Miesiąc po ataku wiemy już, że ransomware zostało zainstalowane z uprawnieniami administratora domeny na wszystkich urządzeniach działających pod kontrolą systemu Windows. Nie wiemy, w jaki sposób włamywacze zdobyli uprawnienia, ale użyli ich, by najpierw wyłączyć wszystkie rozwiązania bezpieczeństwa stosowane w firmie, a następnie by uruchomić destrukcyjne oprogramowanie. Ransomware, oprócz szyfrowania kluczowych plików, zmieniało także hasła administratorów zdalnych i lokalnych oraz wyłączało interfejsy sieciowe atakowanych komputerów, utrudniając w ten sposób jakąkolwiek interwencję IT.

Jedną z głównych konsekwencji ataku była konieczność przejścia na ręczne sterowanie wszystkimi procesami biznesowymi. Mimo, iż od incydentu minął już ponad miesiąc, do tej pory w większości zakładów produkcja, logistyka czy spedycja wspierane są przez procesy manualne, zastępujące stosowane wcześniej rozwiązania zautomatyzowane.

Dzięki podjętej wiele miesięcy przed incydentem decyzji o migracji usługi poczty elektronicznej do chmury, Norsk Hydro mogło szybko odzyskać dostęp do tego ważnego kanału firmowej komunikacji. Nie mogąc używać swoich komputerów, pracownicy mogli korzystać z firmowej poczty za pomocą telefonów i tabletów. Według regularnie publikowanych komunikatów opisujących sytuację w firmie, większość procesów biznesowych została już przywrócona, choć odbudowa infrastruktury IT potrwa jeszcze wiele dni.

Doświadczenie Norsk Hydro uczy nas, że katastrofalne incydenty IT mogą zdarzyć się każdemu i warto być z góry na nie przygotowanym. Sprawna organizacja i komunikacja mogą pozwolić na przywrócenie działania firmy mimo niedostępności większości systemów. Aby zminimalizować ryzyko przestojów warto wcześniej przećwiczyć scenariusze, w których następuje utrata wszystkich zasobów IT. Nie wystarczy w takiej sytuacji dysponować kopiami bezpieczeństwa - dobrze mieć gotowy (i regularnie testowany) plan ich odzyskiwania zgodny z biznesowymi priorytetami.

Przykład Norsk Hydro pokazuje, że sprawna reakcja w sytuacji poważnego zagrożenia buduje także zaufanie u inwestorów, klientów i partnerów biznesowych - mimo wagi problemów kurs giełdowy firmy szybko wrócił do poziomu sprzed incydentu.

Dowiedz się, jakie zagrożenia internetowe powinien znać użytkownik indywidualny i czy dotyczy go również atak ransomware.