldrig kommer på bordet.

Sammenfatning — det vigtigste at huske

Ransomware-beskyttelse i Microsoft 365 handler ikke om ét produkt eller én indstilling. Det er et samspil af flere lag:

  • Forebyggelse på pc'en (MFA, patches, EDR, awareness)
  • Forsvarslinjer i skyen (versionering, OneDrive Restore, papirkurv)
  • Backup som sidste sikkerhedsnet (dedikeret M365-backup med længere bevaring)
  • En plan for hvad I gør, når det sker (isolér, vurder, gendan, lær)

Ingen af lagene er nok i sig selv. Men sammen gør de forskellen mellem en irritation der koster en eftermiddag, og et angreb der lammer hele virksomheden i en uge.

Hvis I vil videre

Jeg kigger gerne på jeres setup og giver tre konkrete anbefalinger til hvad der vil flytte mest. 30 minutter, gratis, ingen forpligtelse. Skriv eller ring.