CFCS: Cyberkriminalitet og spionage udgør stor trussel mod dansk energisektor

6. september 2018 kl. 10:4924
Den danske energisektor er i høj grad truet af cyberkriminalitet og -spionage, lyder det i en ny vurdering fra CFCS.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Truslen mod energisektoren i Danmark fra henholdsvis cyberkriminalitet og cyberspionage er meget høj, lyder det i en vurdering fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.

Af trusselsvurderingen fremgår det, at cyberkriminelle har forsøgt at berige sig via forskellige mere eller mindre målrettede angreb mod energisektoren. Som et konkret og semi-aktuelt eksempel nævnes et forsøg på Business Email Compromise-bedrageri (BEC) (også kaldet CEO Fraud) mod Energinet i maj 2018.

Business Email Compromise

Såkaldte BEC (Business Email Compromise)-scams har til formål at franarre virksomheder og organisationer penge gennem falske anmodninger om pengeoverførsler. For at udnytte medarbejdernes loyalitet udgiver de kriminelle sig typisk for at være en ledende medarbejder i organisationen. Bedrageri af denne type kaldes derfor også for CEO-fraud eller direktørsvindel.
Kilde: Cybertruslen mod energisektoren, Center for Cybersikkerhed

Her udgav kriminelle sig for at være en ny direktør i forbindelse med et direktørskifte i organisationen.

Artiklen fortsætter efter annoncen

»Opmærksomme ansatte i Energinet og gode procedurer afværgede dog bedrageriforsøget,« hedder det i trusselsvurderingen.

I vurderingen nævnes også et andet konkret eksempel på cyberkriminalitet. I 2015 blev NRGI således ramt af et målrettet ransomware-angreb, der påvirkede organisationens forretningssystemer i væsentlig grad.

»I NRGi-sagen havde cyberkriminelle ikke adgang til kritiske netværk, men ransomware-angrebet påvirkede deres it-infrastruktur på det administrative netværk,« lyder det i trusselsvurderingen.

Cyberspionage

Den anden store trussel mod energisektoren i Danmark er ifølge trusselsvurderingen cyberspionage. Den trussel vurderer CFCS især er rettet mod produktions- og transmissionsselskaber i energisektoren.

Der nævnes ingen navne i trusselsvurderingen, som nøjes med at oplyse, at »der har været flere målrettede forsøg på at få uautoriseret adgang til organisationer i den danske energisektor i 2017 gennem spear phishing og vandhulsangreb.«

Et vandhulsangreb vil sige, at et ellers legitimt website bliver inficeret med malware, så besøgende på sitet risikerer at blive angrebet.

Baltic Pipe og Nord Stream 2

Baltic Pipe-anlægsprojektet skal etablere en gasledningsforbindelse fra Nordsøen gennem Danmark til Polen via Østersøen. Det skal have en årlig gennemstrømningskapacitet på 10 milliarder kubikmeter gas.

Nord Stream 2-projektet skal etablere en gasledningsforbindelse fra Rusland til det nordlige Tyskland via Østersøen. Forbindelsen skal have en årlig gennemstrømningskapacitet på 55 milliarder kubikmeter gas.

Danmarks samlede årlige gasforbrug er til sammenligning på cirka 2,5 milliarder kubikmeter. Nord Stream 2- og Baltic Pipe-forbindelserne skal krydse hinanden i Østersøen.
Kilde: Cybertruslen mod energisektoren, Center for Cybersikkerhed

»CFCS vurderer, at hændelserne var forsøg på cyberspionage udført af en statslig aktør med tilknytning til et andet lands efterretningstjeneste. CFCS vurderer, at der er tale om en vedvarende trussel fra fremmede stater,« står der i trusselsvurderingen.

Som mulig forklaring på cyberspionagen nævner trusselsvurderingen, at Danmark er et knudepunkt i det europæiske el- og naturgasnet, og at Danmark spiller en væsentlig rolle i udveksling af el og gas i Europa.

»Den danske energisektors fremtrædende position betyder, at fremmede stater kan have en særlig interesse i sektoren, eksempelvis for virksomheder og myndigheder, der har tilknytning til gasledningsprojekterne Baltic Pipe og Nord Stream 2,« fremgår det af trusselsvurderingen.

Andre trusler

Udover cyberspionage og cyberkriminalitet så kommer trusselsvurderingen også ind på cyberterror og cyberaktivisme. I begge tilfælde vurderes truslen til at være lav. Et eksempel på cyberaktivisme kunne være et DDoS-angreb, der gør et energiselskabs hjemmeside utilgængelig.

Cyberterror er et cyberangreb, der har til formål at skabe samme effekt som konventionel terror. For eksempel fysisk skade på mennesker.

Hvad cyberterror angår, så vurderer CFCS, at militante ekstremister har begrænsede evner og ressourcer til at udføre alvorlige cyberangreb.

»Og selv om de i få tilfælde har ytret interesse for at udføre cyberterror, har de aktuelt ikke kapacitet til dette,« hedder det i vurderingen.

Selvom truslen fra cyberaktivisme vurderes som værende lav, så oplyser CFCS, at truslen ofte motiveret af enkeltsager, og at truslen mod energisektoren derfor kan stige uden eller med kort varsel.

24 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
24
9. september 2018 kl. 11:09

Lad for alt i verden være med at forsøge at hacke din måler. Det er ulovligt.

ER det ? Den sidder ved dig, hvis det er et lokal EL selvskab, så er du ejer af selskabet. Du har også købt og betalt for etablering. VIl mene det må betragtes som din ejendom.

Men man skal da lade være med at snyde og ændre noget i måleren. Men hvis man kan komme til det, uden fysisk indgreb og ved at bryde plomben. Så er der noget galt med elmåleren.

Så vil da opfordre til at man forsøger at hacke den, og hvis det lykkes underrette EL selskabet, så sikkerheden kan øges for os alle.

23
7. september 2018 kl. 19:45

@Christian - har du set de videoer i det link jeg opslog? Der faktisk information om de forbedringer der er lavet f.eks. at man har implementere open smart grid protocol (ETSI standard).
Der er tons af information omkring smart meters og hvad der sker rundt omkring i den verden.
Men jeg er ikke enig i at alt skal lægges frit, for det er en krig og der er ingen ting (software eller hardware) der er fejl fri - jeg vil hellere have at leverandøren har mulighed for at rette en fejl inden det bliver en zero-day.
Ting som Linux kan være open source kun fordi der er millioner af mennesker der er interesseret i at det er sikkert - en niche som smartmeters vil kun tiltrække en begrænset mængde udviklere til at lukke huller og derfor tror jeg ikke det kan leve som open source.
Men kom glad og start med at give mig en "thumbs down" - men se lige videoerne først og læs ETSI dokumenterne og se om der er ikke skulle være noget der lugter af lidt indsigt i hvordan systemet hænger sammen.

Du lægger mig ord i munden, for jeg har ikke påstået at smart metre skal udvikles som OS, men at protokollerne bør være åbne, så der ikke er fejet noget ind under tæppet.

Og den der med "der er en krig" er en italesættelse som f.eks. Claus Hjort Frederiksen er så glad for, men hvis man endelig skal tale om en krig, så er den asymmetrisk, hvorfor forsvaret ikke skal ligge under Krigsministeriet, men i et uvildigt råd, som kan hjælpe firmaer, organisationer og privatpersoner.

Men mit primære sigte er at vi skal have åbenhed i vores "cyberforsvar", og i det spil gør vi os selv (som samfund) en bjørnetjeneste ved at lade et foretagende som CFCuS få lov til at lege wargames i mørkelygtens skær - og vi gør os selv en bjørnetjeneste ved ikke at begynde at blive meget mere kritiske omkring hvorvidt elmålere eller alt muligt andet hejs overhovedet skal være på internettet.

Og i det spil kan jeg da godt være bekymret over en black box, hvor der er potentiel mulighed for at alle landets borgere kan få slukket for strømmen.

BTW, jeg har ikke thumbet dig down, selv om dit sidste galp kunne gøre dig til en god kandidat.

22
7. september 2018 kl. 16:02

Drop dit nedladende "kan I ikke lege hackere" og den dertilhørende stråmand.

Jeg siger det jo bare som det er. Mine indlæg er baseret på faglig viden og praksis fra den sektor vi snakker om. Mit samarbejde omfatter myndighederne, de bedste danske konsulenthuse og eksperter fra ind- og udland. Jeg kan ikke tage din politirolle alvorligt, og jeg synes generelt ikke niveauet i denne debat er værdigt. Jeg græder snot over dislikes og tænker det er spild af tid at være her.

Jeg kunne godt tænke mig lidt åb

21
7. september 2018 kl. 15:13

@Christian - har du set de videoer i det link jeg opslog? Der faktisk information om de forbedringer der er lavet f.eks. at man har implementere open smart grid protocol (ETSI standard). Der er tons af information omkring smart meters og hvad der sker rundt omkring i den verden. Men jeg er ikke enig i at alt skal lægges frit, for det er en krig og der er ingen ting (software eller hardware) der er fejl fri - jeg vil hellere have at leverandøren har mulighed for at rette en fejl inden det bliver en zero-day. Ting som Linux kan være open source kun fordi der er millioner af mennesker der er interesseret i at det er sikkert - en niche som smartmeters vil kun tiltrække en begrænset mængde udviklere til at lukke huller og derfor tror jeg ikke det kan leve som open source. Men kom glad og start med at give mig en "thumbs down" - men se lige videoerne først og læs ETSI dokumenterne og se om der er ikke skulle være noget der lugter af lidt indsigt i hvordan systemet hænger sammen.

17
7. september 2018 kl. 09:37

Ulven kommer, ulven kommer, Claus giv os flere penge.

Så har CFSuS endnu engang kommet med en "vurdering", som dybest set er en oplistning af en række banaliteter, som på ingen måde er overraskende, bare man besidder et minimum af viden om sikkerhed.

Men hvad har CFSuS egentlig selv gjort, ud over at lege spygames, og snaget i private danskeres liv - ikke en fløjtende sk...

Alle de hændelser der har været, kunne være undgået ved udvisning af rettidig omhu fra aktørernes side, og under alle omstændigheder kunne CSSuS intet have hindret, gentager intet!

Nedlæg dette eklatante spild af samfundets midler (i stedet for at fjerne f.eks. 300 millioner fra jernbanernes vedligeholdelse) og opret i stedet et civilt sikkerhedsråd langt væk fra mørkelygten, evt. under datatilsynet, hvis primære funktion er rådgivning.

16
7. september 2018 kl. 08:47

Et godt sted at for lidt mere info er f.eks. denne side og de par videoer der er:https://www.engerati.com/transmission-and-distribution/article/energy-security/how-hack-smart-metering.dk har også en artikel om samme sag:https://ing.dk/artikel/her-er-seas-nves-vaern-mod-hacking-af-elmalere-128447Men generelt er det nok ikke værd at forsøge meget andet end af aflæse det der nu er åbne (med det optiske øje og PHK's kode) - da ændringer i målerne vil svare lidt til at "hacke" penge ind på dit rejsekort - det kan være det virker, men backend systemerne opdager det hurtigt. Og om fjernaflæsning så er det med PLC og ikke RF. RF er simpelthen for usikker en metode til at dække 100% målerne (tænk kælder og bygninger med masser metal). Netselskaberne har i forvejen et kable ud så PLC er oplagt.

14
6. september 2018 kl. 18:50

Denne rapport ligner bestilt arbejde i et forsøg på at piske en stemning op og få flere penge til forsvaret.

Når ansatte igen sidder på deres pind efter sommerferie (~ultimo Aug), når blade falder af, gulner og høsten er bragt i hus - dvs eftersommer, så starter den obligatoriske stoledans omkring en kæmpe pengesæk

..godt 1.100 mia. hos stat og kommune.

Hvorfor medier og befolkningen hopper på de falske nyheder og ægte gammelheder, således finanslovens bevillinger havner i lommerne på de værste skrålhalse (med politisk støtte), se det er et mysterium samt et endnu ikke udført forskningsprojekt - forskningsbevilling gives ikke ;).

Men både fugle samt homo sapiens fodrer gerne de børn først, der gaber og skriger højest for at få fre'.

Alle ved det og alle træder dansen hver eneste år.

12
6. september 2018 kl. 13:51

Per, tak for kommentaren.
Jeg har ikke tænkt mig at "hacke" så meget i min el-måler.
Men jeg vil gerne have et retvisende billede af bl.a.:</p>
<ul><li>Kan andre nemt aflæse min el-måler, udenfor matriklen?</li>
<li>Kan andre SKRIVE noget til min el-måler, udenfor matriklen? - Herunder ændre opsætning, eller slukke for strømmen!?</li>
<li>I så fald, i hvor stor radius?</li>
<li>Kan jeg gøre noget for at imødegå pågældende risiko?

Jeg synes det er godt at snakke om de her ting, og der mangler nok lidt åbenhed om hvordan målere er beskyttet. I sagens natur vel fordi det er en viden der også kan bruges af de russere der sidder og læser med. Er der nogen her der tænker på det iøvrigt? Altså at det er kontraproduktivt at servere kamstrup dokumentation på et sølvfad? Ja undskyld mig - det virker sgu lidt dumt...

Nå, til sagen (disclaimer: Jeg kender ikke samtlige målerfabrikater og arkiteketur i det danske elnet): Nej din elmåler kan ikke nemt aflæses udefra - og hvor er incitamentet, og hvad skulle man bruge det til? At sammensætte målerID og forbrug med en person og en adresse er... krævende og sporbart(insider arbejde).

Andre kan ikke skrive til en måler. Hvis du tænker forbrug er det teoretisk muligt at dekryptere i transporten fra måler til backend og ændre forbrug. Det vil bare blive opdaget.

Slukke for strømmen kan man ikke på de målere jeg kender til, uden at gøre noget stort, der ville blive detekteret. Men det var måske værd at undersøge på din måler - spørg din elforsyning om det er muligt. Det kritiske scenarie er ikke at gøre det ved dig men 100.000 andre på en gang. Tja, det er jo sådan noget vi garderer os godt imod...

Jeg synes man skal spørge sit elselskab hvordan de sikrer mod de scenarier du ridser op. Gerne teknisk. Det gavner faktisk sagen og skaber mere fokus hos dem der arbejder med det.

11
6. september 2018 kl. 13:28

Ingen af disse quickfix er relevante på kritisk infrastruktur

Hvordan er tvungen to-faktor, firewalls og kryptering IKKE relevant på kritisk infrastruktur???

10
6. september 2018 kl. 13:19

Ingen af disse quickfix er relevante på kritisk infrastruktur som SCADA, PLC'ere, og ICS netværk - eller er allerede implementeret på ditto. Der skal helt andre boller på suppen, og det er der heldigvis også. Der sidder fagfolk i alle større energiselskaber og arbejder seriøst med den risiko CFCS ridser op.
Men jeg kender godt denne tilgang til sikkerhed. Alle tænker sikkerhed udfra deres egen kompetence, ofte et teknisk fix der løser alt meget hurtigt og billigt. Det der virker er tværfagligt samarbejde, myndighedernes "tryk" (herunder CFCS), partnerskaber og governance.

9
6. september 2018 kl. 13:18

Per, tak for kommentaren. Jeg har ikke tænkt mig at "hacke" så meget i min el-måler. Men jeg vil gerne have et retvisende billede af bl.a.:

  • Kan andre nemt aflæse min el-måler, udenfor matriklen?
  • Kan andre SKRIVE noget til min el-måler, udenfor matriklen? - Herunder ændre opsætning, eller slukke for strømmen!?
  • I så fald, i hvor stor radius?
  • Kan jeg gøre noget for at imødegå pågældende risiko?
8
6. september 2018 kl. 13:15

Tak PHK. Men det siger ikke super meget. Kan du give lidt mere info? Du aflæser optisk, ikke? Men kører de (nyere) målere ikke med radio også, så de kan aflæses nede fra vejen?

Det er vel "bare" RF på den rigtige frekvens, og de rigtige kommandoer?

Og så det rigtig spændende: Kan man også sende kommandoer til målerne? Til andet end at bede om en udlæsning? F.eks. til at slukke for strømmen?

Og når jeg har fundet ud af hvor sårbare de er, så er næste spørgsmål: Hvordan bør man beskytte sine måler der hjemme? Skal den pakkes ind i sølvpapir, eller er det bare tåbeligt?

7
6. september 2018 kl. 13:04

Mit råd, givet udfra et menneskeligt og teknisk synspunkt: Lad være med at bekymre dig om din elmåler. Check el-regningen med jævne mellemrum.

Lad for alt i verden være med at forsøge at hacke din måler. Det er ulovligt. Det er iøvrigt også pissesvært og stort set umuligt at undgå at blive opdaget.

Og så lige min kommentar til CFCS risikovurderingen: Tak for den. Den hjælper med at fastholde det supergode fokus på cybersikkerhed i sektoren. Målerne og el-nettet er godt sikret, og der investeres penge og ressourcer i stor stil. Om det er nok kan altid diskuteres, men når den ene og anden mener, at det hele er pivåbent og der ikke er styr på en skid, så har det ikke afsæt i en viden om hverken sektoren eller cybersikkerhed.

6
6. september 2018 kl. 12:50

Mit forslag vil give meget sikkerhed for en meget lille CFCS indsats, så derfor er jeg sikker på, at det ikke kommer til at ske. Når man som CFCS har et milliardbudget. Så er der for lidt prestige at hente i den slags banale ting.

CFCS lever lige netop højt på sikkerheds problemer i IT systemer. Hvis de begyndte at gøre noget for at løse disse problemer, så ville de sagtens kunne gøre sig selv arbejdsløse.

5
6. september 2018 kl. 12:31

Men CFCS er nødt til at ”tage skeen i den anden hånd” og påtvinge både private og offentlige organisationer/virksomheder med f.eks. mere end 20 ansatte, at overholde visse retningslinjer. Hvad nytter det at snakke om servere, når brugernavne og passwords sendes i klartekst imellem private og arbejd e-mails?

Faktum er, at folk i almindelighed er ligeglade med IT sikkerhed. Det er uanset om det er deres egen eller deres arbejdsgiver.

Før deres egen nøgenbilleder florer på nettet eller indtil de kaldes i fogedretten af vrede kreditorer pga. identitetstyveri, er folk ligeglade.

F.eks. kunne CFCS pålægge private og offentlige organisationer/virksomheder;

  1. Tvungen brug af (hardware) to-faktor til e-mails og fjernadgang.

  2. Tvungen brug af DMAC på mailservere

  3. Tvungen brug af krypteret kommunikation

  4. Via firewall afvise al adgang fra udlandet til organisationens kritiske systemer.

Jeg ved godt at de 4 punkter er utilstrækkelige og kan omgås af en dygtig angriber, men som et kondom beskytter bredt, så vil mine 4 punkter havde udelukket det meget omtalte Clinton hack, samt talløse andre episoder – herunder det omtalte angreb på energisektoren.

Det ville også lukke ned for mange at de scams som går på at svindlere udgiver sig for at være en myndig, bank eller lignende.

Jeg anser som borger CFCS for at være det rene pengespild. Vi får som samfund alt for lidt ud af de mange penge vi sender i det sorte hul kaldet CFCS.

Mit forslag vil give meget sikkerhed for en meget lille CFCS indsats, så derfor er jeg sikker på, at det ikke kommer til at ske. Når man som CFCS har et milliardbudget. Så er der for lidt prestige at hente i den slags banale ting.

4
6. september 2018 kl. 12:30

Denne rapport ligner bestilt arbejde i et forsøg på at piske en stemning op og få flere penge til forsvaret. Masser af organisationer, firmaer og private bliver ramt af ransomware og falske emails. Det er typisk haglskudsangreb mod mange email adresser samtidig. Hvorfor mener CFCS at lige dette angreb er rettet specifikt mod energisektoren? Hvilke episoder der hentydes til m.h.t. cyberspionage er uklart ligesom begrundelsens for CFCS's vurdering af disse. Systemer på nettet bliver jo af og til besøgt af kedelige typer. Hvordan kan man med nogen sikkerhed vurdere at de repræsentere "fremmed magter"?

3
6. september 2018 kl. 12:23

”gasledningsprojekterne Baltic Pipe og Nord Stream 2,« fremgår det af trusselsvurderingen”

Var det ikke USA der var imod ”Nord Stream 2”. Kan det tænkes at US hacker DK… :):D

1
6. september 2018 kl. 11:26

Undskyld dette her er en x-post fra andet indlæg.

Spændende rapport.

For nu at starte lokalt: Jeg har lige fået sådan en ny fjernaflæselig el-måler.

Hvordan kommer jeg som nysgerrig tekniker videre her fra?

Hvilke protokoller anvender de nye målere fra Kamstrup?

Kræver det særlig hardware at snakke med dem? Hvor finder jeg det henne?

Er der gode værktøjer tilgængelige?

Kan jeg aflæse, og skrive, til målere i området?

Kan jeg udvide det område hvis jeg bruger en kraftigere sender?