23948sdkhjf

Norsk Hydros produktion är ännu stukad

Fortfarande elva dagar efter cyberangreppet mot Norsk Hydro är produktionen stukad. Angreppet kostade företaget uppemot 350 miljoner kronor bara under den första veckan. Nu finns en ny teori om hackarnas motiv.
Foto: Norsk Hydro
Av Christer Åkerlundh

Den senaste lägesrapporten på aluminiumjätten Norsk Hydros hemsida (28/3) berättar att i fyra av fem affärsområden går nu produktionen med normal hastighet, men fortfarande med vissa manuella lösningar.

Också när det gäller Extruded Solutions, formpressad aluminium, som det har varit mest problem med, närmar man sig ”normaliserade produktionsnivåer”, skriver bolaget.

Produktionen i de tre affärsenheterna inom Extruded Solutions - Extrusion Europe, Extrusion North America och Precision Tubing - körs nu med i genomsnitt 80-85 procent av normal produktionskapacitet.

I Building Systems-enheten har man däremot bara nått upp till 40-50 procent av den normala produktionsnivån. Det finns fortfarande lokala variationer från anläggning till anläggning.

Norska ekonomisajten E24 rapporterar att Norsk Hydro uppskattar att de finansiella effekterna den första veckan efter cyberattacken uppgick till 300-350 miljoner kronor. Större delen av förlusterna härrör från förlorade marginaler och volym i affärsområde Extrudet Solutions.

Sedan den analysen gjordes har det gått en halv vecka till. 

Aluminiumbolagets ekonomichef Eivind Kallevik förväntar sig att förlusterna kommer att fortsätta att stiga de kommande veckorna, men att tappet kommer att minska dag för dag i takt med att produktionen kommer igång mer och mer.

Han berättar samtidigt att företagets cyberförsäkring hos AIG har ett tak, men vill inte gå in på hur mycket av förlusterna som försäkringen kommer att täcka.

Norsk Hydro har på sin hemsida en varning riktad till sina affärspartners, där de varnar för att den nuvarande situationen kan utnyttjas av andra som kan kontakta Hydros partners och låtsas vara Hydro.

”Det kan vara ett försök att sprida viruset vidare eller lura våra kunder, leverantörer eller andra partners”. Hydro ber därför alla att visa extra försiktighet när de mottar e-post från Hydro under denna period.

”Tänk på att Hydro inte under några omständigheter kräver att våra partners ändrar bankkonton”.

Den som tvivlar på trovärdigheten hos ett e-postmeddelande från Hydro uppmanas att ringa Hydro för att få mejlets äkthet verifierad.

Ny teori om hackarnas motiv

Cyberexperten Håkan Lönmo säger till E24 att det finns en del som tyder på att cyberattacken kan ha varit ett försök att påverka marknaderna för att tjäna pengar på det.

Ett försök med framgång i så fall.

- Motiven bakom attacken kan ha varit att påverka både Norsk Hydros aktiekurs och råvarupriset på aluminium. Den ekonomiska vinsten av att veta om dessa marknadsförändringar i förskott kan överstiga lösenbeloppet, säger han till E24.

Som U&D tidigare har rapporterat pressade attacken upp aluminiumpriset på brittiska metallbörsen, London Metal Exchange. Och Norsk Hydros aktievärde föll 2,6 procent. I onsdags, den 27 mars, steg kursen med 3,83 procent på norska börsen. Hydroaktien har den senaste veckan varit bland de mest omsatta på börsen.

Mer om cyberförsäkringar:

Norsk Hydro tillkännagav på ett tidigt stadium efter cyberattacken att de har en bra cyberförsäkring som kommer att minska deras förluster. Flera försäkringsbolag vittnar, på E24, om att de har fått många förfrågningar om sin respektive cyberförsäkring från andra företag efter Hydro-attacken.

- Under föregående dag fick vi en ökning med 950 procent i antalet sidträffar som har att göra med cyberförsäkring. Det är en enorm ökning. De som gick till vår webbplats var där fyra gånger så länge. De läser tips och råd mycket mer noggrant än annars på året, säger informationschef Sigmund Clementz på If Skadeforsikring till E24.

If har noterat en liknande trafikökning varje gång dataintrång uppmärksammas i media, sedan minskar trafiken så fort medierapporteringen avtar.

Försäkringsbolaget Gjensidige har också noterat ökad trafik på sin sajt efter det senaste cyberangreppet:

- Efter denna händelse har vi fått flera förfrågningar från försäkringsmäklare om vår internetförsäkring, så det här är ett väckarklocka för många företag, säger kommunikationschef Bjarne Rysstad på Gjensidige till E24.

Det är viktigt att komma ihåg att inte bara storföretag riskerar cyberangrepp, tillägger han. Samma sak kan hända småföretag. Hans intryck är att omedvetenheten om detta är stor bland småföretag.

Mer om viruset:

Norska public service-bolaget NRK har en längre artikel på sin sajt där de berättar ingående om hur den typen av ransomeware som har använts mot Norsk Hydro fungerar. (Klicka på länken längst ner i denna artikel så kan ni läsa hela artikeln).

I korthet går det till så här, berättar datasäkerhetsföretaget Trend Micro:

Viruset LockerGoga kan ta sig in i ett nätverk på olika sätt, bland annat genom ett mejl som någon på företaget öppnar, och ändrar sedan lösenordet. Viruset försöker därefter logga alla användare i nätverket och döljer sig sedan i en tillfällig mapp.

Därefter krypteras alla filer lagrade på datorer och anslutna servrar - såväl word-dokument, Powerpoint-filer, PDF-filer och Excel-filer som databaser och videor. Viruset kommer också att försöka ta bort säkerhetskopior. När en fil har låsts markeras den med namnet "locked".

Slutligen lägger viruset en textfil på skrivbordet som anger vad företaget måste göra för att få tillbaka kontrollen över datasystemen. Där meddelas också att försök att kringgå krypteringen, stänga av datorerna eller flytta filer kan skada filerna på ett oåterkalleligt sätt.

LockerGoga blev känt i januari då det användes mot den franska konsultfirman Altran Technologies. Senare har samma ransomeware använts mot kemiföretagen Hexion och Momentive, enligt cybersäkerhetsföretaget Palo Alto Networks.

Sedan upptäckten av LockerGaga har Palo Alto Networks identifierat 31 varianter av viruset. De är likartade vad gäller kod och tillvägagångssätt, men, enligt Palo Alto, är det tydligt att det finns en grupp som håller på att utveckla programvaran så att den ska bli effektivare och farligare.

Mer om cyberattacken dag för dag:

Norsk Hydro såg de första tecknen på ett angrepp strax efter midnatt natten till tisdagen den 19 mars då styrsystemet började bete sig märkligt och det blev störningar i nätverket.

"IT-systemen i de flesta verksamhetsområden är påverkade och vi kör nu manuell drift så långt det är möjligt", skrev företaget i ett pressmeddelande på tisdagsmorgonen. Mindre verksamheter stängdes under morgonen helt. Företagets hemsida låg också nere och kom igång först två dagar senare.

Ganska snart på tisdagen framkom uppgifter om att det rörde sig om ett ransomeware-angrepp, där hackarna krävde en lösensumma i den digitala valutan bitcoin för att tillhandahålla den krypteringsnyckel som krävs för att låsa upp systemen. En uppgift som företaget sedan bekräftade.

Det norska nationella cybersäkerhetscentret NorCERT skickade ut en varning till flera samarbetspartners angående cyberangreppetAlla offentliga verksamheter i Norge sattes också den 19 mars i högsta beredskap ifall viruset skulle sprida sig. Nasjonal Sikkerhetsmyndighet i Norge uppgav dock att man inte hade registrerat cyberangrepp mot andra verksamheter än Norsk Hydro.

Norsk Hyrdros aktie backade på den 19 mars med 2,6 procent på Oslobörsen när nyheten om hackerattacken spreds. Attacken pressade också upp aluminiumpriset på brittiska metallbörsen, London Metal Exchange, med 1.2 procent till 1,944 dollar per ton.

Norsk Hydro höll en presskonferens på eftermiddagen den 19 mars. Bolagets ekonomidirektör, Eivind Kallevik, deltog där tillsammans med Bente Hoff från NorCERT.

Eivind Kallevik berättade att Norsk Hydro under dagen hade arbetat med att isolera sina anläggningar så att viruset inte skulle sprida sig till fler servrar, i fler länder. Det arbetet var nu slutfört.

Än så länge var effekten på produktionen begränsad, enligt Eivind Kallevik, men ju längre problemen pågick desto större skulle skadorna bli. Norsk Hydro kunde än så länge leverera all metall som hade beställts av kunder och energiproduktionen fungerade normalt.

Att man fick jobba manuellt innebar att Norsk Hydro hade fått sätta in mer personal per skift och arbeta med papper och penna. "Det finns backuper så att alla data kan räddas", sade Eivind Kallevik på presskonferensen.

En internationell klappjakt tog sin början för att spåra vilka hackarna är. NorCert, den norska säkerhetspolisen PST, Interpol, norska kriminalpolisen Kripos och E-tjenesten (som är Norges civila och militära underrättelsetjänst) hade kopplats in.

– Vi har ett samarbete mellan tjänsterna som kallas felles cyber koordineringscenter, sade Bente Hoff på NorCERT.

Man undersökte bland annat om detta angrepp hade likhetstecken med andra attacker, förklarade hon.

– Det är för tidlig att säga om det finns ett mönster eller om det liknar andra angrepp.

På morgonen onsdagen 20 mars berättade Norsk Hydro i ett börsmeddelande att de hade gjort framsteg för att säkerställa en säker och stabil verksamhet i bolaget:

”Hydros tekniska team, med externt stöd, har lyckats upptäcka orsaken till problemen och arbetar för närvarande med att validera planen och processen för att starta företagets IT-system på ett säkert och korrekt sätt. Det är fortfarande inte klart hur lång tid det kan ta för att återställa stabil IT-verksamhet”.

Det var fortfarande problem vid vissa anläggningar, skrev företaget. Bland annat handlade det om att de inte kunde ansluta sig till produktionssystemen. Det hade i varierande grad påverkat driften i de berörda anläggningarna.

Ett av de mer allvarliga problemen, enligt Eivind Kallevik, var att få tillgång till de order som ligger lagrade i blockerade datorer. I synnerhet gällde det anläggningar för formpressade och valsade produkter.

På onsdagseftermiddagen höll Norsk Hydro ännu en presskonferens. "Det var en hektisk dag igår", konstaterade Eivind kallevik, men han framförde ett stort tack till de 45 000 anställda i 40 länder som svarade så snabbt och bestämt på attacken. Han tackade också myndigheter, inte minst polisen, för deras snabba agerande.

Har ni fått något krav på en lösensumma? frågade en reporter. Nej, inget belopp har preciserats och inga pengar har heller betalats ut, svarade Eivind Kallevik.

Hur länge var utpressarna inne i Norsk Hydros datasystem innan intrånget upptäcktes? frågade en annan. Det utreds, blev svaret. "Vi går inte in i några detaljer om det nu". Inte heller ville han svara på frågan vilka som ligger bakom attacken eller hur det kommer sig att ett så stort bolag som Norsk Hydro är så känsligt för cyberangrepp.

På eftermiddagen torsdagen den 21 mars rapporterade Norsk Hydro att man hade funnit orsaken till problemen och man hade hittat ett "botemedel".

– Experter från Microsoft och andra IT-säkerhetsföretag har flugits in för att hjälpa Hydro att på ett systematiskt sätta vidta alla nödvändiga åtgärder för att få affärskritiska system tillbaka i normal funktion, sade Jo De Vliegher, chef för Information Systems.

Källa: https://www.nrk.no/norge/slik-fungerer-losepengeviruset-som-rammet-hydro-1.14481782

Kommentera en artikel
Företagens egna nyheter
Se alla medlemsnyheter
Senaste nytt
Se senaste nytt
Utvalda artiklar
Utvalda nyheter från förstasidan
Nya mineraler hittade på månen – ”okända för människan”
Exklusivt: Bolidens vd om branden i Rönnskärsverket
Cirkulära i 50 år: ”Vi är det lilla företaget som får vara med i den stora världen”
Vi tittar närmare på branden hos bioraffinaderiet
Undersökningarna för gruvan i havet har börjat
Andra Nordiska Medier
Metal Supply SE
Food Supply SE
Framtidens Bygg
Entreprenad
Dagens Handel
Fri Köpenskap
Habit
Verkstäderna
Motor-Magasinet
NTT Woodnet
Process Nordic
Rent
RT-Forum
Medtech Magazine
Kemivärlden Biotech
Life Science Sweden
RS & FastFood
Skydd & Säkerhet
Plastforum SE
Recycling
Packnet
UochD
Transportnet

Nyhetsbrev

Sänd till en kollega

0.093