Kripos om Hydro-hackingen: Har potensielt forhindret angrep mot andre bedrifter

Det er fortsatt ikke kjent hvem som stod bak dataangrepet mot Hydro i mars. Kripos ønsker ikke å kommentere om de har mistenkte på radaren.

Norsk Hydro varsler alle sine ansatte om ikke å slå på pc da de er under et dataangrep.

Norsk Hydro varsler alle sine ansatte om ikke å slå på pc da de er under et dataangrep.

Foto: Terje Pedersen NTB scanpix
Publisert:

Etterforskningen av dataangrepet mot Hydro pågår fortsatt med betydelig styrke, opplyser Kripos overfor E24.

Det er Nasjonalt cyberkrimsenter (NC3) som står for etterforskningen, som har pågått siden 20. mars. Undersøkelsene i saken er ifølge Kripos høyt prioritert, og det er satt av betydelige ressurser.

– Gjennom tett samarbeid mellom Kripos og Nasjonalt cybersikkerhetssenter har norske myndigheter kunnet varsle og forhindre potensielle angrep mot andre bedrifter, sier politiadvokat Knut Jostein Sætnan i Kripos til E24.

Han sier at de gjennom etterforskningen har gitt dem mulighet til å se hvordan angrepet var utformet, og dermed har kunnet advare andre bedrifter om hva de skal se etter.

– Vet man hva man skal lete etter så er det enklere enn når det er ukjent. Det er et klassisk datasikkerhetsperspektiv, sier han.

Les også: (+) Hydro kan gå på nok en smell. Denne gangen i ørkenen

Samarbeider med Europol

Sporsikring og tekniske analyser av data fra hendelsen er sentrale arbeidsoppgaver som det arbeides med i samarbeid med relevante aktører både i Norge og internasjonalt. En sentral del av etterforskningen handler om å avklare motivet bak angrepet, opplyser Kripos videre.

Annonsørinnhold

– Større dataangrep som det Hydro har vært utsatt for er et problem som store og små bedrifter i mange land står overfor. I etterforskningen har vi samarbeidet tett med Europol, og det samarbeidet vil fortsette, sier Sætnan.

Han kan hverken bekrefte eller avkrefte om etterforskerne har funnet en «patient zero» i systemet til Hydro, altså hvor angriperne først slo til.

Han vil heller ikke kommentere om det er konkrete mistenkte i saken.

– En sånn type sak blir ikke løst av Norge alene. Dette er en etterforskning som går over flere land, og før vi kan si noe må vi avklare det med de andre landene.

Les også

Kripos: – Vi vet at angriperne fikk opprettet brukere på Hydro sitt nettverk

Fant frem penn og papir

Det var natt til tirsdag 19. mars at Hydros IT-systemer ble lammet av et cyber-angrep som påvirket driften i flere av selskapets forretningsområder.

Systemene ble angrepet av et løsepengevirus kalt LockerGoga, som fungerer slik at angriperne får tilgang til en PC, og deretter går videre fra data til data på det samme nivået i nettverket, og forsøker å stjele passord som gir tilgang til høyere nivåer.

Løsepengevirus blir oftest oppdaget først når angriperne krypterer deler av datasystemet, og krever løsepenger for å få tilgang igjen.

Som følge av angrepet valgte Hydro umiddelbart å legge om til manuell drift ved en rekke anlegg, og isolerte de ulike Hydro-verkene fra det globale datanettverket.

Ettersom Hydro ønsket å forhindre at viruset spredte seg til flere deler av selskapets infrastruktur, kuttet industrigiganten kontakten til datasystemene, og dermed måtte de fabrikkansatte finne frem penn, papir og kalkulator.

Fra starten av etterforskningen har Hydro vist stor samarbeidsvilje, opplyser Kripos.

– Samarbeidet med Hydro er et eksempel til etterfølgelse for norske bedrifter som måtte rammes av et stort dataangrep. Åpenheten til Hydro har gitt politiet muligheter vi ikke har hatt tidligere, sier Sætnan.

Les også

NSM: Hydro var ikke påkoblet det nasjonale varslingssystemet under hackerangrepet

Kostet opptil 600 millioner

Angrepet kostet Hydro mellom 300 og 350 millioner kroner i første kvartal. I andre kvartal var kostnadene knyttet til angrepet på ytterligere 200 til 250 millioner kroner, ifølge kvartalstallene fra juni.

– Vi opplever samarbeidet med politiet som godt. Og det er bra at de har satt ressurser på saken, sier informasjonsdirektør Halvor Molland i Hydro til E24.

– Dette har vært et omfattende og sofistikert angrep, og vi har valgt å være åpne fordi vi mener at det er en måte å kunne dele erfaringer med andre bedrifter. Sammen med da å anmelde til Kripos og samarbeidet med NSM gjør det at vi forhåpentligvis kan bidra til at andre selskaper både kan være forberedt og unngå å bli rammet av de samme type angrep.

– Kripos har sagt at de potensielt har forhindret angrep på andre bedrifter. Hva vil dere si til det?

– Da vil vi si at en del av hensikten er oppnådd. Dette er en del av bakgrunnen for at vi ønsker å være åpne om det, i tillegg til at vi som børsnotert selskap kommuniserer om vesentlig informasjon.

Molland opplyser at Hydro har vært tilbake i normalt gjenge en stund når det gjelder drift og produksjon.

– Men jeg tror ingen skal undervurdere den tiden det tar å komme tilbake etter et så omfattende angrep.

– Vi bygde datanettverket på ny, en mulighet vi hadde i og med at hele nettverket ble stoppet, noe som ellers aldri skjer i et selskap i drift. Da fikk vi muligheten til å bygge et datanettverk som inneholder den nyeste teknologien tilgjengelig, og å ta valg som ytterligere forsterket nettverket, sier Molland.

Her kan du lese mer om

Annonsørinnhold