Két napja csökkentett termelés folyik a világ egyik legnagyobb alumíniumgyártó vállalatánál Norvégiában. A Norsk Hydro informatikai rendszereit ugyanis olyan súlyos ransomware-támadás érte, hogy csak ott tudták folytatni a termelést, ahol gyorsan át tudták állítani manuálisra a gyártásvezérlést. Ez volt a vállalat új elnök-vezérigazgatójának a belépője, Hilde Merete Aasheim kinevezését ugyanis előző nap adta hírül a vállalat.

Profi céghez profi válságkezelés illik

Bár a Norsk Hydro csak a támadás másnapján közölte, hogy feltárták a támadás jellegét, és dolgoznak azon, hogy validálják és újraindítsák a vállalat informatikai rendszereit, kommunikációs szinten úgy tűnik profin dolgoztak. (A reputációs veszteségek csökkentése miatt ez kulcsfontosságú lehet.)

Amint bekövetkezett a támadás, lényegében azonnal megkezdték a válság kezelését. Március 19-én, a támadás észlelésekor szinte azonnal kiadtak egy nagyon rövid közleményt arról, hogy olyan kibertámadás érte a vállalat rendszereit, amely kihatással van minden üzleti területre, de a vállalat megkezdte az elhárítást. Még aznap jött a másik közlemény, amely már konkrétan beszámol az érintett területekről, és rapid sajtótájékoztatót is hirdettek.

Másnap már pontosan részletezték azt is, hogy a vállalat mely területeit milyen mértékben érintette a támadás. Az energiatermelés nem állt le (a vállalatcsoport megújuló energia előállításában is fontos szereplő Norvégiában), az elsődleges fémtermékek előállítását pedig viszonylag gyorsan sikerült manuális vezérlésre átállítani. A bonyolultabb termelési folyamatokat azonban (pl. az extrudált és a hengerelt fémtermékek előállítása) szinte teljes egészében lebénította a gyártásirányítási rendszerek leállása. Azt sem hallgatták el, hogy nem tudják, mikorra áll vissza a vállalat a normál működésre, ahogy azt sem, hogy mekkora veszteségeket okoz a támadás.

A Norsk Hydro-részvények persze a profi válságkezeléstől még esésnek indultak, de a nagy tőzsdekatasztrófát valószínűleg sikerült megelőzni.

Ez a digitalizáció átka…

A Norsk Hydro egy fejlett technológiákat használó globális gyártó vállalat, amelynek hatékonyságát nem kis részben az adja, hogy működése az alapanyag-beszerzéstől a gyártáson át a logisztikáig magas fokon digitalizált, ráadásul globális szinten. Azaz nem csak üzemeken belül kapcsolódik minden mindenhez, hanem világszinten is összekapcsolódnak az egyes folyamatok. Már az is komoly feladat lehetett, hogy azonosítsák, a globális hálózatban mely egységeket mennyire érintett a támadás. A vállalat egyébként rögtön elszeparálta egymástól az önálló gyáregységeit, ami arra utalhat, hogy a fertőzés gyorsan terjedt.

A technikai részletekről eddig annyi derült ki, hogy zsarolóvírus került be a vállalat rendszerében, amely villámgyorsan eljutott a szerverekig. Voltak biztonsági mentések, de a közlemények alapján úgy tűnik, még ezekkel sem olyan egyszerű a fertőzés előtti, sérülésmentes állapot visszaállítása. Mint a támadás napján tartott sajtótájékoztatón mondták, azon dolgoznak, hogy váltságdíj fizetése nélkül visszaállíthassák a rendszer integritását.

A helyreállítást nehezíti, hogy közben legalább a működő egységek termelésbiztonságát is meg szeretnék őrizni. A vizsgálatokba bevonták a NorCERT, a norvég állami kibervédelmi központ szakembereit is. A központ szerint egyébként egy viszonylag friss zsarolóvírus, a LockerGoga került be a rendszerbe, és a támadás során Active Directory címtárszolgáltatásra épülő támadómódszerek is szerephez juthattak. A károkozónak a Norsk Hydro már a második nagy skalpja. Januárban már rabul ejtett egy globális céget: a francia Altran Technologies mérnöki tanácsadó vállalat működésében okozott komoly fennakadásokat.

Van mit javítani az ipari rendszerek biztonságán

A támadással kapcsolatban még sok a kérdőjel. Például fontos lenne felderíteni, hogy célzott támadást intéztek a vállalat ellen, vagy egy elengedett vírus épp a vállalat egyik gépén talált termékeny táptalajra.

Magáról a vírusról viszont vannak információk: a LockerGoga jellemzően Windows XP/Windows 7 rendszerek hálózatkezelési sérülékenységeit aknázza ki. Egy biztonsági szakértő szerint elképzelhető, hogy ilyenek futottak a norvég gyártó belső hálózatán is. Tegyük hozzá gyorsan azt is, hogy ez nem valamiféle hanyagság vagy takarékosság: ipari környezetben a konfigurációk függősége miatt sokszor nem lehet lemondani a legacy megoldásokról, amelyek különösen érzékennyé teszik az ún. ICS/OT (Industrial Control Systems/Operational Technology) rendszereket a kibertámadásokra.