€EUR

el Ελληνικά
el Ελληνικά en_GB English (UK) ru_RU Русский ar العربية ja 日本語 ko_KR 한국어 hu_HU Magyar tr_TR Türkçe es_ES Español cs_CZ Čeština sv_SE Svenska pt_PT Português fi Suomi nl_NL Nederlands ro_RO Română it_IT Italiano fr_FR Français pl_PL Polski uk Українська de_DE Deutsch zh_CN 简体中文 sk_SK Slovenčina
Blog

Maersk Rebuilt Its Entire IT Infrastructure to Recover From NotPetya – A Cyber Resilience Case Study

Alexandra Blake
από 
Alexandra Blake
13 minutes read
Blog
Δεκέμβριος 16, 2025

Η Maersk Ανακατασκεύασε Ολόκληρη την Υποδομή Πληροφορικής της για να Ανακάμψει από το NotPetya: Μια Μελέτη Περίπτωσης Κυβερνοανθεκτικότητας

Build a unified recovery playbook now to survive a cyber shock. Your organization benefits from a resilient IT backbone, clear ownership, and a plan that covers people, process, and technology to recover quickly when a breach hits.

Maersk faced NotPetya in august 2017, forcing a shutdown of their global IT networks and shipping systems. From that moment, teams had to reconstitute thousands of servers, rebuild data flows, and restore operations with minimal downtime. Public estimates put the immediate losses at about $300 million, with recovery costs in the same order of magnitude as they rebuilt from scratch, a challenge that once seemed impossible.

The rebuild began with a clean slate: cloud‑first architecture, standardized technology stacks, and automation to speed restore times. They replaced fragile, bespoke tools with modular components that could be used across regions. The effort adopted a medoc framework to align security and operations, reducing time to restore critical services and laying the groundwork for a scalable, competitive IT platform that could withstand future shocks. This design helps overcome future disruptions and keeps lines of business online.

Where their technology meets operations, Maersk built a security‑minded culture and a disciplined incident response. They aligned vendors, internal teams, and partners across the supply chain, ensuring continuity for customers and shipments on the side. Their ecosystem included coordination with courier partners and with fedex to keep the flow moving even when parts of the network were offline.

Normally, a rebuild hinges on people, process, and partners. For your team, focus on mapping critical systems, validating backups, and running quarterly restore drills. Keep a clear view of where resources go, and ensure your budget aligns with risk reduction. Also involve your suppliers and logistics partners to strengthen the end‑to‑end chain, because resilience lasts where technology, people, and partners work together.

NotPetya impact and remediation milestones

Immediate action: isolate affected segments within minutes, switch to clean backups, and begin a phased rebuild with strict governance and a daily update call. This keeps operations moving on the unaffected side while you focus on containment and a firm recovery path.

  1. Minutes after detection: contain and cut off lateral movement; shut down nonessential services, disable risky remote access, revoke compromised credentials, and snapshot critical assets to prevent drop in data used by shipping operations.
  2. July 2017 wake-up for the giant firm: state cyber-security as a top priority; align cross-functional teams on focus areas; map snabes to spot attack patterns and gaps; issue the first updated incident response plan and keep leadership informed with short update calls.
  3. Assessment and plan: inventory assets used across the shipping side; classify by criticality; design a rebuilt backbone from the ground up with segmented networks and a secure-by-default baseline; prepare migration paths that minimize impact on customers.
  4. Design and rebuild: rebuilt the core IT stack with a modular, resilient design; design controls emphasize least privilege, MFA for access, a strict patch cadence, and enhanced monitoring; cyber-security becomes an industry-wide priority that also guides supplier risk management.
  5. Migration and testing: execute side-by-side migrations to avoid downtime; validate data integrity within minutes of each switch; complete end-to-end tests in the rebuilt environment within two weeks and maintain clear update calls with stakeholders.
  6. Operational hardening: deploy a security operations center, update runbooks, perform regular drills, and keep partners aligned; drop risk in critical lanes, replace or sandbox popular tools that fail to meet controls, and keep the overall footprint lean from legacy dependencies.
  7. Outcomes and learnings: the firm gains improved MTTR and better visibility; the NotPetya impact acts as a wake-up call for the industry to invest in cyber-security hygiene and resilient architecture; the rebuilt platform supports shipping operations with greater reliability and a clear state of risk management.

Timeline of NotPetya outbreak, outage duration, and emergency containment

Isolate affected networks within the first hour and switch to offline backups to recover quickly while you document a clear containment plan for all sites.

The NotPetya outbreak began in late June 2017 in ukrainian networks, traced to a compromised medoc update. From there, the infection spread around the globe, moving into additional networks through worm-like propagation and a Windows vulnerability that let it move laterally across organizations. maersk, the maersk Line operator, found its shipping and logistics operations come down as domain controllers, file shares, and ERP services collapsed. In hours, offices from asia to europe to the americas lost access to critical systems, underscoring how a single supply-chain weakness in the ukrainian medoc ecosystem could hit many business lines and create huge disruption for the industry.

Outage duration varied by site. Core IT services were down for about 10 days in many units, while shipping operations resumed gradually over the next two weeks. By early July, email and key applications began to return, and by mid-July most back-office processes had recovered to some degree. The speed depended on backups, network segmentation, and how quickly teams could switch to offline processes for bookings, manifests, and vessel handovers. The situation shows how problems upstream can affect many functions and come down on operations worldwide.

The emergency containment and rebuild followed a tight script. The chairman called for rapid, cross-border action, and teams executed steps to block lateral movement, cut external access, and rely on offline backups for critical tasks. Maersk rebuilt its IT backbone from the ground up, with a hardened, segmented line of defense and refreshed incident playbooks to reduce future risk. The outbreak highlighted the risk about third-party software like medoc and prompted snabes and industry peers to raise resilience measures, strengthen cyber hygiene, and close gaps in their operations for competitive advantage. Many have noted that after the incident, their shipping networks recovered faster, and the industry arrived at a stronger baseline for emergency containment and recoverability.

Rebuilding the IT backbone: architecture overhaul and security hardening

Start with a concrete action: replace legacy servers, install modern, scalable images, and deploy a layered security posture. Assign a chair for governance, run a controlled pilot, and ensure the plan keeps downtime to minutes rather than hours. This approach yields a clear result and keeps your focus on resilience. What your focus should be is reducing risk and ensuring continuous service across their organization.

  • Inventory all servers, compute nodes, storage, and network devices; map critical workflows; identify line of dependencies and single points of failure.
  • Document data flows between on‑prem and cloud resources; trace the line of dependencies to prevent blind spots.
  • Prioritize systems by risk: customer‑facing apps first, then internal tooling; set a target for migration days per cluster and track progress with time‑bound milestones.
  • Establish a governance chair and a weekly call to review progress and adjust scope as needed.
  • Plan with a rollback path to avoid disruption without affecting business continuity.
  • Segment networks to limit lateral movement and enforce least privilege in policy side.
  • Replace monolithic services with decoupled, containerized workloads; standardize images and configuration baselines; retire old servers.
  • Consolidate identity with SSO, MFA, and privileged access management; integrate with existing directory services.
  • Introduce centralized logging and monitoring stack; ensure data is ingested, indexed, and searchable for faster root‑cause analysis.
  • Plan reinstallation of critical services in a clean environment to remove drift; apply updated baselines and securely retire deprecated components.
  • Implement a fixed patch management cadence: monthly scans, emergency patches within 24–48 hours for critical flaws; verify success via automated checks.
  • Apply configuration baselines (CIS STIG or vendor equivalents); disable unused features; enforce auditing.
  • Deploy EDR on endpoints, IDS/IPS at network edges, and microsegmented firewall rules to minimize exposure.
  • Centralize logs, establish a SIEM, and set alert thresholds to reduce false positives; run regular validation of alerts with runbooks.
  • Strengthen backups: encrypted, offsite copies and tested restoration; perform quarterly DR drills and validate RPOs.
  1. Days 0–14: discovery, inventory, risk register, target architecture, and finalize migration plan; set up a weekly governance call with their stakeholders.
  2. Days 15–30: reinstallation of core servers and OS images; baseline configs; begin network segmentation and identity enforcement; confirm backups are valid.
  3. Days 31–60: migrate workloads to new images; deploy MFA, PAM, and zero‑trust policies; update CI/CD pipelines; conduct pilot cutovers with minimal downtime.
  4. Days 61–90: validate hardening, conduct DR drills, tabletop exercises; finalize runbooks and hand over to operations; measure MTTR and uptime improvements.

Metrics and outcomes: Time to detect and respond target under 15 minutes for critical events; MTTR for core services under two hours; uptime above 99.9% during the initial 90 days of the new backbone. Backups restored within one hour during drills; quarterly DR validation confirms readiness. Incidents caused by configuration drift and missteps drop significantly, and the wake-up call proves that many companys can overcome legacy gaps with disciplined automation. Their time to reinstall servers improves markedly, and experience shows that the added automation, tested runbooks, and clear ownership lines drive reliable service even under stress.

This wake-up makes their companys realize that without automation and clear ownership, manual maintenance becomes a bottleneck. Added governance and practiced drills deliver what their teams need: a robust, repeatable process to move from problem to solution in days, not just time. Your focus stays on what matters–service quality, rapid recovery, and continuous improvement–while the architecture supports it with speed and reliability.

Data protection: backups, restoration tests, and data integrity checks

Implement immutable backups and run restoration tests monthly to validate rapid recovery after incidents like NotPetya. For maersk, this approach cut damages and reduced downtime. Store copies offline and in a separate network segment to limit exposure during a cyberattack.

Detailed backup procedures protect data across many systems. Use versioned snapshots, offline vaults, and automated integrity checks. A manual restoration drill should confirm that reinstallation steps on a clean environment recover all services.

Data integrity checks verify recovered data against the original, using checksums, bit-by-bit comparisons, and end-to-end validation. If found mismatches occur, teams fix gaps in data replication or ransomware shielding before customers are affected.

Rehearse full restores across the shipping network: databases, file stores, and shipping documents like courier manifests. This practice keeps service continuity even when disruptions hit remote sites.

Set a cadence for automated backups plus weekly manual verifications. The wake-up call from NotPetya remains a reminder that technology choices, processes, and governance must align to protect critical data.

Η Maersk διαπίστωσε ότι τα αντίγραφα ασφαλείας από μόνα τους δεν εγγυώνται την ανθεκτικότητα. η ευελιξία αποκατάστασης έχει σημασία. Εκτελέστε δοκιμές σεναρίου wannacry για να επιβεβαιώσετε ότι τα επίπεδα δικτύου, τελικών σημείων και cloud επανασυνδέονται χωρίς απώλεια δεδομένων.

Ο Πρόεδρος λέει ότι το μέλλον της προστασίας δεδομένων βασίζεται στον προληπτικό έλεγχο και τη σαφή ιδιοκτησία. Εισέλθετε σε έναν κύκλο όπου οι ομάδες επικυρώνουν τα αντίγραφα ασφαλείας, τις επαναφορές και τους ελέγχους ακεραιότητας πριν από οποιοδήποτε ζωντανό γεγονός.

Με την πάροδο του χρόνου, οι προσπάθειες από τις ομάδες IT, αποστολών και εξυπηρέτησης πελατών δημιούργησαν ένα πιο συνδεδεμένο σύστημα προστασίας. Βρέθηκαν πολλές δικλείδες ασφαλείας που πλέον συνεργάζονται για την πρόληψη ζημιών και την επιτάχυνση της επανεγκατάστασης, όταν χρειάζεται.

Δίκτυο και ταυτότητα: τμηματοποίηση, έλεγχοι IAM και προνομιακή πρόσβαση

Δίκτυο και ταυτότητα: τμηματοποίηση, έλεγχοι IAM και προνομιακή πρόσβαση

Εφαρμόστε άμεσα αυστηρή τμηματοποίηση δικτύου για να περιορίσετε τις παραβιάσεις χωρίς μη αυτόματο περιορισμό. Διαχωρίστε τους διακομιστές, τις εφαρμογές και τις αποθήκες δεδομένων σε διακριτές ζώνες και εφαρμόστε πολιτική σε κάθε όριο φόρτου εργασίας. Προσθέστε μικροτμηματοποίηση, επιβάλλετε κανόνες βάσει ταυτότητας και παρακολουθήστε την κίνηση Ανατολής-Δύσης μέσω τείχους προστασίας και ελέγχων που βασίζονται σε κεντρικό υπολογιστή. Για την møller-maersk, το ανακατασκευασμένο δίκτυο πληροφορικής ομαδοποίησε τις βασικές υπηρεσίες, τις επιχειρηματικές εφαρμογές και τις εξωτερικές διεπαφές σε τρεις ζώνες και δοκίμασε την τμηματοποίηση αυτόματα, επικυρώνοντας την απομόνωση μέσα σε λίγα λεπτά.

Οι έλεγχοι IAM θέτουν ως προτεραιότητα την ελάχιστη δυνατή εξουσιοδότηση και την ταχεία, ελεγχόμενη πρόσβαση. Αναπτύξτε RBAC και προνομιακή πρόσβαση Just-In-Time (JIT), απαιτήστε MFA σε όλες τις περιόδους σύνδεσης διαχειριστή, απενεργοποιήστε κοινούς λογαριασμούς και θωρακίστε τα διαπιστευτήρια με αυτοματοποιημένη εναλλαγή. Εφαρμόστε την πολιτική ομοιόμορφα σε όλους τους φόρτους εργασίας on-prem και cloud, ώστε κάθε προνομιακή ενέργεια να είναι ελέγξιμη. Αυτά τα μέτρα μειώνουν την επιφάνεια επίθεσης και υποστηρίζουν τους κύκλους ενημέρωσης στο περιβάλλον. Από τα διδάγματα που αντλήθηκαν μετά το NotPetya, οι αλλαγές ταυτότητας και δικτύου έγιναν πιο αυστηρές.

Η διαχείριση προνομιακής πρόσβασης ενισχύει τον έλεγχο των διαχειριστών και των λογαριασμών υπηρεσιών. Χρησιμοποιήστε μια λύση PAM για να αποθηκεύσετε διαπιστευτήρια, να περιστρέψετε κλειδιά, να επιβάλετε την ελάχιστη δυνατή προνομιακή πρόσβαση σε διακομιστές και εφαρμογές και να απαιτήσετε jump hosts με καταγραφή συνεδριών. Επισημάνετε τα δυναμικά προνόμια με snabes για να αντιστοιχίσετε την πρόσβαση σε μια συγκεκριμένη λειτουργία και βεβαιωθείτε ότι ο πρόεδρος επιβάλλει τριμηνιαίες επισκοπήσεις και την τήρηση των πολιτικών σε όλες τις ομάδες.

Η παρακολούθηση και η διακυβέρνηση συνδέουν ολόκληρη την προσέγγιση. Κεντρικοποιήστε τα αρχεία καταγραφής, επιβάλλετε ειδοποιήσεις σε πραγματικό χρόνο για μη φυσιολογικές προσπάθειες και εκτελέστε περιοδικούς ελέγχους πρόσβασης. Θεσπίστε SLA για την ανάκληση της πρόσβασης μετά από αλλαγές προσωπικού και διατηρήστε ένα αμετάβλητο ίχνος που να ευθυγραμμίζεται με τα ορόσημα ανοικοδόμησης και τις κανονιστικές απαιτήσεις.

Area Recommendation Timing Owner
Διαχωρισμός δικτύου Απομονώστε διακομιστές, εφαρμογές και δεδομένα σε διακριτές ζώνες. αναπτύξτε πολιτικές επιπέδου φόρτου εργασίας και αυτοματοποιημένες δοκιμές. παρακολουθήστε για εσφαλμένες διαμορφώσεις Λεπτά για την ανάπτυξη· σε εξέλιξη Επικεφαλής Δικτύωσης
Έλεγχοι IAM RBAC + JIT· απαίτηση MFA· όχι κοινόχρηστοι λογαριασμοί· διαπιστευτήρια αποθηκευμένα με εναλλαγή· πολιτική πολλαπλού νέφους Εβδομάδες για πλήρη ανάπτυξη· συνεχής IAM Team
Προνομιακή πρόσβαση PAM με θησαυροφυλάκιο διαπιστευτηρίων, καταγραφή συνεδριών, jump hosts, ελάχιστα προνόμια Άμεση για τις κρίσιμες διαδρομές· σταδιακή για τις υπόλοιπες Μηχανική Ασφάλειας
Παρακολούθηση & έλεγχος Κεντρικοποιημένο SIEM, ανίχνευση ανωμαλιών, περιοδικές αναθεωρήσεις, ανιχνεύσιμες αποφάσεις Continuous CSIRT / SOC

Αφήγηση ηγεσίας: Προσεγγίσεις CEO, επικοινωνία με ενδιαφερόμενους, και τροχιά ανάκαμψης της επιχείρησης

Σύσταση: Δημιουργήστε μια εκτελεστική γραμμή κρίσεων που να παρέχει ενημερώσεις ανά λίγα λεπτά, με έναν μοναδικό υπεύθυνο για τις αποφάσεις και μια σελίδα κατάστασης των υπηρεσιών που είναι προσβάσιμη στο κοινό, για να μειωθεί η αβεβαιότητα για τους πελάτες και τους συνεργάτες.

Ο CEO επαναπροσδιόρισε το περιστατικό NotPetya ως μια επιχειρηματική δοκιμασία ανθεκτικότητας απέναντι σε κακόβουλες δραστηριότητες, όχι απλώς ένα IT πρόβλημα. Μιλώντας απλά για τον κίνδυνο, ο CEO ενοποίησε την ηγεσία, συντόμευσε τον κύκλο λήψης αποφάσεων και κράτησε την ομάδα επικεντρωμένη στην προστασία των πελατών και των βασικών υπηρεσιών. Η προσέγγιση αναγνώρισε επίσης τις απειλές τύπου Wannacry που είχαμε μελετήσει, καθοδηγώντας την ετοιμότητα και τη νοοτροπία ανταπόκρισής μας.

Η επικοινωνία με τα ενδιαφερόμενα μέρη έγινε μια πειθαρχημένη πρακτική: εκδίδαμε συνοπτικές, πραγματικές ενημερώσεις προς το διοικητικό συμβούλιο, την εκτελεστική ομάδα και τους βασικούς συνεργάτες. Σημειώνοντας πού βρισκόμασταν, εξηγούσαμε τον χρόνο αποκατάστασης της υπηρεσίας, τα μέτρα ελέγχου ζημιών και πώς προβλέπαμε τον αντίκτυπο στις σειρές προϊόντων. Φανταστείτε ένα σενάριο όπου τέτοιες ενημερώσεις δεν υπήρχαν - η γραμμή επικοινωνίας θα θόλωνε και η εμπιστοσύνη θα διαβρωνόταν. Η σαφής γραμμή επικοινωνίας μείωσε την κερδοσκοπία και έχτισε εμπιστοσύνη με κάθε ενδιαφερόμενο.

Πορεία αποκατάστασης: ανοικοδομήσαμε την κεντρική υποδομή, συμπεριλαμβανομένου του γιγαντιαίου κέντρου δεδομένων, με ενημερωμένους διακομιστές, νέα τμηματοποίηση δικτύου και ενισχυμένα αντίγραφα ασφαλείας. Οι εργασίες προχωρούσαν όλο το εικοσιτετράωρο, μειώνοντας τον χρόνο διακοπής λειτουργίας από ημέρες σε ώρες και, στη συνέχεια, σε λεπτά σε κρίσιμα χρονικά πλαίσια. Διαπιστώσαμε ότι οι παράλληλες ροές εργασιών επιτάχυναν την επιστροφή και προσθέσαμε πλεονάζουσες γραμμές και μια προσέγγιση υπηρεσιών με ανοχή σφαλμάτων, επιτρέποντας την επανάληψη των κυκλοφοριών προϊόντων και την ενεργοποίηση των υπηρεσιών προς τους πελάτες σε μια ελεγχόμενη ακολουθία. Αυτός ο ανακατασκευασμένος κορμός θέτει την εταιρεία σε θέση ισχύος για το μέλλον και περιορίζει τις ζημιές από παρόμοιες εκρήξεις.

Μαθήματα και δράσεις: εφαρμόσαμε ένα αρθρωτό, δοκιμασμένο εγχειρίδιο αντιμετώπισης περιστατικών· δημιουργήσαμε ένα ισχυρό πρόγραμμα διαχείρισης κινδύνων προμηθευτών για την αποφυγή κλονισμών στην αλυσίδα εφοδιασμού – αναγνωρίζοντας πώς τα περιστατικά μπορούν να διαχυθούν στους συνεργάτες όπως η FedEx· εκπαιδεύσαμε ομάδες για τη διαχείριση κυβερνοαπειλών στον κυβερνοχώρο· και διασφαλίσαμε ότι κάθε ηγέτης έβλεπε τη σύνδεση μεταξύ της ανθεκτικότητας της πληροφορικής και της επιχειρηματικής αξίας. Προσθέσαμε παρακολούθηση, ανίχνευση και ταχύτερες γραμμές λήψης αποφάσεων για να αποτρέψουμε μια μελλοντική κρίση από το να μετατραπεί σε μια μακρύτερη διακοπή. Η εστίαση παρέμεινε στους πελάτες, τα προϊόντα και τη γραμμή εξυπηρέτησης, σημειώνοντας σαφή πρόοδο και συνεχή βελτίωση, με πολλά συγκεκριμένα βήματα τεκμηριωμένα για μελλοντική ετοιμότητα.