ハイドロ社はシステムの異常に気付き、マルウェアが社内ネットワークに広がる初期段階から迅速に判断し、グローバルな拠点をつなぐネットワークを遮断、全社員35,000人のPCの電源をオフにした。
プラント系はビジネスPC系と切り離されているが、それでも基幹ネットワークが利用できない以上、一部工場では操業停止、またほかの影響が少ない工場でも手動で操業することになった。社内では電話と、(Windows系しか感染しないので)タブレットやスマホでのメールへのアクセスは許可した形で事業を進めた。地元ノルウェーのメディアには、社内に掲示された殴り書きの掲示物の写真が載っていた。
ハイドロ社は、この刻々と変化する状況を、隠すことなく広報している。またサイバー犯罪を専門に取り扱うノルウェーの司法部局や、ノルウェーのインシデントチームでありナショナルCERTでもあるNorCERTと協力し対処しながら、タイムリーに外部に情報を出していっていた。
筆者は本記事を書くために、セキュリティベンダーなどの技術情報だけではなく、同社の広報資料や地元ノルウェー放送協会サイトのニュースを調べたのだが、その時思ったのは、事前シナリオがないとここまでうまくいかないのではないだろうか、ということである。ハイドロ社の社内セキュリティチーム、広報部所、経営陣だけではなく、ノルウェーのサイバー犯罪対応組織やセキュリティ・インシデント対応チームなど、非常時連携も含め、かなり事前の準備とトレーニングをしていたのではないだろうかと感じた。