Hydro sier det var en bevisst handling at de var koblet fra overvåkingsnettverket til Nasjonal sikkerhetsmyndighet (NSM) under hackingangrepet natt til tirsdag.
Norsk Hydro er til vanlig tilkoblet NSMs varslingssystem for digital infrastruktur (VDI), som overvåker nettverkene til samfunnskritiske norske virksomheter og bedrifter, og som har som jobb å varsle dersom nettverkene blir utsatt for angrep.
Under det omfattende dataangrepet natt til tirsdag 19. mars, var Hydros sensor imidlertid ikke påkoblet, opplyser Håkon Bergsjø, leder for NSMs cybersenter NorCERT, til NTB.
Han sier det derfor var Hydro som varslet NSM om angrepet først.
Hydros finansdirektør Eyvind Kallevik sa under en pressekonferanse onsdag at det var umulig å si hvilken effekt frakoblingen hadde hatt.
– Dette var en bevisst handling og vi var dekket av annet overvåkingsutstyr i denne perioden, sier Kallevik om at de var koblet fra NSM system.
Kripos åpnet onsdag etterforskningen av dataangrepet som satte ut den globale aluminiumsprodusenten tirsdag. At det er Kripos og ikke Politiets sikkerhetstjeneste (PST) som etterforsker saken innebærer at det så langt ikke er funnet grunn til å tro at en statlig aktør står bak angrepet.
– På tidspunktet for angrepet var sensoren hos Hydro ikke på plass. Så det var ikke vår sensor som ikke oppdaget det, sier Bergsjø. Han kaller avkoblingen for «uheldig».
– Kunne angrepet blitt stoppet tidligere, hvis sensoren hadde vært påkoblet?
– Det vil jeg ikke spekulere på. Vi må analysere hendelsen, og det er ikke alt vi ser heller, det er vi helt åpne om, vi har en lagdeling. Vår viktigste oppgave er å holde oversikt på tvers av samfunnet, sier Bergsjø.
I operasjonssentralen til NorCERT overvåkes datastrømmen inn til Norge, og direkte inn i en rekke bedrifter og virksomheter som anses som samfunnskritiske for Norge. I et sensornettverk kan NSM måle angrep eller forsøk på innbrudd hos bedrifter som forvalter eller eier kritisk informasjon eller kunnskap i Norge.
I 2017 avslørte sensorene i systemet 20.000 mistenkelige datastrømmer. Etter sjekk var det 5.000 varsler som ble fulgt opp som en ekte trussel.
Hydro ble tirsdag utsatt for et omfattende cyberangrep, som påvirket driften i flere av selskapets forretningsområder. Selskapet ble rammet av et såkalt løsepengevirus. Disse krypterer informasjon i selskapers datamaskiner, og det blir framsatt krav om penger for å få «låst opp» informasjonen igjen.
Den internasjonale aluminiumsleverandøren meldte onsdag morgen at de fortsatt strever med konsekvensene etter dataangrepet, men at selskapet har funnet årsaken og jobber med å gjenopprette driften.
– Politiets jobb er på samme måte som ved annen alvorlig kriminalitet å få kartlagt den straffbare handlingen best mulig, med sikte på å straffeforfølge de som står bak, sier politiadvokat Knut Jostein Sætnan i Kripos i en pressemelding.
Det er så langt ikke kjent hvem som står bak angrepet mot Hydro. Sætnan opplyser at Kripos vil gå i gang med å samle inn all relevant informasjon, noe som også inkluderer samarbeid med «internasjonale samarbeidspartnere».
– Vi vil også undersøke om tilsvarende hendelser har skjedd i andre land og dra veksler på erfaringer fra dem, sa han på en pressekonferanse onsdag ettermiddag.
Politiadvokaten kan ikke si noe om hvor angrepet hadde sin opprinnelse, ei heller motivet.
– Vi er ikke kjent med noe krav, motivet må vi undersøke nærmere. Det er det alt for tidlig å si noe om, sier han.
PST-sjef Benedicte Bjørnland sier til NTB at det så langt ikke er noe som tyder på at det er noen statlig aktør som står bak dataangrepet mot Hydro. Av den grunn er det Kripos og ikke PST som tar hånd om etterforskningen.
– Enn så lenge er vurderingen at dette er en sak for Kripos, men vi har jo tett daglig kontakt med både Kripos, E-tjenesten og NSM, sier Bjørnland til NTB.
– Denne saken er rettet mot et sivilt selskap. Det er naturlig at det er Kripos som har denne saken, sier Sætnan.
Han legger ikke skjul på at det er en omfattende oppgave de har foran seg.
– Vi er kjent med at sånne saker er vanskelige. Vi går på med friskt mot. Informasjonsdeling er nøkkelen i alle sånne saker, understreker han.
Onsdag ble det kjent at Hydro ikke var påkoblet varslingssystemet til Nasjonal sikkerhetsmyndighet for slike hendelser. Sætnan sier det ikke er grunn til å si at dette får negative følger for etterforskningen.
I et møte med Hydro tirsdag fikk Kripos oversikt over situasjonen og skadeomfanget, og de vil videre gå gjennom sikret materiale.
– Vi vil være tilgjengelige og bidra inn i Hydros håndtering i samarbeid med Nasjonal sikkerhetsmyndighet og andre aktører, sier Sætnan.
* Hydro oppdaget rundt midnatt natt til tirsdag 19. mars at selskapet var rammet av et «omfattende dataangrep».
* Angrepet rammet først en virksomhet i USA, og det spredte seg derfra til andre deler av organisasjonen i USA og Europa. I løpet av tirsdagen lyktes selskapet i å isolere alle sine fabrikker og dermed minimalisere risikoen for videre spredning.
* Ifølge Hydro er selskapet rammet av et såkalt løsepengevirus. Disse krypterer informasjon i selskapers datamaskiner, og det blir framsatt krav om penger for å få «låst opp» informasjonen igjen.
* Ingen har foreløpig krevd en konkret pengesum fra Hydro. Det ligger imidlertid en åpen tekstfil ved viruset, som selskapet ikke har åpnet ennå. Typisk er det her kontaktinformasjon til noen som opplyser om beløp.
* Hvem som står bak, er foreløpig ikke kjent. Det er heller ikke kjent hvilket land viruset stammer fra.
* Viruset har slått ut selskapets globale nettverk, og selskapet må flere steder bruke reserveløsninger for kommunikasjon og administrative oppgaver.
* Som følge av dataangrepet har selskapet måttet stenge ned produksjonen ved noen av anleggene som driver med «Extruded Solutions» og «Rolled Products». Førstnevnte er aluminiumsdeler som inngår i bygninger, biler og fotballmål. Sistnevnte kommer ut av valseverk og blir eksempelvis brukt i bokser til øl og mineralvann.
* Aluminiumsverkene i Norge går som normalt, men med høyere grad av manuell drift. Det er ingen indikasjon på at aluminiumsverkene utenfor Norge er rammet.
* Kripos har åpnet etterforskning av dataangrepet. Det er foreløpig ikke kjent om det har vært flere tilfeller med den aktuelle skadevaren i Norge, ifølge Kripos.
*Norsk Hydro er til vanlig tilkoblet Nasjonal sikkerhetsmyndighets (NSM) varslingssystem for digital infrastruktur (VDI), som overvåker nettverkene til samfunnskritiske norske virksomheter og bedrifter, og som har som jobb å varsle dersom nettverkene blir utsatt for angrep. Under det omfattende dataangrepet var Hydros sensor imidlertid ikke påkoblet.