Hydro bekrefter at de er rammet av et krypteringsvirus, og at det er fremmet løsepengekrav for å låse opp selskapets systemer.
– Rundt midnatt norsk tid oppdaget våre IT-eksperter uvanlig aktivitet på serverne i våre globale IT-systemer. Det viste seg at Hydro var rammet av et alvorlig dataangrep, sa Hydros finansdirektør Eivind Kallevik på en pressekonferanse tirsdag ettermiddag.
Overfor NTB utdyper han at viruset ser ut til å ha rammet selskapets amerikanske virksomhet først.
– Dette startet i en av våre fabrikker i USA. Deretter har viruset spredt seg ut i organisasjonen og rammet flere deler av virksomheten både i USA og Europa, sier Kallevik.
– Men hvor selve viruset har sin opprinnelse og hvem som står bak, er vanskelig å si på nåværende tidspunkt. Det vi har brukt tid på nå, er å isolere fabrikkene for å hindre ytterligere spredning, sier finansdirektøren.
Ifølge NRK har Nasjonalt cybersikkerhetssenter (NorCERT) slått fast at angriperne har brukt løsepengeviruset LockerGoga, som gjør alt innhold på datamaskinen utilgjengelig, samtidig som det foregår angrep mot selskapets bruker- og påloggingssystemer.
Kallevik vil ikke gå i detaljer om virusets navn, men bekrefter at det dreier seg om et løsepengevirus. Han vil ikke spekulere på hvor mye penger angriperne krever eller kommentere hvorvidt selskapet vurderer å betale.
– Det ligger en åpen tekstfil ved krypteringsviruset, men det er ikke noe vi har brukt tid eller ressurser på så langt. Det vi fokuserer på, er å finne en kur mot viruset slik at vi kan komme tilbake til normal drift, sier Kallevik.
– Strategien vår er å bruke backup-data for å få systemene opp igjen, sier han.
Viruset har slått ut Hydros globale nettverk, og nettsiden deres har vært nede hele tirsdag. Rundt om i Hydros kontorer i Oslo er det satt opp lapper der de ansatte bes om å ikke koble PC-er til nettverk før det gis ny beskjed.
Det gjør det vanskeligere å løse de administrative oppgavene selskapet vanligvis gjør med datamaskiner, men ifølge Kallevik har Hydro reserveløsninger.
– Vi kan fortsatt snakke sammen på 2019-vis via smarttelefoner og tablets, sier han.
Kallevik kaller dataangrepet en «alvorlig hendelse», men legger til at de økonomiske tapene foreløpig ikke ser ut til å bli store.
– Konsekvensene er så langt veldig små. Vi har noe høyere bemanning på noen av verkene våre for å gjøre mer manuelle operasjoner, men i det store bildet er det veldig lite, sier finansdirektøren.
Nasjonal sikkerhetsmyndighet (NSM) er koblet inn i saken og bistår Hydro med å løse datasikkerhetsproblemene. De vet foreløpig heller ingenting om hvem som står bak.
– Det er alltid slik at man begynner med skadebegrensning. Hvem som står bak og hvor sofistikert angrepet er, vil vi se nærmere på i den videre analysen av situasjonen, sier avdelingsdirektør Bente Hoff ved NSMs nasjonale cybersikkerhetssenter til NTB.
Også PST, E-tjenesten, Europol og Kripos bistår i etterforskningen, selv om Hydro foreløpig ikke har anmeldt saken.
– Arbeidet er i en startfase, men av erfaring er skadepotensialet ved slike angrep stort, sier Håvard Aalmo, leder for seksjon for datakriminalitet i Kripos, i en pressemelding.
Hydros aluminiumsverk i Norge går foreløpig som normalt, men med høyere grad av manuell drift. Det er ingen indikasjon på påvirkning på aluminiumsverkene utenfor Norge, og angrepet har ikke rammet energivirksomheten.
Selskapet har imidlertid måttet stenge ned aktiviteten ved noen av anleggene som driver med ekstruderte (bearbeidede) og valsede produkter, deriblant Holmestrand og Karmøy.
Det er fremdeles er usikkert hvor lang tid det vil ta å løse problemene.
Fakta om dataangrepet mot Hydro
* Hydro oppdaget rundt midnatt natt til tirsdag 19. mars at selskapet var rammet av et «omfattende dataangrep».
* Angrepet rammet først en virksomhet i USA, og det spredte seg derfra til andre deler av organisasjonen i USA og Europa. I løpet av tirsdagen lyktes selskapet i å isolere alle sine fabrikker og dermed minimalisere risikoen for videre spredning.
* Ifølge Hydro er selskapet rammet av et såkalt løsepengevirus. Disse krypterer informasjon i selskapers datamaskiner, og det blir framsatt krav om penger for å få «låst opp» informasjonen igjen.
* Ingen har foreløpig krevd en konkret pengesum fra Hydro. Det ligger imidlertid en åpen tekstfil ved viruset, som selskapet ikke har åpnet ennå. Typisk er det her kontaktinformasjon til noen som opplyser om beløp.
* Hvem som står bak, er foreløpig ikke kjent. Det er heller ikke kjent hvilket land viruset stammer fra.
* Viruset har slått ut selskapets globale nettverk, og selskapet må flere steder bruke reserveløsninger for kommunikasjon og administrative oppgaver.
* Som følge av dataangrepet har selskapet måttet stenge ned produksjonen ved noen av anleggene som driver med «Extruded Solutions» og «Rolled Products». Førstnevnte er aluminiumsdeler som inngår i bygninger, biler og fotballmål. Sistnevnte kommer ut av valseverk og blir eksempelvis brukt i bokser til øl og mineralvann.
* Aluminiumsverkene i Norge går som normalt, men med høyere grad av manuell drift. Det er ingen indikasjon på at aluminiumsverkene utenfor Norge er rammet.
Fakta om løsepengeviruset LockerGoga
* LockerGoga er et ondsinnet program av typen ransomware, eller løsepengevirus på norsk. Det krypterer informasjon lagret på datamaskiner og krever typisk en pengesum i bitcoin eller annen kryptovaluta for å låse opp informasjonen igjen.
* Ifølge NRK, som viser til Nasjonalt cybersikkerhetssenter (NorCERT), er det dette viruset i kombinasjon med et angrep mot Active Directory (AD) som rammet aluminiumsselskapet Hydro natt til tirsdag.
* LockerGoga ble første gang kjent da det rammet det franske konsulentselskapet Altran 24. januar i år. Også de måtte stenge ned sitt globale IT-nettverk.
* 21. februar sa Altran at de hadde løst situasjonen, og at ingen data tilsynelatende ble stjålet eller tapt. Foreløpig er det ikke kjent hvem som angrep dem.
* Det er ikke kjent nøyaktig hvordan LockerGoga infiserer selskapers datamaskiner. Datavirus kan smitte ved at man åpner eposter med vedlegg, laster ned upålitelig programvare, trojanske hester eller falske oppdateringer. Ofte vil disse vedleggene eller programvaren forsøke å framstå tillitsverdige.
* Hovedrådet for å begrense skaden fra slike løsepengevirus er å ta regelmessig backup av informasjonen på datamaskinen.
* I tillegg bør man sørge for at operativsystemet til enhver tid er oppdatert, slik at man ikke har sikkerhetshull.