Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Productie Norsk Hydro is bijna hersteld na ransomwareaanval

De productie van het Noorse aluminiumbedrijf Norsk Hydro is na de ict-aanval van de afgelopen maand bijna terug op het oude niveau. De schade die het bedrijf heeft opgelopen in de eerste week van de hack, ligt op 300 miljoen Noorse kronen, omgerekend 31,1 miljoen euro.

Dat meldt het bedrijf in een update. De productie van Norsk Hydro zou bijna terug zijn naar het niveau van voor de hack. Wel zegt het bedrijf na de aanval vertraging te hebben opgelopen met administratieve zaken, zoals facturen. Het bedrijf gaf niet aan wanneer deze vertragingen voorbij zijn. Ook is nog niet bekend wie achter de aanval zat en wat de eisen voor het losgeld waren.

Reuters zegt dat Norsk Hydro ondanks de hack van vorige maand de productie van de primaire tak van de metaalproductie met een aantal handmatige oplossingen kon voortzetten. De productie van de tak die onderdelen maakt voor autofabrikanten, bouwbedrijven en andere bedrijfstakken, moest wel met vijftig procent naar beneden worden geschroefd. Bij drie grote bedrijfsonderdelen ligt de productie weer op negentig procent van wat die voor de hack was. Terwijl de tak Building Systems op 75 procent draait. Het bedrijf had een ict-risicoverzekering bij de American International Group, maar de potentiële compensatie had een limiet waarover het bedrijf zich niet verder wil uitlaten.

Op 18 maart werd Norsk Hydro getroffen door het LockerGoGa-virus. Toen sloot het bedrijf wereldwijd al zijn computers af van het netwerk, waardoor geautomatiseerde processen met de hand moesten worden gedaan.

Door Valentijn Demandt

Stagiair nieuwsredactie

08-04-2019 • 15:37

68 Linkedin Google+

Reacties (68)

Wijzig sortering
Was het maar zo simpel.

In een productie omgeving (ik ben 9+ jaar procestechnoloog geweest in de metaalindustrie) is het niet altijd zo eenvoudig om je computers netjes gepatched en ge-upgrade te houden. Je zit nogal eens vast aan specifieke hardware (van derden) die een bepaald OS, drivers en/of browser vereist, waar je niet zomaar even nieuwe hardware neerzet. Ditto voor software. De computers draaien systeem-kritische applicaties, al dan niet maatwerk/custom, en dan is de zekerheid dat een upgrade niets sloopt een stuk minder groot dan bij gangbare huis-tuin-en-keuken software.

Dus "even patchen" is er bij productie systemen gewoon niet bij. Het is hoe dan ook een risico en het kost hoe dan ook geld (vanwege downtime).

Ik wil er niet mee zeggen dat Norsk Hydro dit niet had kunnen voorkomen. Ik wil er wel mee zeggen dat het wat genuanceerder ligt.
Met deze wetenschap nu in huis, wordt er dan wat aan gedaan om het in de wat verdere toekomst te voorkomen? Ik snap dat het duur is om bijv elke 5 jaar specialistische software te vervangen maar als het de continuiteit van je bedrijf garandeert en dit soort vast enorme kostenposten kan voorkomen is een upgrade cyclus van 5 jaar het dan niet gewoon waard? Tijden zijn veranderd. Alles is met alles verbonden en dus moet je je toch extra gaan wapenen tegen malware en daar hangt nu eenmaal een kostenplaatje aan.
In de realiteit zal je in fabrieksomgevingen vaak moeten werken met wat de leverancier wil of kan aanbieden en dat zijn vaak technologieën met een sterk achterhaald security model, gewoonweg omdat dit niet de prioriteit is. Je kan die systemen best goed afschermen maar dan verlies je meteen ook elke vorm van SLA met de leverancier. We spreken trouwens niet over kleine leveranciers maar over Fortune 500 bedrijven.
Hmm ik krijg herinneringen aan het 'kroket' security model. Stevig van buiten, zacht van binnen. Via de ene leverancier zijn VPN naar binnen en bij de andere weer naar buiten.
Of een fax/printer - bel hem op, stuur een fax met een hack, en je komt het bedrijfsnetwerk op: https://research.checkpoi...ax-back-to-the-dark-ages/
Het kroketmodel moet de wereld uit. Helaas heb je dan een 'taaie' IT-omgeving. Maak die maar eens werkbaar, met de huidige middelen. Ik denk dat je elk object capabilities moet geven - iets wat je downloadt kan dus nooit verder. En als het verder gaat, is doe volgende stap ook zijn capabilities kwijt.
Ik weet bijvoorbeeld van een kennis dat bepaalde Röntgen apparatuur en een elektronenmicroscoop drivers hebben die alleen op Windows XP draaien. De fabrikant levert nu nieuwere types met nieuwere software terwijl de oude drivers niet meer worden aangepast. Waarschijnlijk heeft de fabrikant na bijna twintig jaar zelfs geen mensen meer in dienst die de software zouden kunnen aanpassen aan nieuwere Windows versies, als ze het al zouden willen.

Het enige dat ze kunnen doen is XP blijven gebruiken en het niet aan een netwerk koppelen.
Het gaat er niet perse om dat alle productiemachines zijn gepatched, maar dat dit goed is afgekaderd.
Het is geen probleem als er nog machines met Windows XP op staat, als dit maar volledig staat losgekoppeld van het netwerk (fysiek, dan wel via blokkeren poorten in firewall).
Maar die systemen hang je dan ook niet aan het internet...
T is jammer dat mijn basis reactie gemin'd wordt maar dat terzijde.
Ik snap wat je schrijft, Maar je kantoorsystemen hebben niets te maken met proces-automatiserings-machines. dus, wat je kan doen, als ze bijv. oude OSén gebruiken is of deze isoleren op een apart VLAN en met firewall regels je verkeer regelen (specifiek voor je proces IT), en laten we is beginnen met basis UTM zaken als AV, webfiltering en evt. IPS (intrustion prevention). Vaak is het zo dat die machines ook niet in het domein hangen, dus als ze gesloopt worden is het producent opbellen (en een restore draaien) of een beetje IT afdeling heeft bijv. een ghost image en kan deze terug zetten via een externe cd/dvd speler. (Harde schijf eruit halen, ghost image terug zetten en weer door.) of zorg dat je een tweede hdd op de plank hebt liggen. Daarnaast moet je je afvragen of zo n machine wel op internet moet? (maar das een beleidsding en kan ik niet over oordelen/beoordelen op een afstand.

Niet patchen ivm downtime is doodsteek nr1, je downtime is nu veel groter en je kosten ook.
Klopt, de automation industrie loopt echt hopeloos achter. Veelal XP embedded / 7 embedded, mag absoluut niet gepatched worden want dan heb je geen support meer. Hier valt echt nog enorm veel te verbeteren voor bedrijven als Siemens/Beckhoff/etc. Het is echt bizar als je met een leverancier in gesprek gaat over updates en/of anti-virus op zulke machines, ze kijken je aan alsof ze vuur zien branden. Ook in Nederland kun je ze vinden, ik zal geen namen noemen maar in Kampen zit er 1 die er echt helemaal niets van snapt ;-)

dvdk126 heeft overigens volledig gelijk dat zulke machines volledig gesegmenteerd van het netwerk horen te zijn en niet meer toegankelijk dan strikt noodzakelijk. De clou is uiteraard dat leveranciers bij voorkeur zoveel mogelijk remote support willen leveren want dan hoeven ze niet heen en weer te rijden. Uiteraard rekenen ze extra als ze wel heen en weer moeten rijden en zit je met managers die ook niet begrijpen wat IT security inhoud. Roepen hoe het zou moeten zijn is uiteraard heel makkelijk, dat de praktijk niet altijd zo werkt is (helaas) een gegeven.
@itlee :
"Die locker meuk was al vrij vroeg gepatched, en een bedrijf van zo'n formaat had dit prima van te voren kunnen aanvliegen."
Heb je hier wat info over?
Ik werk op die "inferieure" IT afdeling van Hydro (wel aan de applicatie kant in my defense). En ik heb eigenlijk nooit het idee gehad dat er werd beknibbelt op IT kosten.
Er zit op dit moment een bataljon van experts van interne en externe bedrijven te werken aan dit probleem. Ben benieuwd of zij uiteindelijk met dezelfde conclusie aankomen als jij.

[Reactie gewijzigd door ErwinvanGool op 9 april 2019 01:05]

Los van dit draadje lijkt het mij niet heel verstandig om als medewerker van Hydro, nota bene onder je eigen naam, interne informatie vrij te geven over de aard van de hack e.d. Ik ben zelf in de verste verte niet betrokken bij dit verhaal, maar gewoon een tip van een mede-ICT'er ;-)
Ik geef je gelijk, misschien had ik het iets beter moeten formuleren (en totaal niet misschien) zodat het niet op interne bronnen is gebaseerd. Dat is het namelijk niet. Ik zal de post verwijderen.
Is de aanval on premise uitgevoerd, of op afstand (via internet). In dat laatste geval vind ik het bijzonder dat bedrijfskritische systemen "zo maar" aan het internet hangen. In het eerste geval: dat klinkt als een gerichte aanval en die zijn lastig af te slaan. Zeker als personeel (onbewust) meewerkt aan de hack door accountgegevens vrij te geven. Zo blijkt maar weer dat de eindgebruiker de zwakste schakel is in ieder veiligheidssysteem.
Als je eenmaal binnen bent... Precies. En hoe kom je binnen?
Er zijn genoeg mensen die op het ene verdachte mailtje klikken dat er door heen komt of andere manieren van Social engineering.
Dat was dus precies mijn punt. De eindgebruiker is en blijft de zwakste schakel in de veiligheidsketen.
Is dat zo? Is dat 100%?
Er zijn genoeg bedrijven die werken met een twee of drie maandelijkse patchcycles. Dus als hacker heb je drie maanden de tijd om met een niet gepatchte bug te spelen. Is ruimschoots voldoende.
Social engineering werkt meestal ook wel. Achter iemand aan lopen het pand in ook. Zoek een werkend netwerkpoortje op, plaats een arduino en klaar.
Ik geef de eindgebruiker niet perse de schuld, die ligt bij de daders en niet bij de slachtoffers.
Maar voor de gemiddelde hacker is het wel een verleidelijk doelwit.

Mijn (schoon)ouders (leeftijd 70+) zijn vrij moderne mensen (smartphone, tablet, mailen, Googlen, social media, internetbankieren, etc) maar heb ik inmiddels aardig paranoia gekregen als het gaat om bijv het openen van mail van onbekende afzenders of met een twijfelachtige boodschap, bijlage of vraag. Ze vragen liever voor de zekerheid aan mij of iets veilig is, dan dat ze een risico nemen.

Tegelijkertijd heb ik collega's op 't werk (leeftijd 25+ tot 50+) die klikken alles open en aan zonder zich druk te maken om veiligheid, want "dat moet IT maar regelen".

Dus noem het een zwaktebod, maar het is wel de realiteit in mijn ervaring.
De mens is zeker een actor die de schade mogelijk maakt. Maar inderdaad, waarom regelt de IT dat ondertussen niet? Ik denk omdat veiligheid onvoldoende op #1 staat.
100 nieuwe features, of de hele boel overhoopgooien om de boel te voorzien van nieuwe bugs maar dan wel een stuk veiliger te krijgen? Je mag raden wie er wint.
Zullen we programmeren met bounds checking of zonder? Doe maar zonder, dan gaat ie 10% harder.
En denk dat we naar een ander model moeten. Hoe dat er uit ziet weet ik niet. Meer afschotting tussen functies op 1 systeem, maar ook vanuit dat systeem naar het netwerk.
Ik geloof niet dat je het met techniek alleen 100% waterdicht krijgt. Dat blijft een kat-en-muisspel tussen ontwikkelaars en hackers.
De techniek en security awareness bij gebruikers moeten hand in hand gaan.
Als je dat begint te onderzoeken krijg je het benauwd en snap je waarom hier op tweakers zo op privacy gehamerd word.
Die locker meuk was al vrij vroeg gepatched,
Voor zover mij bekend is nog niet bekend hoe LockerGaga op het netwerk is gekomen en is er nog geen 100% bescherming mogelijk. Als jij dat wel weet denk ik dat Norsk graag even een mailtje van je wil hebben.
Dat noemen we dus victim-bashing...
Wat ik vaak hoor is het argument ict is niet onze brood winning maar productie process xyz is duit dus er is geen geld voor updates etc.

Denk dat dit een goed voorbeeld is hoe een productie bedrojf toch enorm last kan hebben van ict verstoring.
Wat ik vaak hoor is het argument ict is niet onze brood winning maar productie process xyz is duit dus er is geen geld voor updates etc.

Denk dat dit een goed voorbeeld is hoe een productie bedrojf toch enorm last kan hebben van ict verstoring.
De wereld moet wat dat betreft nog een hoop bijleren. Ik vraag me wel eens af hoe het met de brandveiligheid zou zijn als we dat niet wettelijk geregeld hadden. Ik vermoed dat de meeste bedrijven dan geen sprinklers, brandalarm en jaarlijkse oefening zouden hebben.

Er zit vast ook een mate van 'survivor-bias' in: op de bedrijvenborrel spreekt nooit met een bedrijfsleider die z'n hele onverzekerde bedrijf heeft zien afbranden, die gaat namelijk failliet en is dan geen bedrijfsleider meer.
Dit is louter een informatief artikel zonder enige detail omtrent de aanval. Dus ik snap eigenlijk niet goed hoe dat een medetweaker hier zijn of haar oordeel over de sterkte van de beveiliging van Hydro kan bepalen...
Als RDP van buitenaf openstaat zijn er hallucinant veel aanvallen/bruteforces per minuut. Als er dan ook geen monitoring en lockoutpolicy opstaat dan is het een kwestie van tijd vooraleer ze in het netwerk zitten.
Daarna loggen ze in om al hun software te downloaden en herstarten ze de computer/server om hun sporen te wissen.

^ dit toepassen zal het risico voor een geautomatiseerde aanval al bijna compleet tegenhouden (op dit moment natuurlijk..)

Via mail heb ik de laatste tijd geen ransomware gezien, RDP is de enige methode die wij constant zien terugkomen.
Dus de factureer, customer service en marketing afdeling moet ook niet op het internet zitten? Overigens geen nuts bedrijf.

[Reactie gewijzigd door falconhunter op 8 april 2019 16:24]

Ook zonder internet zijn er legio manieren om systemen te infecteren. Er is áltijd een zwakke schakel die misbruikt kan worden.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True