Marcowy cyberatak, który na kilkadziesiąt godzin sparaliżował działalność Norsk Hydro, wielkiego norweskiego producenta aluminium, przypomina, że cyberbezpieczeństwo jest jednym z kluczowych czynników ryzyka praktycznie każdej firmy.
W wyniku ataku unieruchomionych zostało wiele fabryk, w których Norsk Hydro z aluminiowych wlewek produkuje części wykorzystywane czy to w motoryzacji, czy to np. w budownictwie. Z kolei zlokalizowane w Norwegii huty, w których koncern produkuje aluminium, przeszły na ręczne sterowanie. Na zdjęciach zrobionych w biurowcach zatrudniającej w 40 krajach 36 tys. osób firmy widać poprzyklejane do drzwi kartki (niektóre pisane odręcznie) informujące o ataku i ostrzegające, by z przyniesionych do firmy komputerów, smartfonów i laptopów pod żadnym pozorem nie łączyć się firmową siecią.
Według norweskiej rządowej agencji zajmującej się cyberbezpieczeństwem atak został przeprowadzony z użyciem ransomware LockerGoga, który szyfruje twarde dyski zainfekowanych komputerów i domaga się zapłaty za ich odblokowanie. Ten sam rodzaj wirusa został użyty w styczniu w ataku na francuską firmę doradczą Altran Technologies. Podobny schemat działania miały ataki prowadzone w 2017 r. z wykorzystaniem ransomware WannaCry i NotPetya, które sparaliżowały wówczas wiele szpitali, banków i firm na całym świecie. O ich przeprowadzenie rząd USA i brytyjski wywiad oskarżyły odpowiednio Koreę Północną i Rosję.
Dwa wielkie ataki z 2017 r. kosztowały światową gospodarkę miliardy dolarów. Złożyły się na to zarówno koszty usuwania skutków ataku, jak i straty poniesione w wyniku sparaliżowania firm. Ile LockerGoga kosztować będzie Norsk Hydro, na razie nie wiadomo. Jak szacuje firma badawcza Netscout, w ub.r. średni koszt ataku typu DDoS – sztucznie generowana olbrzymia liczba wywołań atakowanej strony, która powoduje jej niedostępność – wynosił niemal 222 tys. dolarów. Jak twierdzą analitycy tej firmy, co dnia dochodzi na świecie średnio do niemal 17 tys. takich ataków. Wiele jest udanych, i to mimo tego, że średnie nakłady firm na cyberbezpieczeństwo wzrosły – według danych firmy badawczej Gartner – z 584 dolarów na pracownika rocznie w 2012 r. do 1178 dolarów w 2018 r. Wynoszą średnio 5,9 proc. budżetów IT firm, a w niektórych spółkach technologicznych cyberbudżety przekraczają 500 mln dolarów.
Cyberzagrożenia dotyczą praktycznie każdej firmy. Także działającej w Polsce. Przykłady Norsk Hydro czy duńskiego Maersk z 2017 r., których kursy akcji zareagowały na informacje o cyberataku, pokazują, że z punktu widzenia inwestorów powinny być czynnikiem ryzyka, który wymieniany jest w raportach rocznych spółek, a także prospektach emisyjnych.
