Alt du må vite om løsepengevirus (ord for ord)

En bølge av skadelige løsepengevirus rammer institusjoner og bedrifter over hele verden. Og i mars i år ble også datasystemene til Norsk Hydro rammet.

Hva kan du egentlig gjøre for å beskytte deg mot skadelig virus, mot hackere og andre datakriminelle? Og ikke minst: Hva gjør du dersom du likevel skulle bli rammet?

For å gi svar, forstå hva som skjer og dele erfaringer har programleder Stein Vidar Loftås invitert inn:

• Anders Magnus, NRKs korrespondent i USA.
• Bente Hoff, avdelingsdirektør i Nasjonal Sikkerhetsmyndighet med ansvar for Nasjonalt Cybersikkerhetssenter.
• Kjetil Robertsen, daglig leder i LAB Nord-Norge.
• Halvor Molland, informasjonsdirektør i Norsk Hydro.

Under finner du en ren avskrift av alt som er sagt i episoden. Vi gjør oppmerksom på at intervjuobjektene ikke har fått forberede seg på spørsmålene, og at de forsøker å svare så enkelt som mulig på kompliserte spørsmål. Tre av intervjuene er gjort via telefon.

Stein Vidar Loftås (SVL): En bølge av skadelige løsepengevirus rammer institusjoner og bedrifter over hele verden. Og i mars i år ble også datasystemene til Norsk Hydro rammet. Hva kan du egentlig gjøre for å beskytte deg mot skadelig virus, mot hackere og andre datakriminelle? Og ikke minst: Hva gjør du dersom du likevel skulle bli rammet?

Dette er Nord-Norge i verden. Mitt navn er Stein Vidar Loftås.

(vignett)

(DEL 1: Telefonintervju fra Washington D.C. med Anders Magnus, NRKs korrespondent i USA).

(kort intro med lyd fra NRK kveldsnytt og TV2-nyhetene 19. mars 2019)

SVL: Norsk Hydro ble altså i mars i år rammet av et løsepengevirus. Og litt senere i sendingen så kommer informasjonsdirektør Halvor Molland til oss for å fortelle om hva de har lært – og om hva alle vi andre kan lære av deres erfaring. Vi skal også få besøk av avdelingsdirektør i Nasjonal Sikkerhetsmyndighet, Bente Hoff, og daglig leder i LAB Nord-Norge, Kjetil Robertsen.

SVL: Men aller først: I USA er altså hundrevis av bedrifter og institusjoner nå lammet av løsepengevirus. Antallet angrep anslås å være mer enn doblet hittil i år, hvis vi sammenligner med i fjor.

SVL: Og Anders Magnus: Du er er NRKs korrespondent i USA, og du befinner deg nå i Washington. Hvor stort er omfanget av løsepengevirus i USA?

Anders Magnus (AM): Det er veldig stort, og det har økt ganske kraftig de siste årene. Det er jo vanskelig å beregne det fordi svært mange bedrifter oppgir jo ikke at de er blitt utsatt for dette. Enten fordi de synes det er pinlig, eller fordi de ikke ønsker å informere sine aksjonærer, for eksempel, om at her har det blitt betalt ut penger – som kanskje noen ville synes ikke var korrekt.

AM: Beregninger som er gjort av industrien selv sier at det i fjor – 2018 – ble utbetalt rundt 70 milliarder kroner til folk som truer med slik kidnappings… Eller som har kidnappet datasystemene til bedrifter og foretak. Og 95 prosent av dette er utbetalt i bitcoin. Så det er jo snakk om store summer, og det er jo også snakk om en økning – en sterk økning – fra i fjor og året før. Så dette her har blitt et økende problem.

AM: Når det har blitt et så stort problem, så må jo også bedrifter og offentlige institusjoner investere mer i datasikkerhet. Og her i USA så bruker man jo nå 125 milliarder kroner i året på datasikkerhet.

SVL: Men vet vi hvem som står bak dette?

AM: Det er forskjellige grupper. Det kan være privatpersoner. Det kan være hackergrupper som har gått sammen om å gjøre dette. Det kan være folk i alle land – det er blitt avslørt hackere både i Vest-Europa, Russland – og ikke minst i Nord-Korea. Nordkoreanerne er veldig gode på dette. De skaffer seg ganske mye hard valuta gjennom å kidnappe datasystemer i Vesten, blant annet. Også datasystemer i Russland er blitt kidnappet av nordkoreanerne. Så de har utviklet dette til å bli en skikkelig industri. En statsdrevet industri, så å si. Mens det i andre land nok er mere private initiativ. Vi vet jo ikke så mye, fordi det er sjeldent noen blir avslørt. Men det er jo også grunn til å tro at, for eksempel, gode hackere i Russland, Kina, Vest-Europa – som til dels jobber for myndighetene – også kan ha dette som en såkalt side-business. At de driver litt kidnapping på egenhånd for å tjene penger.

SVL: Og så vet vi jo at i USA er det jo mange ting som slåss om oppmerksomheten: Vi har Trump, vi har handelskriger og så videre. Får løsepengevirus og ransomware oppmerksomhet i USA?

AM: Jada, det var jo en veldig mye omtalt sak her nylig, da hele Baltimore by – som jo er hovedstaden i delstaten Maryland, som ligger rett nord her for Washington D.C. hvor jeg sitter. Deres datasystemer ble kidnappet, og det ble forlagt utbetalt 750.000 kroner for å gi tilbake dataene. Nå gjorde ikke byen det. De mistet alt, og måtte bruke rundt 170 millioner kroner på å gjenopprette sine datasystemer. Og det var reist en del kritikk mot myndighetene i Baltimore for at de ikke betalte med én gang. Dette ville kostet skattebetalerne mye mindre. Så svarer da myndighetene at: De har fått anbefalt fra føderale myndigheter, også fra FBI – altså det føderale politiet – om ikke å betale. Det er klart at hvis man betaler så øker jo dette problemet sannsynlig bare i omfang andre steder. Og så har de også fått beskjed at det ikke er sikkert man får tilbake dataene sine, selv om man betaler. Og det kan fortsatt være mer virus i systemet som ikke blir fjernet – slik at man kan bli utsatt for en ny slik kidnapping om kort tid etterpå.

AM: Altså: Mønsteret her i USA er vel at de store byene, som har blitt utsatt for dette, slik som Atlanta og Baltimore, de har ikke betalt. Mens mindre kommuner har betalt. Og sannsynligvis også veldig mange små bedrifter har betalt, fordi de vet de kommer til å måtte bruke så enormt mye mer penger på å få tilbake dataene sine. Eller bygge opp alt igjen på nytt, hvis det er det de må, enn hvis de betaler løsepengene.

SVL: Hva med hacking, da?

AM: Ja, dette er jo samme teknikkene. Dette er jo hackere som bruker sine kunnskaper til å komme inn i andres datasystemer og sperre disse. Og dette gjør man jo hovedsakelig gjennom to måter: Det ene er såkalte sikkerhetshull. Og der har jo Microsoft sine gamle systemer – de har jo hatt en del sikkerhetshull. Og hvis det da er offentlige myndigheter, eller bedrifter som bruker gamle utgaver av operativsystem til Microsoft, så er det kjempelett å komme inn der. Så det er den ene måten.

AM: Den andre måten er jo å plassere disse kidnappingsprogrammene i e-poster som vedlegg. Det var jo det som skjedde da alle e-postene til Hillary Clinton ble kidnappet – eller: De ble jo rett og slett stjålet av russiske hackere, og overlatt til Wikileaks. Det var fordi at én av de viktigste medarbeiderne til Hillary Clinton åpnet en e-post, som han trodde var sikker. Han trodde det var fra en kollega. Så viser det seg at den var fra russiske hackere, som da tok kontroll over hele datasystemet – og stjal alle e-postene. Men denne type programmer gjennom vedlegg til e-poster, kan også brukes til å kidnappe hele datasystemet der hvor de slipper inn.

SVL: Og så er det alltid slik at når det oppstår ny kriminalitet, så kommer det også ny forsikring. Og i USA så er det blitt god butikk å selge forsikringer for løsepengevirus. Vet vi om denne type forsikringer i seg selv er med på å øke omfanget av kriminaliteten? Altså: De kriminelle se jo da at det da kanskje er enklere å få utbetalt penger. Vil det kunne medføre at det øker?

AM: Ja det er jo mange bedrifter som forsøker å sikre seg både ved at de investerer i datasikkerhet, økt oppdatering av systemene sine gjennom firmaer som driver på med slikt. Dette har vi jo, for eksempel, i NRK har vi også slike løsninger. Men ofte så vil de være litt på etterskudd etter de flinkeste hackerne. Og da trenger man forsikring. Og dette har blitt en økende industri, og det er klart at i den grad bedriftene får utbetalt penger for å ha blitt kidnappet og kan betale dette videre til de som kidnapper, så vil jo dette øke i omfang, fordi det blir jo ikke noen kostnad for bedriftene å bare utbetale løsepengesummen. Det kan nok også være flere mindre byer og kommuner i USA som gjør det på denne måten, og det øker jo selvfølgelig omfanget når hackerne ser at de får betalt.

SVL: Tusen takk til deg, Anders Magnus – NRKs korrespondent i USA.

(overgang/vignett)

(DEL 2: Telefonintervju fra Oslo med Bente Hoff, avdelingsdirektør i Nasjonal Sikkerhetsmyndighet med ansvar for Nasjonalt Cybersikkerhetssenter)

SVL: For å styrke Norges motstandsdyktighet og beredskap mot datakriminalitet har altså Norge opprettet Nasjonalt Cybersikkerhetssenter. Og med oss derfra har vi avdelingsdirektør Bente Hoff.

SVL: Og Bente: Vi ser jo altså en voldsom bølge av disse løsepengevirusene som herjer i USA. Men er vi trygge her i Norge, eller er situasjonen tilsvarende den samme?

Bente Hoff (BH): Nei, det man kan si om cybertrusselen i det digitale rom er jo at hvor en angriper – eller vi kaller det gjerne en trusselaktør – sitter, og hvor man får oppleve konsekvensene er veldig lite avhengig av geografi. Og vi opplever det helt klart også her i Norge. Mmm.

SVL: Men hva er de største truslene, slik dere vurderer det for næringslivet i Norge?

BH: Ja, vi pleier å si at de største truslene i det digitale rom er statlig etterretning og så er det kriminelle aktører. Og det er klart at for næringslivet i Norge så kan jo begge disse være veldig aktuelle. Det er klart at løsepengevirus, det er jo ofte knyttet opp mot ren økonomisk vinning for trusselaktørene. Og da kan jo det ha konsekvenser som både omdømmetap, og det kan medføre at IT-systemer er helt nede – at man ikke får solgt de tjenestene man skal selge – eller ikke får gjort det man skal gjøre.

SVL: Ja. Og du snakker om etterretning på den ene siden og ren økonomisk kriminalitet på den andre. Men hvem er det som står bak dette her?

BH: Ja. Det kan ofte være veldig vanskelig å si. Og slik vi kjenner det landskapet her, så er det jo flere og flere kriminelle aktører som blomstrer opp, kan vi si, og som er veldig profesjonelle. Og så kan det også være at de kriminelle grupperingene, da, tar seg betalt av egentlig hvem det skal være – enten det er statlig etterretning eller de tar inntektene fra kriminaliteten i egen lomme, eller om du jobber på oppdrag fra andre kriminelle igjen. Dette er ofte veldig sammensatt og vanskelig å si.

SVL: Det er altså egentlig tunge kompetansemiljø som både driver på egen hånd, og som leier seg ut for å gjøre dette på vegne av andre?

BH: Ja, det er mulig å kjøpe et løsepengevirus på … Det kunne jeg og du gjort også – hvis vi hadde ønsket det.

SVL: Nja. Det skal vi ikke gjøre.

BH/SVL: (ler)

SVL: Men sånn i detalj: Hva er det som skjer når en bedrift utsettes for et løsepengevirus? Hvordan merker de det? Hva er liksom gangen i det?

BH: Det man først merker er jo at ett eller annet låser seg med de IT-systemene man bruker. Og så får man en beskjed – gjerne på skjermen – om at nå er det et krypteringsvirus, og så må man betale seg ut av det. Og da kan det jo være med bitcoins, eller – trusselaktøren ønsker vil jo gjerne at man skal betale med et anonymt betalingsmiddel.

SVL: Mmm. Akkurat. Så det ikke kan spores.

BH: Mmm.

SVL: Men altså: Løsepengevirus. Skiller det seg fra andre former for hacking eller andre former for virus på en måte, eller er det det samme, bare med en annen type krav?

BH: Nei, altså de metodene som brukes på å komme seg inn i systemet, og så gjøre en form for skade, det er veldig lik både for løsepengevirus, eller om det er noen som forsøker å stjele informasjon. Industrispionasje, for eksempel. Eller cryptomining – altså at man bryter seg inn for å stjele maskinkraft for å produsere kryptovaluta. Det finnes mange forskjellige typer av datakriminalitet. Og metodene som brukes er ganske like, men måten det ser ut – eller resultatet for den som blir utsatt for det, ser jo litt annerledes ut.

SVL: Mmm. Og hva gjør man? Hva er de gode rådene for bedrifter i Norge for å beskytte seg mot dette?

BH: Fordi det er veldig mange av de samme metodene som brukes – litt uavhengig av det er løsepengevirus eller noe annet, så er det veldig mange av de samme rådene og tiltakene som hjelper for alt. Det vi ofte pleier å starte med der er jo det at man må ha tiltak rundt dette med e-postsikkerhet. For det er gjerne slik de først kommer seg inn.

SVL: Mmm.

BH: Og så er det å sørge for at alle IT-systemer er oppdaterte med siste sikkerhets-patcher og så videre. Slik at det ikke lar seg gjøre for angriperen å komme seg så langt at han kan låse systemet. For det er jo det man gjør med et løsepengevirus.

SVL: Ja. Er bedriftene i Norge generelt flinke til dette?

BH: Det er nok veldig variert. Vi pleier å si at det er alt for mange som er for … noen er kanskje litt naive. Noen vurderer kanskje at man ikke har råd til å gjøre de sikkerhetstiltakene som skal der. Men det er klart: Det er veldig, veldig få som har råd til konsekvensene når man først blir utsatt for dette.

SVL: La oss nå si at man er uheldig – hvis man kan kalle det for det – og blir utsatt for et slikt angrep, og man blir da krevd for løsepenger. Hva gjør man?

BH: Da er det litt forskjellige steder å starte, men aller, aller første er jo: Hvis man har profesjonell IT-leverandør. Hvis du har noen som er vant til å håndtere IT-systemet, så tar du kontakt med dem så fort som mulig. Og så er det jo slik at både vi i Nasjonal Sikkerhetsmyndighet og politiet er kontaktpunkter når det skjer slike ting. Men det er også slik at virksomheten må ha forberedt seg på at dette kan skje, slik at man vet hvilken profesjonell leverandør – eller om man klarer det selv – hva skal man gjøre når det først skjer? Det å ha en plan for dette er noe virksomheten må lage.

SVL: Og så er det nesten et spørsmål jeg må stille, men som jeg aner svaret på.

BH: Mmm.

SVL: Bør man under noen omstendigheter betale de kravene man måtte få?

BH: Nei. Det anbefaler vi ikke. Og så er det flere grunner til dette. Det ene er jo selvfølgelig at da understøtter man jo kriminell aktivitet. Men det andre er også at man ikke har noen garanti for at man faktisk få låst opp systemene igjen hvis man betaler. Man ser jo også at de samme kriminelle aktørene da vil kunne gjøre det igjen og igjen. Så man er ikke nødvendigvis kvitt problemet.

SVL: Så ikke betal, det er rådet?

BH: Ikke betal.

SVL: Ja, og i dag vet vi jo – altså nå har jo dette med hacking og virusspredning og alt, det er jo ikke nytt. Det har jo versert over veldig mange år. Og mange er blitt flinke til å beskytte seg mot det. Men dere som ser denne sfæren her fra et sånt – hva skal jeg kalle det for? – overvåkningsvinkel. Hvor mange angrep gjennomføres daglig i Norge?

BH: Ja, det er et veldig godt spørsmål. Og så finnes det ikke et helt konkret svar på det. Og det skyldes litt at det er så mange måter å telle på. Er det, for eksempel, et angrep hvis man bare har fått en e-post med et vedlegg der en aktør forsøker seg? Når starter man å telle det som et angrep?

BH: En annen måte å svare på er at vi har egentlig sluttet å telle angrep, fordi det er så mange. Vi synes ikke det er så interessant lengre. Det som er mer interessant er hvor godt man klarer å beskytte seg. Og så ser vi jo selvfølgelig på hvor ofte det får skikkelig alvorlige konsekvenser. Det som er litt typisk med løsepengevirus er jo at man ofte krever veldig små beløp av mange. Slik at om noen betaler, da, så er det tydeligvis en forretning i det. Og det finnes mange mørketall her, som vi ikke kjenner til.

SVL: Det er litt lett å – altså når man leser og hører om alt som skjer på nettet – så er det litt lett å på en måte bli litt paranoid. Og du som kan så mye om datasikkerhet: Hvor paranoid bør man være? Er det slik at man bør dekke til kameraet på PC-en sin, og så videre?

BH: Her tror jeg vi skal – her må man skille veldig på hva man – altså: Jeg gir jo helt andre råd når jeg snakker med sentrale norske virksomheter, enn når jeg snakker med mine foreldre.

SVL: Mmm.

BH: Så vi må … Det er litt som med trafikksikkerhet: Vi lever jo med at det å befinne seg i trafikken er risiko, men vi gjør det jo fortsatt. Så det dreier seg mest om å lære seg en del teknikker, slik at risikoen er akseptabel, og så bringer jo denne digitale verden mest godt med seg.

SVL: Ja. Tusen takk skal du ha, Bente Hoff.

(overgang/vignett)

(DEL 3: Intervju i studio med Kjetil Robertsen, daglig leder LAB Nord-Norge)

SVL: Om litt skal vi høre hvilke råd Norsk Hydro gir andre bedrifter etter det omfattende virusangrepet de var utsatt for i mars.

SVL: Men aller først skal vi til Tromsø, og her i studio med oss nå har vi Kjetil Robertsen. Og Kjetil: Du er altså daglig leder i LAB Nord-Norge. Hva er LAB Nord-Norge?

Kjetil Robertsen (KR): Ja, LAB Nord-Norge er jo en helt nyetablert satsing, som gjøres mot næringslivet i landsdelen. Vi ser for oss å hjelpe næringslivet til å modernisere, følge opp på de utfordringene som er i dag med bruk av digitale verktøy, og så videre, for å bli mer effektiv.

SVL: Og data og digitalisering har vi jo hørt om i en årrekke, og dette som vi snakker om i dag – dette som har med den mørke siden av data – det er også et tema dere kommer til å se på?

KR: Det er helt klart at datasikkerhet er i høysetet hos oss, men vi har jo også fokus på ikke bare det maskintekniske, men også det menneskelige. For det dreier seg jo om menneskelig adferd til syvende og sist. Teknologien er blitt så bra i dag at den stopper det meste av det som skjer, men det er ofte vi som mennesker som feiler.

SVL: Men det finnes en rekke forskjellige typer svindel i dag. Tidligere – i den spede begynnelsen – så snakket man om hackere, som egentlig skulle tulle med deg eller kanskje ødelegge noe. I dag har det gått mye lengre. Jeg har, for eksempel, blitt oppringt denne uken seks ganger fra et nummer i Tsjad. Og jeg er jo godt opplært, så jeg har ikke svart på telefonen, men: Gi oss et lite innblikk i denne skogen av forskjellige type svindler. Hvorfor oppstår dette?

KR: Altså: Det hele dreier seg jo om å tjene penger. Det er jo det som er hovedmålet. Og dette med at man ringer opp til deg og legger på. Du ser du får et tapt anrop, og du ringer tilbake igjen. Så kanskje den samtalen koster deg én krone eller to kroner, eller kanskje ti kroner. Og så tjener de altså på de mikrotransaksjonene som skjer hver gang noen ringer tilbake på dette nummeret. Det andre er jo CEO-fraud, eller direktørsvindel, som vi kaller det for i Norge. Det er jo det at man får en e-post, eller en SMS på telefon, fra sin leder, eller kanskje sjefen over sjefen, med beskjed om å gjøre en haste-utbetaling til et kontonummer i utlandet. Og det må skje fort. Og det er skrevet på veldig godt norsk, riktig formulert, og så videre. Og du reagerer ikke på det, og du har gjerne respekt for sjefen, og prøver å få det gjort så fort som overhode mulig. Og dermed har noen da klart å få penger til utlandet.

SVL: Men det er også nye ting på gang: Jeg leste nylig om deepfake. Hva ligger i det?

KR: Ja, deep fake har man jo hatt nå i et par år, kanskje, men det har hovedsakelig dreid seg om bilder frem til nå, hvor man samler inn mange bilder av personer, man putter det inn i en datamaskin, og så gjør datamaskinen en masse jobb – og putter da ansiktet på, ja typisk en filmsnutt fra før av, og får det til å se ut som det er en annen person som er i den filmen. Det ser helt ekte ut, og du klarer nesten ikke se forskjell på om det er reelt eller ikke.

KR: Men det du antakelig har lest de siste dagene er at vi har klart å gjøre det samme innenfor tale – altså måten i prater på. Og man samler inn en masse lydklipp. Putter det inn i en datamaskin, og så kan man få en person til å si ting han eller hun aldri har sagt før.

KR: Så, for eksempel, er det slik at hvis vi tar podkasten til Nord-Norge i verden, samler inn alle klippene til alt det du har sagt i alle episodene, Stein Vidar, så kan man altså analysere dette, putte det inn i datamaskinen og så kan man få deg til å si ting som du aldri har sagt, for eksempel i media. Som du vil ha problemer med å forsvare, for det høres så utrolig ekte ut.

SVL: Wow. Det hørtes ikke bra ut. Dette er rene pengemessige transaksjoner. Og så har du de som da går inn, som vi skal snakke om siden med Hydro, går inn og låser hele nettverk.

KR: Helt klart.

SVL: Og kommer med krav om løsepenger – gjerne i bitcoins. I hvert fall er det det vi stort sett har sett. Hva gjør man hvis man opplever dette? Kommer på kontoret en morgen, slår på PC-en og så står det: Du er stengt ute fra nettverket ditt, vi ødelegger alt i løpet av kort tid om du ikke betaler. Hva gjør man da?

KR: Ja, det første man gjør er rett og slett å kontakte politiet. For dette er kriminalitet, og det er pri én. Og det er fortsatt de som har det største ansvaret for kriminalitet i Norge. Etter dette tar man kontakt med sikkerhetsbyrå, konsulentselskap og så videre, for å få hjelp. De større bedriftene har gjerne en IT-avdeling som har kontroll på dette. Men for de aller fleste så vil det være å ta kontakt med profesjonelle for å få hjelp til dette.

SVL: Nord-Norge er en skog av små og mellomstore bedrifter. Veldig mange små bedrifter. Har disse et forhold til den her type sikkerhetsforanstaltninger?

KR: Nei, de fleste har nok ikke det. De har kanskje gjerne outsourcet alt sammen, eller forhåpentligvis lagt dataen sin i skyen hos en stor, sikker skyleverandør. Så skulle dataen bli kryptert, så er det mulig å rulle tilbake igjen til gårsdagen, og så videre.

KR: Men de fleste har nok ikke det. De har fokus på sin daglige drift. Sørge for at pengene kommer inn på sin måte. Og datasikkerhet kommer gjerne da i tredje, fjerde og femte rekke, kanskje.

SVL: Og hvis du skal gi tre tommelfinger-råd. De tre beste rådene til både bedrifter og til vanlige mennesker i landsdelen: Hva vil de være?

KR: Ja, jeg tenker at det vil være generell opplæring. Ikke trykk på alt du får av vedlegg på e-postene, men bruk hodet. Se litt på avsender på e-post – og så videre – på det du får der. Det er viktig å ha gode back-up-rutiner. Det vil alle oppdage etterhvert som de har fått kryptert harddisken sin, eller de har klikket på noe som gjør at alle bildene fra de siste ti årene er blitt borte. Det kan være regnskap, økonomi i bedriften, og så videre. Det er helt klart viktige ting å tenke på.

KR: Og så har du dette med at det finnes jo, for eksempel, selskaper – større selskaper som har erfaring med dette, og kan bistå og kan hjelpe – dele sine erfaringer. Så man ikke går på det. Det er lett å tenke at datasikkerhet er noe som ikke treffer oss i Nord-Norge, men at det er noe som bare skjer i de største bedriftene – kanskje sørafor, eller i utlandet – men det er like aktuelt for nordnorsk næringsliv også.

SVL: Og vi møter det i sterkere og sterkere grad. Takk skal du ha, Kjetil Robertsen, daglig leder i LAB Nord-Norge.

(overgang/vignett)

(DEL 4: Telefonintervju fra Oslo med Halvor Molland, informasjonsdirektør i Norsk Hydro.

SVL: Vi har fått med oss informasjonsdirektør i Norsk Hydro, Halvor Molland. Og Halvor: Aller først: Fortell hva du tenkte da du hørte at dere var angrepet og rammet av et løsepengevirus.

Halvor Molland (HM): Jeg ble jo varslet på natta, og vi møttes i beredskapsteamet på hovedkontoret vårt på Vækerø i Oslo etter kort tid og tidlig på morgenen. Og når omfanget da ble tydelig, er det jo en blandet følelse. Du sitter med en slags følelse som du gjør på toppen av den første svingen i en berg og dal-bane. Og den følelsen fortsetter jo i ukesvis, samtidig som vi jo har trent på slike ting før, og er jo en trent beredskapsorganisasjon. Så vi går jo rett på arbeidsoppgavene og må jobbe oss gjennom dem. Men dette er jo en situasjon hvor du – også i en brann, eller en annen hendelse, så har du noe fysisk å forholde deg til. Her er det ingen – det er ikke noe du kan fysisk kan se i andre enden som står bak et angrep, så her er det viktig at hele organisasjonen mobiliserer og trekker sammen. Så for oss var dette en kontrollert øvelse å gå gjennom de planene vi hadde og forberedt.

SVL: Mmm. Men vil du si at dere var forberedt på at noe slikt som dette kunne skje?

HM: Ja, dette har jo vært en av de risikoene vi har sett og planlagt for. Men likevel: Det er jo vanskelig å se for seg det omfanget det til slutt hadde. Vi hadde jo ikke i øvelsene, og treningen vi har hatt, så har vi jo eksempelvis aldri trent med det massive angrepet som var nå, og at vi ikke hadde tilgang på PC-er, printere eller noen ting. At hele nettverket var nede. Så den bredden i angrepet var større enn det vi hadde trent på i praksis, men dette var et scenario vi hadde forberedt.

SVL: Hva gjorde dere etter at angrepet ble oppdaget?

HM: Altså: Vi oppdaget jo ... De første tegnene så vi jo rundt midnatt natt til 19. mars. Og vi har jo konstant overvåkning av nettet vårt, og når de da så at dette ikke var isolert til ett anlegg eller til én verdensdel – jeg så jo at dette begynte å skje på våre på våre ulike fabrikker i våre ulike forretningsområder, og på ulike kontinent i mange land. Så ble jo beslutningen tatt – for å isolere og prøve å begrense skadene – så ble det tatt en beslutning om å stenge ned hele nettverket, som er en veldig alvorlig beslutning. Men samtidig en beslutning som i den situasjonen ikke var så vanskelig å ta.

SVL: Mmm. Men det er jo sånn at når en hel organisasjon datamessig sett lammes, slik som skjedde hos dere, så begynner jo tapene å rulle med én gang. Vurderte dere på noe som helst tidspunkt om dere skulle betale det som ble krevd?

HM: Nei, det var ikke en beslutning som ble vurdert hos oss. Vi tok jo umiddelbart beslutningen om å jobbe med å få frem en backup. Begynne å restarte våre systemer via backup. Og det har jo blitt bekreftet, for så vidt, senere av andre selskaper som har forsøkt å betale: Og det de har opplevd er jo at ødeleggelsen blir så stor underveis at hackerne klare å dekryptere noen filer ikke har hjulpet dem så veldig når det kommer til stykket. Men det var aldri en vurdering hos oss om å betale. Vi gikk direkte på å se på våre backup-systemer.

SVL: Mmm. Akkurat. Har dere oversikt over hva de totale kostnadene ble for Norsk Hydro etter denne saken her?

HM: Ja, estimatene vi har gått ut med er jo at det totalt sett kostet mellom 550 og 650 millioner kroner. Og det er jo en kombinasjon av tapte marginer og omsetning i de periodene vi ikke kunne produsere, og kostnadene med å håndtere angrepet og gjenopprette alle systemene våre – altså IT-kostnader.

SVL: Mmm. Så selv om disse kriminelle som sto bak dette ikke tjente noe på det, så ble det formidable kostnader for Norsk Hydro. Men vet dere hvem de var? De som gjorde dette?

HM: Vi vet ikke hvem som har stått bak. Dette er jo etterhvert, slik vi forstår det, en ganske stor industri som holder på slik. Og det er dessverre slik at sjansen for å bli tatt er liten, og fortjenesten er jo stor i tilfellene hvor noen velger å betale.

HM: Men grunnen til at vi har valgt å være åpne om dette angrepet, er at det er viktig å dele den kunnskapen og erfaringen vi har fått for at andre selskaper skal kunne lære av dette – og forhåpentligvis ikke komme i samme situasjon. Og samtidig har vi hatt et veldig godt samarbeid med norsk politi og Kripos og NSM – Nasjonal Sikkerhetsmyndighet – som vi har gitt full tilgang til våre funn og systemer, slik at de har hatt mulighet til å etterforske. Vi anmeldte dette til politiet umiddelbart, slik at de har hatt mulighet til å etterforske. Det er jo kombinasjonen mellom at myndighetene etterforsker og at andre selskaper kan lære – det vil jo forhåpentligvis gjøre at dette vi klarer å motvirke fremtidige angrep.

SVL: Hva har dere lært, eller hva gjør dere annerledes etter det dere har vært igjennom?

HM: Vi har ble jo tvunget i en situasjon der hele nettverket vårt ble tatt ned over hele verden. Vi er jo et selskap som 35.000 ansatte i 40 land. Og vi har rundt 170 fabrikkanlegg verden over. Når alle servere, systemer, PC-er og nettverk blir tatt ned, som ellers aldri skjer under vanlig drift, og vi måtte bygge det opp igjen.

HM: Så har vi jo også hatt muligheten til å velge nye systemer, og sikre systemer som vi kan bygge inn bedre sikkerhet i, enn det vi har muligheten til å ha i systemer som har kommet til gjennom oppkjøp og sammenslåinger og andre ting. Så det vi har gjort på den siden er jo å gå gjennom og bygge nettstrukturen vår på nytt. I tillegg så har vi jo fått innebygde mekanismer og hatt tilgang på de beste ressursene fra leverandørene som vi kunne få. Så vi har jo i dag et sikrere system, enn det vi hadde tidligere – naturlig nok.

HM: Men samtidig er det jo litt det samme som om du har et hus: Du kan sikre deg på ganske mange måter, men om det er noen som virkelig vil inn, så vil de til slutt klare det. Og dette var et veldig sostifikert angrep, som vi ble satt under, og sånn sett er det jo ingen som klarer å stoppe slike angrep for å komme inn i systemet. Derfor er det også viktig å ha mekanismer som kan detektere uvanlig aktivitet i nettverket og systemet til en bedrift. Og der finnes det jo mange teknologier og teknikker for å kunne oppdage og avgrense et mulig angrep.

SVL: Og så sier du også at dere har valgt å være åpen om dette her, fordi det ligger en læring i det for andre bedrifter. Hvis du skal gi noen gode råd til andre bedrifter: Hva vil de være?

HM: Det viktigste rådet er jo å være forberedt. Se på dette som noe som kan skje, og tenke gjennom hva du ville gjort dersom ingen av datasystemene dine var tilgjengelig. Og det er jo noe som for mange kan virke utenkelig, men vår erfaring er jo at det kan skje.

HM: Hvis man gjør en slik øvelse, og setter dette på et risikokart, og ser på hva hvordan kan man da innrette seg for i første omgang å prøve å hindre angrep, og men samtidig: Hva om et angrep skjer? Har vi gode nok backup-rutiner? Hvordan tenker vi da å kommunisere, både med egne ansatte, kunder og omverdenen, og hvordan vil det kunne påvirke vår produksjon eller vår drift og det vil skal holde på med. Så det å tenke gjennom og planlegge for et slikt scenario er jo det som øker sjansen for at du skal kunne komme gjennom det på en god måte.

SVL: Tusen takk skal du ha, informasjonsdirektør i Norsk Hydro, Halvor Molland.

(avslutning)

SVL: I denne episoden av Nord-Norge i verden har vi hatt med oss Anders Magnus i fra NRK. Fra Oslo har vi hatt med oss avdelingsdirektør Bente Hoff fra Nasjonalt Cybersikkerhetssenter. Og vi har hatt med oss informasjonsdirektør i Norsk Hydro, Halvor Molland. Fra Tromsø hadde vi i tillegg med oss daglig leder i LAB Nord-Norge, Kjetil Robertsen.

SVL: Nord-Norge i verden er produsert av Sparebank 1 Nord-Norge i samarbeid med Helt Digital. Og musikken du har hørt er komponert av Emil Karlsen.

SVL: Mitt navn er Stein Vidar Loftås, og for ordens skyld: Dette er ikke deep fake. Det er meg som snakker. Så mitt navn er altså fortsatt Stein Vidar Loftås, og vi kommer til å høres igjen i neste episode av Nord-Norge i verden.

(slutt)