In de nacht van zaterdag 19 op zondag 20 februari was Axis het doelwit van een grote cyberaanval. Hierdoor moesten websites en het e-mail-verkeer offline worden gehaald. De fabrikant benadrukt dat de aanval geen gevolgen heeft voor klanten. Er zijn geen klantgegevens gestolen en camerasystemen zijn gewoon veilig blijven werken.

Met behulp van verschillende combinaties van social engineering konden aanvallers inloggen als gebruiker, ondanks beschermende mechanismen zoals multifactor-authenticatie. Eenmaal ingelogd gebruikten de aanvallers geavanceerde methoden om hun toegangsrechten te vergroten om zo uiteindelijk toegang te krijgen tot directoryservices. Dit werd zondag 20 februari vroeg in de ochtend opgemerkt door een dreigingsdetectiesysteem. Het IT-management schakelde direct externe beveiligingsexperts in, die vaststelden dat hackers waren binnengedrongen in de Axis-netwerken. Besloten werd om direct alle externe connectiviteit te verbreken om de indringers af te sluiten. Later op de dag waren alle websites van Axis onbereikbaar gemaakt. Ook medewerkers en partners konden geen gebruik meer maken van de ICT.

Herstel
Uit nader onderzoek bleek dat delen van de serverinfrastructuur gecompromitteerd waren, terwijl andere delen intact bleven. Men begon meteen met forensisch onderzoek en projecten voor het opschonen en herstellen van de aangetaste componenten. Zo kon de afgelopen week geleidelijk worden teruggekeerd naar de normale operationele status. De productie en distributie ondervonden relatief weinig hinder van de cyberaanval. Al op 20 februari werd weer een aantal klantgerichte diensten beschikbaar gesteld. De Nederlandse website was 28 februari helaas nog onbereikbaar, maar de meeste naar buiten gerichte diensten zijn hersteld. Sommige wachten nog op een veiligheidsmachtiging. Wat betreft internetgerichte diensten, werkt Axis momenteel in een beperkte modus. Dit zal doorgaan zolang het forensisch onderzoek loopt en totdat het herstel is voltooid. Dit heeft vooral invloed op de interne werkstromen en slechts beperkt op klanten en partners. Axis verwacht dat de laatste onderdelen van de klantgerichte diensten binnen enkele dagen volledig beschikbaar zijn.

Bevindingen tot nu toe
Er zijn geen servers gevonden die versleuteld zijn met ransomware, maar er is malware gevonden en er zijn aanwijzingen dat interne directoryservices zijn gecompromitteerd. Er is volgens Axis vastgesteld dat klantinformatie niet is aangetast. In totaal zijn er beperkte aanwijzingen van schadelijke gevolgen, afgezien van de algemene schaamte en het productiviteitsverlies.
De aanvallers gebruikten meerdere methoden van social engineering om toegang te krijgen en wisten zo de beveiligingsmechanismen te omzeilen. Reeds doorgevoerde verbeteringen zijn veranderingen die de kans op menselijke fouten verkleinen. De technische beveiligingsmechanismen zijn in het algemeen over de hele linie verhoogd om het risico van een soortgelijke toekomstige gebeurtenis te beperken. Het effect is een verhoogde beveiliging ten koste van iets minder soepele workflows.
Het is volgens Axis een betreurenswaardig feit dat geen enkel bedrijf volledig veilig is voor het risico van cyberaanvallen. De fabrikant maakte al gebruik van geautomatiseerde en systematische monitoring. Ook is er een plan B voor als dreigingen te laat worden gesignaleerd. Daarvan wordt gebruik gemaakt bij het snelle herstel. Axis biedt relaties excuses aan voor eventueel ongemak.