MIT: Den amerikanske energisektor står pivåben for cyberangreb

USA største kulkraftværk i West Virginia Illustration: REDPIXEL.PL/Bigstock
USA's regering har ikke gjort nok for at værne om infrastruktursikkerheden, konkluderer MIT-forskningsrapport.

Systemer, der garanterer millioner af amerikanere strøm, olie og gas hver dag, har gennemgået en digitalisering over de seneste 25 år, uden at der på noget tidspunkt er taget højde for it-sikkerhed.

Det konkluderer MIT-universitetets ’Internet Policy’-forskningsgruppe, skriver New Scientist.

Forskeren bag rapporten er en tidligere højtstående ansat hos sikkerhedstjenesten NSA, Joel Brenner, der har rådført sig hos andre eksperter på området.

»Betjeningen af en olierørledning kan benytte sig af samme hardware som din teenagers computer,« forklarer Brenner til New Scientist.

Årsagen til dette er bl.a., at leverandørerne for at optimere deres profit sælger it-udstyr, der har en bred anvendelse, men som derfor også besidder sårbarheder.

»Vi ved, hvordan man stopper sårbarhederne, men der er intet markedsincitament for virksomhederne til at gøre det,« uddyber Brenner.

Læs også: Machine learning skal forudsige, hvor og hvornår det næste strømsvigt rammer Danmark

Problemerne med en sårbar forsyningssektor er også kendt herhjemme. Sidste år konkluderede Alexandra Instituttet, at de sikkerhedsmodeller, der er inkorporeret på de danske kraftvarmeværker, er dybt forældede. Og Forsvarets Efterretningstjeneste har også advaret imod, at militære cybervåben kan bruges offensivt imod blandt andet den danske forsynings- og energisektor

Læs også: Dansk Fjernvarme: Forsvarets Efterretningstjeneste tager fejl i it-risikovurdering af fjernvarmeværkerne

MIT: Forsyningens netværk bør isoleres

En af løsningerne i MIT-rapporten er at isolere så mange som muligt af de digitale systemer fra hovednetværket for at gøre dem mindre tilgængelige for hackere.

Desuden skal virksomheder løbende informere hinanden om angreb. Videndeling bør være grundstenen i cybersikkerhed ifølge sikkerhedsforsker Raghav Rao fra University of Texas.

Den amerikanske infrastrukturindustri er i høj grad privatiseret. Derfor opfordrer MIT's rapport den nye amerikanske regering til at indføre skattelettelser for virksomheder, der leverer bedre cybersikkerhed.

Men dette bør også kombineres med konkrete minimumskrav for sikkerhedsstandarder og højere bøder.

Læs også: Danske kraftvarmeværker står pivåbne for hacking: Nu kommer der kryptering på styringsdata

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ebbe Holleris Petersen

... ingen grænser for hvad der kan bruges som løftestang for skattelettelser. I dette tilfælde tager de private aktører ikke sikkerhed alvorligt - noget jeg ellers vil mene er en ikke uvæsentlig del af deres job - energiforsyningen er jo en kritisk del af et lands infrastrukturen. Men i stedet for at straffe dem der ikke gør nok (det kunne man jo fx gøre ved at hæve deres skat - hvis man nu absolut vil bruge skatten som redskab til at øge sikkerheden) - så foreslår man i stedet at belønne dem. Det er jo et enestående idiotisk signal at sende til erhvervslivet: vil i gerne have skattelettelser, så lav jeres arbejde dårligt - så skære vi yderligere ned på skatten hvis i efterfølgende retter op på det.

  • 3
  • 0
Frithiof Andreas Jensen

Hvis man bekender sig til neoliberalismen findes der ikke andre muligheder end "Mere Globalisering", "Mere Marked" og "Privatisering af Profitter, Socialisering af alle Tab og Skadevirkninger".

Anvendelsen af et enkelt eller måske endda en modig og kreativ kombination af disse tre per-definition evigt sande dogmer er de eneste acceptable lösninger på alle problemer og udfordringer som menneskeheden måtte måde. Sådan er det bare.

Det var i övrigt sådan at USSR fungerede, ganske vist med andre dogmer, men i längden vil vi opnå de samme resultater som USSR.

  • 3
  • 0
Erik Andersen

Jeg har været ude med dette budskab nogle gange, men det siver ikke ind.

Dansk IT-sikkerhed er fordelt på en masse forskellige institutioner, der gør koordinering vanskelig. Man har en tyrkertro på, at bare man har procedurerene i orden, fx følger ISO/IEC 27001, så har vi sikkerhed.

Hvad hjælper alle procedurer og gode råd fra Center for Cybersikkerhed, hvis de produkter, som indgår i IT-nettet er hullede som en si. Alle de gode råd og al spredt viden, til tider af høj kvalitet, bliver kun i ring grad kanaliseret ind i produkt specifikationer, dvs. i internationale standarder.

Jeg var selv med i det projekt, som Alexandra Instituttet referer til. Der var tale om et meget lille plaster til et meget stort sår. Konklusionen var da også, at den bagvedliggende standard (IEC 62351-4) ikke var god nok. Sidan har en enkel, halvforvirret gammel mand været i gang med at gøre plastret lidt større.

Dansk IT-sikkerhedsstandardisering er en by i Rusland. It-sikkerhedsstandardisering bør være en samfundsopgave. Alle forsøg på at råbe politikere op, har været forgæves. Er man heldig, får man et go'da mand, økseskaft svar.

  • 5
  • 0
Log ind eller Opret konto for at kommentere