Norsk Hydro

Компания

Norsk Hydro

2022: Объявление о закрытии завода в Словакии из-за высоких цен на энергию на фоне конфликта на Украине

Ряд европейских алюминиевых и цинковых заводов летом 2022 г сокращают объемы производства или даже закрываются, поскольку высокие цены на энергоносители, связанные с санкциями ЕС против России после начала спецоперации на Украине, снижают рентабельность и делают их эксплуатацию невыгодной.

Было объявлено, что цинковый завод Nyrstar в Нидерландах завершит производство в этом году, а алюминиевый завод Norsk Hydro в Словакии закроется к концу сентября, из-за чего работы лишатся около 300 рабочих.

2019

Убытки от кибератаки составили $60 млн

26 марта 2019 года Norsk Hydro оценила убытки от попадания вируса-вымогателя в ИТ-системы компании. По оценкам одного из крупнейших в мире производителей алюминия, спустя неделю после кибератаки ущерб составил от 300 до 350 млн норвежских крон (около $35-41 млн).

Ранее Norsk Hydr застраховала себя от ИБ-рисков, заключив контракты с несколькими страховыми компаниями, в том числе с AIG. Правда, у страховых выплат есть предел, отметил финансовый директор компании Эйвинд Каллевик без уточнения конкретных цифр.

Позже стало известно, что кибератака в итоге обошлась компании в $60 млн (согласно отчету о доходах, страховка пока что покрыла только $3,9 млн[1]).

Алюминиевый гигант Norsk Hydro подсчитал убытки от вируса-вымогателя — 35-41 млн

На пресс-конференции руководство Norsk Hydro рассказало, что компания смогла сохранить основную деятельность, в том числе «дочек», благодаря использованию обходных путей и ручного управления.

Однако полностью восстановить работу одного из главных производственных подразделений так и не удалось. Речь идет о структуре Extruded Solutions, занимающейся прессованием алюминия. Здесь алюминиевые слитки превращаются в компоненты для автопроизводителей, строительных и других компаний. К 26 марта 2019 года производство в Extruded Solutions функционирует на 70-80%.

Полное восстановление компании после вторжения вируса может занять несколько недель. Norsk Hydro не собирается платить хакерами за разблокировку систему и предпочла возвращать файлы с резервных копий, сохраненных на серверах.

«
Компания вступила в фазу восстановления после атаки, постепенно возвращая к работе ИТ-системы безопасным и надежным способом. Мы идем к восстановлению нормального бизнеса, одновременно ограничивая влияние случившегося на людей, операции, клиентов, поставщиков и партнеров, — говорится в заявлении Norsk Hydro.
»

Эксперты по кибербезопасности, на которых ссылается BBC, оценили необычную для таких случаев прозрачную позицию, которую выбрала компания после взлома.[2]

Крупнейшая кибератака в истории Норвегии с требованием выкупа. Часть заводов остановлены

В марте 2019 года произошла крупнейшая в истории Норвегии кибератака – один из крупнейших мировых производителей алюминия, компания Norsk Hydro, подверглась атаке вымогательского ПО, которая повлекла за собой сбой в работе производственных объектов. Порядка 500 серверов и 2,7 тыс. компьютеров компании были заблокированы, а на мониторах отображалось уведомление с требованием выкупа[3].

19 марта 2019 года хакеры использовали вирус-вымогатель LockerGoga и требовали выкуп за разблокировку ИТ-систем, сообщили агентству Reuters в норвежском органе национальной безопасности (Norwegian National Security Authority).

В результате кибератаки произошел сбой в работе Norsk Hydro в Европе и США. Часть производственных линий, которые обрабатывают расплавленный алюминий и должны функционировать круглосуточно, перевели на ручной режим работы.

Одного из крупнейших производителей алюминия Norsk Hydro атаковали хакеры. Заводы остановлены

По словам представителя Norsk Hydro Халвора Молланда (Halvor Molland), некоторые заводы, на которых металл превращается в готовую продукцию для использования в автомобилях, самолетах и т. п., были временно остановлены. По данным агентства Reuters, на ручное управление перешли предприятия компании Норвегии, Катаре и Бразилии.

В разговоре с BBC представитель Norsk Hydro сообщил о том, что автоматизированные системы, которые компания вынуждена была отключить, были разработаны для обеспечения эффективного функционирования оборудования металлургических заводов.

В компании добавили, что кибератака «затронула ИТ-системы большинства подразделений». При этом производитель не уточняет, были ли атакованы промышленные системы.

Компания делает все возможное, чтобы ликвидировать последствия кибератаки, но к 17:00 мск 19 марта не дает прогнозов по срокам полного восстановления работы. Оценка ущерба от кибератаки будет проведена позднее. Акции Norsk Hydro дешевеют: темпы спада достигали 3,4%.[4]

Возможность уплаты выкупа вымогателям никогда не рассматривалась руководством Norsk Hydro. Во-первых, получив деньги, преступники могли просто скрыться. Во-вторых, даже если бы они предоставили ключ для восстановления зашифрованных файлов, и даже если бы он оказался рабочим, уплата выкупа означала бы, что Norsk Hydro легко идет на поводу у преступников и ее можно шантажировать.

Вместо этого старшему директору по информационным технологиям Джо Де Влигеру (Jo De Vliegher) пришлось наблюдать за тем, как ИТ-сеть его компании мучительно восстанавливается после атаки, и вернуться к использованию «древних» ПК, факсимильных аппаратов и других аналоговых технологий. Влигер видел болезненную реальность, часто описываемую консультантами по вопросам безопасности и сотрудниками правоохранительных органов: даже когда вы делаете все возможное, чтобы защитить себя от кибератаки, решительный противник почти всегда сможет нанести ущерб. Другими словами, вопрос не в том, как остановить хакеров, а в том, как лучше всего пережить неизбежный ущерб.

Пока специалисты Microsoft изучали инцидент и рассматривали возможности восстановления данных, Norsk Hydro нужно было решать насущные проблемы. В частности, компания должна была позаботиться о том, чтобы предупредить всех сотрудников не подключаться к зараженной корпоративной сети. Для этого на дверях офисов расклеивались бумажные записки с предупреждением. Затем требовалось предупредить о случившемся клиентов, поставщиков и инвесторов. Сделать это через сайт компании было невозможно из-за кибератаки, поэтому сотруднику отдела связи с общественностью пришлось делать публикации на Facebook со своего личного смартфона.

Ухудшало ситуацию и то, что в тот день должна была выплачиваться заработная плата. Банки отказывались общаться с Norsk Hydro в режиме online, опасаясь, что атака может перекинуться и на них. Выплату зарплаты пришлось отложить на два дня, но затем Влигер нашел решение. Он скопировал чеки за предыдущий месяц из внешней системы начисления заработной платы, удалив сотрудников, которые за это время были уволены или уволились.

Не имея возможности получать заказы от клиентов (в том числе Tesla и Ford Motor) в режиме online, алюминиевый завод в США не знал, что и в каких объемах запускать в производство. Сотрудникам пришлось обзванивать заказчиков и просить их прислать заказы на личную почту. Когда по электронной почте посыпались заказы, сотрудникам не оставалось ничего другого, как распечатывать их на принтерах и передавать в цеха. В результате очень скоро закончились бумага и картриджи.

Первую неделю после атаки директор алюминиевого завода в Крессоне (штат Пенсильвания) Майкл Хэммер (Michael Hammer) буквально жил на работе. Его атаковали поставщики, вовремя не получившие оплату. Хэммеру пришлось связываться с ними и просить передать банковские реквизиты по факсу. Поставщики, у которых еще сохранились факсимильные аппараты, получали платежи первыми.

Кто стоит за атаками, доподлинно неизвестно. Судя по собранным доказательствам, это может быть восточноевропейская киберпреступная группировка FIN6. В отличие от APT-групп, FIN6 действует в корыстных целях, а не в интересах правительства той или иной страны. Она использует вымогательское ПО LockerGoga. В случае с Norsk Hydro вредонос попал в сети компании через документ в электронном письме, отправленном со взломанной почты итальянского заказчика. Возможно также, что злоумышленники не взламывали почту, а перехватили письмо и внедрили вредоносный код в легитимный документ.

Хакерские нападения на предприятия учащаются. По данным «Лаборатории Касперского», в первой половине 2019 года две из пяти промышленных систем в мире подверглись той или иной кибератаке, а основным вектором заражения стал интернет-доступ.

Примечания