En global krise for selskapet. Slik beskriver Hydros IT-sjef Jo De Vliegher situasjonen etter dataangrepet.
I Hydros senter for krisehåndteringen sitter IT-eksperter, flydd inn fra USA og Asia, de jobber døgnet rundt sammen med Hydro-ansatte for å gjenoppbygge og trygge datasystemene i selskapet.
«ON CRITICAL PATH»: Bak denne døren sitter de som gjenoppbygger sikkerhetssystemet i Hydro.
Foto: NRK– Stressnivået er fortsatt høyt, forteller Jo de Vliegher.
Vi står utenfor kontoret med navn «Forensics». IT-sjefen har gitt NRK adgang til beredskapsteamet, som sitter bak godt låste dører i Hydros hovedkvarter.
– Her jobber de med å finne ut eksakt hva som har skjedd, hvem vi sloss imot, hva som er trusselbilde og begrense mulighetene for hackere å komme seg videre og fortsette angrepet.
At de siste ukene har vært en prøvelse for samtlige ansatte, er ingen overdrivelse.
– Ingen hadde sett for seg for stort dette skulle bli. Man tror det kan bli ille, så ble det enda verre enn noen hadde sett for seg, sier IT-sjef De Vliegher.
De første timene
Sent på kvelden 18. mars begynte datasystemet å oppføre seg unormalt. Rundt midnatt gikk skjermer i svart, på Hydros mange fabrikker og kontorer i 40 ulike land. Alle systemene låste seg.
OPERATIONS: Jobben til «Operations» er å sørge for at de viktigste administrative funksjonene holdes i live.
Foto: NRKViruset LockerGoga var på innsiden og angripere krevde løsepenger for å gjenopprette datafiler.
I løpet av noen nattetimer blir en rekke ledere og sjefer oppringt, deriblant De Vliegher. Allerede klokken 05:00, 19. mars, settes krisestab på Vækerø. Kort tid etter varsles aksjonærer og media.
– Da vi oppdaget at vi ble angrepet, trakk vi ut kabler overalt og stengte ned alle systemene for å unngå ytterligere skader. Det dreide seg om 22.000 PC-er og tusenvis av servere. Alt ble koblet av nett og fra hverandre.
REV UT LEDNINGER: Alle systemene i Hydro streiket samtidig 18. mars og skjermer gikk i svart. Alle servere og PC-er måtte kobles fra nettverket.
Foto: NRKMens sikkerhetseksperter fra blant annet IBM og Microsoft flys inn, får ingen ansatte lov til å koble datamaskiner til nettverket.
Ved de fleste produksjonsanleggene kan Hydro legge om til mer manuell drift, men ansatte over hele verden opplever at de ikke kan ta imot bestillinger og enkelte steder stanset produksjonen helt opp.
Kan ha vært inne i opptil tre uker
Hydro hadde ikke sett noen tegn til et angrep før skjermene gikk i svart.
– Vi antar at de har vært i systemet 2–3 uker før de ble oppdaget, sier De Vliegher.
Den tiden brukte angriperne til å infiltrere det som kalles Active Directory, et system for å administrere Windows-maskiner.
Det gjorde at angriperne kunne be Hydros Windows-maskiner om å installere viruset LockerGoga på deres kommando.
Hydro oppgir at de har funnet flere varianter av viruset, noe De Vliegher mener henger sammen med at angriperne «vil være på den sikre siden».
De Vliegher oppgir at Hydro nå har kontroll på kjernesystemene og selve angrepet, men:
– Det er tidkrevende å bygge opp nye sikkerhetssystemer. Det vil ta flere måneder før alt er som normalt.
Kreative løsninger
I påvente av normal drift har et av de mest brukte ordene i Hydro blitt «workarounds».
Flere systemer kjører ennå for halv maskin, men Hydros ansatte er i stand til å utføre de fleste oppgaver.
– Vi måtte opprette workarounds, omveier, sånn at vi likevel kunne få tak i data, utbetale lønn, og utføre bestillinger. Vi har jobbet hardt for å finne alternativer, sier De Vliegher.
De siste ukene har Hydro bygget opp mye av infrastrukturen fra bunnen av.
MILLIARDER STÅR PÅ SPILL: Stressnivået er fremdeles høyt for IT-sjef Jo De Vliegher.
Foto: Helge Tvedten / NRKEkspertene fra Microsoft har bidratt i arbeidet med å etablere to nye og helt adskilte sikkerhetssoner.
Selv om arbeidet har kommet langt, er det fremdeles problemer med administrative systemer. Det forsinker blant annet kvartalsrapporten, og det er utfordringer med å betale underleverandører. Å betale løsepenger kunne løst problemene, men det vil ikke Hydro betale.
Faren er ikke over
– Vi har bygget opp en helt ny infrastruktur. Vi lager en ny kjerne, så kobler vi på flere og flere. Vi setter alle i en ny og trygg sone hvor vi har enda bedre kontroll for å unngå at noe slikt skal skje igjen.
Gradvis kobles nye datamaskiner og servere på disse sonene, og stadig flere ansatte kan nå koble seg på nettverket. Faren er likevel ikke over, forteller IT-sjefen:
– Vi har kontroll på kjernesystemene nå. Vi har kontroll på selve angrepet. Nå jobber vi strukturert for å få alt på plass igjen, men det vil ta flere måneder før alt er tilbake til normalen.
Active Directory, systemet som kontrollerer hvem som har tilgang til hva, var det første Hydro bygget opp på nytt, med nye verktøy.
– Sikkerheten blir bedre enn tidligere, lover De Vliegher.
Nettverkseksperter setter opp nye nettverkskoblinger, de stenger kommunikasjon hvor det er farlig og gjenoppretter kommunikasjon med selskaper på en trygg måte.
– Det vi skal se på nå er en enda bedre segmentering av systemet, slik at et nytt angrep bare vil ramme en del av selskapet og sørge for at konsekvensene ikke blir så globale som de har vært denne gangen.
En tsunami av problemer
– Et cyberangrep rammer alle i et selskap. Salgssystemer er ikke tilgjengelige, fakturaer, utbetaling av lønn, produksjon, og compliance. Alle blir dratt inn i en tsunami av problemer. Det er en selskapskrise, ikke bare en IT-krise, sier De Vliegher.
Han forteller at ansatte er slitne, og at de ennå har langt igjen før alt går på skinner.
I flere medier har Hydro fått ros for sin åpenhet om angrepet. Det har ført til henvendelser fra en rekke selskaper som utsatt for lignende angrep.
– Ja, vi har hatt en del selskaper som har kontaktet oss. Vi har også kontaktet en del andre selskaper for å dele erfaring.
POST-IT: Også IT-folk trenger papir når datasystemene faller sammen.
Foto: NRKDen første uken etter angrepet var veldig krevende for alle i selskapet. Men ifølge De Vliegher er det ingen grunn til å hvile:
– Det blir enda mer krevende der vi er nå. Alt tar mye tid, folk begynner å bli slitne og det er fortsatt en lang vei igjen.
De Vliegher innrømmer at han har hatt noen tunge uker, samtidig har det vært en positiv opplevelse.
– Det er viktig i en slik krise at man vet at ting tar mye lengre tid enn man tror. Derfor organiserer vi det hele som et stafettløp. Slik sørger vi for at det står nye eksperter klare etter hvert som folk trenger hvile.
