Din elmåler er bytte for it-kriminelle

It-kriminelle søger i stigende grad mod energisektoren, der sløser med it-sikkerhed. Det truer sikker udrulning af det intelligente elnet, lyder det i ny europæisk rapport.

Private elmålere, der afregner strømmen forkert, og strømudfald i større områder. Begge er eksempler på konsekvenser af cyberkriminelle angreb, som både EU og førende internationale eksperter i it-sikkerhed advarer mod.

Eksperterne mener, at angrebene vil tage til, i takt med at fremtidens intelligente elnet, kaldet smart grid, bliver udrullet i Danmark og andre lande, fordi smart grid er mere sårbart end traditionelle elsystemer.

Cyberkriminelle har med økonomisk eller politisk gevinst for øje allerede foretaget angreb i flere lande - senest i Tyskland før jul, hvor en operatør af elnet blev angrebet over fem dage.

Angrebet ramte administrative systemer, men frygten er, at hele områder kan miste elforsyningen.

»Det intelligente elnet ændrer dramatisk på sikkerhedsaspektet for energisektoren, der er fuldstændig fundamental for vores samfund,« siger Konstantinos Moulinos, ekspert i netværkssikkerhed og hovedforfatter på en ny rapport fra EU's agentur for cybersikkerhed, Enisa.

Rapporten kaster for første gang et uafhængigt blik på den cyberkriminelle trussel mod smart grid og giver 10 anbefalinger, der skal forbedre sikkerheden i de intelligente elnet.

Smart grids er afgørende for at kunne udnytte den stigende andel af strøm fra vindmølleparker og anden vedvarende energi. Men det kræver it-teknologier og tovejskommunikation med store datamængder mellem de mange nye enheder, og dermed bliver elforsyningen sårbar over for hackerangreb.

»Vi er nødt til at agere nu, så vi får et minimum af sikkerhed,« lyder budskabet fra Konstantinos Moulinos.

Opråbet får fuld opbakning fra en række danske og internationale eksperter i it-sikkerhed. En af dem er den finske cybersikkerhedsekspert Mikko Hypponen. Ifølge ham bliver problemet forstærket af, at it-systemerne i elsektoren traditionelt har været isoleret fra omverdenen.

»En væsentlig del af sikkerhedsinfrastrukturen i energisystemer har hidtil været bygget op om, at de ikke er forbundet til offentlige netværk. Det bliver alt sammen ændret med smart grids,« siger Mikko Hypponen.

Også professor Kim G. Larsen, Center for Datalogi ved Aalborg Universitet, bakker op:

»Der har været en tendens til, at it-folk først kommer ind i billedet, når tingene er gået galt,« siger Kim G. Larsen, der arbejder med it-sikkerhed i forbindelse med smart grid-projekter i blandt andet Kina og Japan.

Enisa konkluderer, at selv om de fleste smart grid-projekter i udgangspunktet er seriøse omkring cybersikkerhed, bliver den praktiske implementering ofte ignoreret på grund af små budgetter eller ganske enkelt manglende viden. Konsekvensen er, at branchen i årevis har nedprioriteret sikkerheden i smart grids.

»Sikkerhed i forbindelse med smart grids er blevet set som et andenrangs emne. Det bliver ikke integreret fra start, som du ser det i eksempelvis it-sektoren,« siger Konstantinos Moulinos.

Branchechef Morten Baadsgaard Trolle fra Branchefællesskab for Intelligent Energi, der hører under Dansk Energi, anerkender, at der ikke altid har været lige stort fokus på it-sikkerhed alle steder i energisektoren. Det gør branchefællesskabet nu noget ved, påpeger han.

»Sikkerheden i elnettet er rimelig god herhjemme og har været det historisk. Når det er sagt, må det absolut ikke blive en sovepude, for vi står med en helt anden udfordring, i takt med at smart grid udvikles. Det er vi opmærksomme på, og det tager vi meget seriøst,« siger han.

Branchefællesskabet mødes den 25. februar for at diskutere Enisa-rapporten.

Kommentarer (28)

Henrik Pedersen

Selve problemet er vel at en intelligent elmåler skal sidde oppe over en længere periode (10 - 15 - 20 år?) og ved mindre de laver en seriøst stærk mini computer som kan opdateres trådløst, så er det et problem i sig selv.

De kan bruge nok så meget RSA4096 signering og AES256 kryptering de vil. Hvem ved hvornår det ikke længere er tilstrækkeligt?

Henrik Pedersen

Selve problemet er vel at en intelligent elmåler skal sidde oppe over en længere periode (10 - 15 - 20 år?) og ved mindre de laver en seriøst stærk mini computer som kan opdateres trådløst, så er det et problem i sig selv.

De kan bruge nok så meget RSA4096 signering og AES256 kryptering de vil. Hvem ved hvornår det ikke længere er tilstrækkeligt?

Frederik Madsen

Forklar mig lige, hvad er pointen? Min el-regning er alt for lav til at det nogensinde ville kunne betale sig at snyde på vægten hvis man opvejer det med konsekvneserne hvis man bliver taget (ganget med sandsynligheden). Sådan må langt de fleste Danskere da også have det. Ting slipper ud, en ven får besked om man har hacket sin el-måler, fortæller det ved en fejl til en bekedt som igen giver informationerne videre til el-selskabet. Du bliver rodet ind i en tyk juridisk sovs du aldrig kommer ud af igen - for hvad? 3000 dkk om året? Er det virkelig chancen værd?

Det kan godt være du også kan hacke den til at fortælle el-selskabet du har produceret en helvedes masse kWh, men så finder de skam nok selv ud af der er noget galt når de skal til at udbetale en halv million til en mindre lejlighed på nørrebro.

Eller har jeg misforstået noget?

Hvis der ikke er nogen økonomisk vinding i det forbliver det noget entusiaster gør for sjov - og det er jeg hamrende ligeglad med.

Jens Rauff

Alt efter hvad men kan gøre med elmåleren så kan det være ting som nulstille elmåleren dagligt, så elselskabet ikke kan kræve noget for forbrug, slukke for strømmen, så store dele af landet kan lægges mørke og kræve løsepenge eller lignende. Det at kunne styre landets elmålere kan bruges og misbruges. Og som I er inde på, så er der måske krypteringsløsninger der virker lige nu, men sårbarheder opdages hen ad vejen og det er noget der skal tages seriøst.

Frithiof Andreas Jensen

Du bliver rodet ind i en tyk juridisk sovs du aldrig kommer ud af igen - for hvad? 3000 dkk om året? Er det virkelig chancen værd?


Det er det måske for den som hacker din elmåler så du ender i fedtefadet?

Måske, hvis man kan hacke mange intelligente elmålere på een gang, kan man game markedet for el-futures. Så taler vi pludseligt om seriöse penge.

Dennis Van Eriksen

"Hvis der ikke er nogen økonomisk vinding i det forbliver det noget entusiaster gør for sjov"

Kunne ikke være mere enig :)

@Frithiof Andreas Jensen
" Det er det måske for den som hacker din elmåler så du ender i fedtefadet? "

@Jens Rauff
" slukke for strømmen, så store dele af landet kan lægges mørke og kræve løsepenge eller lignende. "

... Kan i selv høre hvordan det lyder? ;)

Peter Lind

@Frithiof Andreas Jensen
" Det er det måske for den som hacker din elmåler så du ender i fedtefadet? "

@Jens Rauff
" slukke for strømmen, så store dele af landet kan lægges mørke og kræve løsepenge eller lignende. "

... Kan i selv høre hvordan det lyder? ;)

Wow ... man skulle tro at her, over tredive år efter de første vira kom frem, at folk vidste at sikkerhedshuller vil blive fundet og udnyttet, alene fordi det er muligt.

Mao.: jeg håber virkelig ikke du har noget at gøre med computersikkerhed i nogen branche.

Esben Nielsen

Jeg snakkede med én som lavede fjern-aflæste målere for en del år siden nu (omkring 2007), og spurgte lidt til sikkerheden. Svaret lød lidt som
"Jamen, vi offentliggør ikke protokollen, så det er kun os der kan snakke med dem."

Ove Andersen

Er der slet ingen der har set følgende galleri:
http://ing.dk/artikel/123173-se-danskernes-opfindsomme-snyd-med-elmaaler...
http://ing.dk/artikel/123165-saadan-har-danskerne-forsoegt-at-snyde-elma...

Der er blevet snydt med elmålere så længe de har eksisteret, også selvom det kun er for få hundrede kr., hvad skulle få folk til at stoppe med det? Der bliver jo flere og flere "it-kyndige", må man formode/håbe.

Jens-otto Andersen

De "SmartGrids"-systemer jeg har set udmærker sig generelt ved de enorme datamængder, der skal kommunikeres.
Det er nødvendigt, når man vil "aktivere" almindelige forbrugere på basis af den etablerede markedsstruktur med day-ahead, regulerkraft, reserver osv, alt på baseret på kontrakter med "aggregatorer".
Megen trafik & mange omveje giver uoverskuelighed og større mulighed for hacking.
Måske skulle man prøve at tænke sagen helt forfra.

Christian Nobel

Hmm, IMO så er det vist en sårbar vej at gå.

Måske det var smartere at el selskaberne gravede fiber ned sammen med deres elledninger, og så lod disse fibre gå helt til hjemmet - så kunne der jo være VPN opkoblinger (som intet havde med internettet at gøre) gennem el selskabernes fibernet, og så kunne resten jo udbydes til internet.

Åhh, jamen hov så kommer formanden for teleselskabernes udviklingsobstruktionsforening (aka John-jeg-er-den-klogeste-i-verden-Strand) og himler op om mobiltelefoni og master.

Jørgen L. Sørensen

--- på elmålerne, og betragt dem kun som et eksempel. Den enkelte elmåler er nok mest interessant for småfuskere, eller måske nogle der vil udøve chikane ved at slukke for strømmen til ex'en eller den dumme chef.

Men når hele elnettet (forsyningen) styres via it - og det viser sig at styringen kan hackes, bliver det med sikkerhed interessant. Strømudfald i 10 minutter synes de fleste er hyggeligt/noget at grine af (med mindre man ikke har gemt sin store rapport, eller regneark, den sidste time:-), men hvis strømmen er væk en time går det sjove af det, og er det væk en halv eller en hel dag er vi ret meget på spanden.

Hvor meget kan vi egentlig klare uden strøm?
Hvor længe kan alarmsystemer, mobilnet, fastnet mv. klare sig på nødstrøm?
Hvor hurtigt kan elforsyningen får nettet intakt igen hvis det f.eks. lykkes at kortslutte et par transformatorstationer?

Som ikke-el-kyndig synes jeg nok der er nogle ting de kunne tænkes at gå galt - og der er da historier fremme jævnligt, der tyder på at det ikke kun er små-kriminelle der laver it-kriminalitet, men måske stater. Og hvad med store forbrydersyndikater - mon ikke også de hopper på vognen hvis de kan se en muighed for at tjene penge.

Så jeg synes i hvert fald det vil være godt, hvis der jævnligt bliver vurderet hvilke muligheder, der er for at sikre el-nettet efterhånden som teknikken indføres. Man kan lige så godt prøve at gøre det sikkert med det samme, så det kun er huller der skal retttes hen ad vejen, end til at indføre sikkerhed når det er gået galt.

Chris Bagge

Overskriften er i den grad forfejlet. Elmålerne er ikke problemet. I første omgang er det man ønsker at kunne, er aflæse data fra måleren. Uanset hvor meget man aflæser, så ændrer det ikke på måleren. Dernæst er selve måleren ofte adskilt fra fjernaflæsningen. Hvis man fusker med fjernaflæsningen, så vil de rå sumdata stadig være inde i selve måleren. Værkerne i Danmark er rigtigt gode til at beregne hvad du "burde" bruge. Det gælder både gas og el. Hvis værket så finder dit forbrug unormalt, så vil de sikkert "komme og besøge dig" og aflæse de rå data. Der er der ikke meget at opnå.

Da vi her i Danmark (endnu) ikke fjernbetjent kan slukke for strømmen, så er der begrænset hvor megen skade der kan laves. De steder der er sårbare er ikke den enkelte elmåler derimod de centrale dele af styringen af nettet. Det er her problemet er. Det er et generelt problem at der er alt for mange sårbarheder i de processanlæg der står ude omkring. Dette er man klar over. Se bare på "Stuxnet" ormen og senest "Red October" virus'en. Husk dog. "Rom blev ikke bygget på en dag".

Herudover er der allerede krav nu fra EU om, at al kommunikation med el-målere fremover skal krypteres, med stærk kryptering.

Chris Bagge

Elselskaberne har nogen steder allerede længe brugt selve el-nettet til at transmittere data over. Det kaldes Distribution Line Carrier. Det har dog sine begrænsninger. Meget af aflæsningen af målere foregår i stedet for trådløst. Det er alt for dyrt at trække fiber/kabler. Herudover er der i Danmark meget lidt at vinde ved generelt at indføre fjernaflæsning. Systemet med et pap-kort og et gratis-telefonnummer at ringe til er meget billigt. Det at etablere og drifte et netværk til sikker aflæsning er ikke gratis. Husk, det bliver i sidste ende forbrugerne der skal betale for netværket.

Finn Christensen

Herudover er der i Danmark meget lidt at vinde ved generelt at indføre fjernaflæsning. Systemet med et pap-kort og et gratis-telefonnummer at ringe til er meget billigt.

Ja men Chris.. hvad har du gang i ?

EnergiMidt er i gang med fjernaflæsning, EnergiFyn har siden 2009 fjernaflæst... der er flere undervejs, da ca. 60% af kunderne allerede har fjernaflæsning eller det var under udrulning for et års tid siden - det sker nu og fremover, og kunderne bliver da ikke spurgt undervejs.. http://www.danskenergi.dk/AndreSider/NetTeknik/Fjernaflaeste_elmaalere.aspx

Men enig den gamle metode var billig.

Erik Jacobsen

Jeg kan heller ikke se hvad min sølle fjernaflæste el-måler har med et stort cyberattack at gøre. Men mit privatliv er en anden sag. Med lidt teknisk snilde, måske bryde en kryptering eller 2, vil de slemme folk kunne se hvornår jeg er på ferie, fordi så er mit forbrug nok ikke så stort.

Men hvor kan vi se protokollen?

Jesper Lund

Jeg kan heller ikke se hvad min sølle fjernaflæste el-måler har med et stort cyberattack at gøre. Men mit privatliv er en anden sag. Med lidt teknisk snilde, måske bryde en kryptering eller 2, vil de slemme folk kunne se hvornår jeg er på ferie, fordi så er mit forbrug nok ikke så stort.

Slemme folk behøver ikke at være kriminelle som hacker systemet. Det kan også være staten som vil overvåge borgerne (som med logningsbekendtgørelsen, hvor staten lige nu registrerer at jeg har internettrafik til version2).

Hvis el-selskaberne løbende kan aflæse dit forbrug, kan staten også gøre det. Dit el-forbrug minut-for-minut vil fortælle en masse om dit privatliv, som Ross Anderson beskriver i denne 4-siders note
http://www.fipr.org/100110smartmeters.pdf

Staten kan checke hvornår borgerne står op om morgenen, hvornår de går i seng, og om du reelt bor på din folkeregisteradresse, etc etc. For at tage et eksempel: Skat's interesse for alle mulige og umulige data er velkendt, og Skat mener selv at deres "behov" er højt hævet over alle fundamentale borgerrettigheder (grundlov, EMRK, etc etc).

Hvis el-selskaberne, og i praksis staten, løbende kan aflæse dit el-forbrug må det være at betragte som en indskrænkning af din ret til privatliv, en ret der er sikret af EMRK artikel 8.

Når man ser på hvordan teknologiske tiltag som rejsekortet, betalingsringen omkring København og diverse forslag om kørselsafgifter bliver foreslået i Danmark uden at nogen tænker på privatlivets fred (en fundamental rettighed efter EMRK artikel 8), kan jeg godt blive lidt bekymret for hvordan det kommer til at gå med intelligente el-målere (smart meters).

Ole Knudsen

Problemet bliver vel at vi saa har en million steder der kan bruges i et botnet, og allesammen enheder der ikke bliver slukket for hver dag, og som det kan blive ret besværligt at re-boote, for ikke at tale om, hvis styresystemet bliver komplet stoppet?

Nicolai Eggert

"Da vi her i Danmark (endnu) ikke fjernbetjent kan slukke for strømmen, så er der begrænset hvor megen skade der kan laves."

Desværre bærer mange indlæg i denne debat præg af, at man ikke helt ved, hvad man udtaler sig om, og at et ellers væsentligt emne derfor bliver ligegyldig-gjort, om man vil.

Min elmåler er med fjernaflæsning, og har en indbygget afbryder, samt to knapper på fronten - hhv. tænd og sluk for denne afbryder. Afbryderen slukker for forsyningen videre i systemet (fordelingstavle, mv.). Afbryderen kan ikke betjenes lokalt - i hvert fald ikke uden autorisation. Derimod kan den fjernbetjenes af mit forsyningsselskab.

Hvor langt er der så til, at man kan købe en dims på eBay, der kan sende et sluk-signal ud til målerne, og så kan småtbegavede mennesker køre rundt i villakvartererne og slukke for målere. Hvad skal forsyningsselskaberne gøre for at standse sådan en situation? (Ikke hvad de skulle have gjort - det er åbenlyst nok - men hvad skal de gøre, når de nu har dummet sig og problemet er synligt for enhver?)

Med hensyn til vores øvrige forsyningsnet har man allerede fjernbetjening af flere stationer, og arbejder imod at kunne fjernbetjene mindre komponenter også. Det har sine fordele i tilfælde af f.eks. fejl på nettet, at man automatisk (på sekunder) kan udkoble den fejlramte del og genindkoble det øvrige net. Til gengæld betyder det også, at der alt andet lige sidder en afbryder, der er modtagelig for signaler udefra.

Med mindre disse anlæg er adskilt 100% fra internetforbindelser, vil det altså alt andet lige kunne lade sig gøre for en dygtig hacker at slukke for strømmen i f.eks. store dele af København; og da gadebelysning, trafiksignaler, trafikkameraer, m.v. forsynes mere eller mindre lokalt (fra samme station) vil det være en "nem" måde at generere lidt kaos på.

Tænk f.eks. på en kontrolcentral til indbrudsalarmer, der pludseligt modtager 1.000 signaler fra alarmer om, at forsyningsspændingen er svigtet. Hvordan bliver deres effektivitet påvirket, i forhold til at detektere det ene indbrudssignal der afgår samtidig, når alle telegrammer står i kø for at komme til centralen? Hvad med vægteren? Vil han agere seriøst på meldingen, eller vil han formode at der er tale om en fejl? Vil han kunne komme frem m.h.t. trafik? Politi ditto. Brandvæsen ditto, f.eks. i tilfælde af sabotage.

Hvad med laboratorier, der har prøver eller resultater opbevaret på køl. Disse prøver er mange penge værd, fordi de er bekostelige at indhente, og de skal opbevares ved bestemte temperaturer, der alt andet lige kræver at der er energi til stede til at generere og fastholde temperaturen. Kunne man f.eks. forsinke/chikanere et projekt som Fehmern Bælt forbindelsen, ved at "angribe" dem der behandler prøverne fra havbunden? Og derefter beslutningstagerne (privat og på arbejde)? Måske selve byggepladsen - udkoble strømmen flere gange dagligt, evt. på udvalgte tidspunkter hvor der hældes beton?

Min pointe er ikke så meget at male fanden på væggen, men at understrege at det her er et seriøst problem, der bør tages alvorligt. I 2003 var Sjælland uden strøm i nogle timer grundet et problem i Sverige, og da fik man en forsmag på problemerne.

Personligt håber jeg, at de der sidder med ansvaret for disse problemstillinger er deres ansvar voksent. Ellers vil det uden tvivl være en enorm mulighed for at chikanere - både personligt, kommercielt og politisk.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Advanced Windows Store App Development using HTML5 and Javascript [20482]

Hvornår: 2015-10-26 Hvor: Storkøbenhavn Pris: kr. 19500.00

Arbejdspraksis og it

Hvornår: 2016-02-01 Hvor: Østjylland Pris: kr. 15000.00

PRINCE2 afvigelsesstyring

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

QMS Auditor/Lead Auditor Training Course (IRCA id-nr A17536)

Hvornår: 2015-11-16 Hvor: Fyn Pris: kr. 25700.00

Mentor i beskæftigelsesindsatsen

Hvornår: 2015-08-31 Hvor: Østjylland Pris: kr. 9800.00