Kæmpe sikkerhedsopdatering af intelligente elmålere: »Nu får hackerne det langt sværere«

Illustration: Sergey Nivens/Bigstock
Emil Gurevitch hackede sig som DTU-studerende igennem sin elmåler, nu er han fastansat hos offeret og bekæmper ransomware og terrortrusler

Det er ikke til at vide, hvor man ender, når man hacker en elmåler, og et er Emil Gurevitch, der i dag sidder i Gdansk et enestående eksempel på.

I 2013 blev han kontaktet af sin professor på DTU, Christian Damsgaard Jensen, der havde et særligt forslag til hans specialeprojekt.

Emil Gurevitch skulle fra sin lille lejlighed i København hacke sig igennem sin elmåler og se, hvor langt han kunne komme i det system af subnet, som de i alt 400.000 SEAS-NVE elmålere er sammenkoblet i.

Projektet var et samarbejde mellem Danmarks største kundeejede energiselskab SEAS-NVE og deres amerikanske leverandører af elmålere Networked Energy Services, NES.

Det viste sig, at Emil Gurevitch kom meget længere, end de involverede havde regnet med. Han afslørede en sårbarhed i de godt 400.000 elmålere, der måtte gøres noget ved.

En hackers perspektiv

I dag sidder han i NES og har hjulpet med at implementere nye teknologiske løsninger mod det angreb, han selv lancerede under sin specialeperiode.

Men her stopper eventyret ikke. Emil Gurevitch sidder i dag som ansvarlig for sikkerhedsprogrammet i NES, og der er ganske store ting undervejs, hvis han selv skal sige det.

»Vi har fra starten af det nye år været i design- og arkitekturfasen af en kæmpe stor sikkerhedsfeatureopdatering. Den kommer virkelig til at differentiere os på sikkerhedsfronten, for den har en masse features, jeg aldrig har set før, og som jeg, hvis jeg var oppe imod den som hacker, ville gøre mit arbejde langt sværere,« fortæller Emil Gurevitch, der er keynote på it-sikkerhedseventet Infosecurity i Øksnehallen i København i maj, som Version2 er medarrangør af.

Og hacker, det er han stadig. Selv beskriver Emil Gurevitch sin arbejdsfordeling mellem at udvikle forsvarsløsninger og hacke som henholdsvist 80 og 20 procent.

Inspiration fra bankerne

Det næste skridt bliver at kigge mod bankverdenen. Her er man af gode grunde et skridt eller to foran den amerikanske leverandør af elmålere på det it-sikkerhedsmæssige plan.

»Mange af de nye ting, vi kigger på er ved sensitive operationer fra elselskabet, som for eksempel at slukke en kritisk masse af elmålere, hvor vi er nødt til at sige, at det her nødt til at godkendes af flere personer. Det er en sikkerhedsmetode, man bruger i bankverdenen, som kaldes four eyes principle. Det vil jeg gerne have implementeret i de her smartmålersystemer,« forklarer Emil Gurevitch.

Men er det nu også nødvendigt, at man i NES prøver at måle sig med bankverdenen, når det gælder it-sikkerhed? Det kan Emil Gurevitch godt spørge sig selv om indimellem i stedet for at lade sig forføre af dem, der råber højst fra it-sikkerhedsbranchen.

»Mange skaber en form for sensation om, at en elmåler kan eksplodere, og at man kan slukke strømmen osv. Det er ikke særlig konstruktivt, men noget sikkerhedsbranchen har et dårligt ry for at gøre,« siger Emil Gurevitch.

Winter is coming

Emil Gurevitch mener, at it-sikkerhedsbranchen mangler et mere realistisk perspektiv. En hackers perspektiv.

»Jo, der er sårbarheder, men man skal se det i det store hele og lave en risikoanalyse. Jeg har ikke set en rapport fra SEAS-NVE eller nogen anden kunde, hvor der rent faktisk har været et angreb på en elmåler. Så det her er proaktive initiativer. Men det er jo ikke et argument for, at vi ikke skal gøre noget,« påpeger han.

En af de tendenser, Emil Gurevitch følger meget med i, er den stigende brug af ransomware og den evindelige terrortrussel.

»Det er en meget profitabel forretning for kriminelle at udnytte dårlig sikkerhed. Det er teoretisk set også muligt hos os, og det er jeg helt overbevist om kommer til at ske på et tidspunkt,« siger Emil Gurevitch.

Han peger på, at man allerede har set det i sundhedssektoren, hvor kriminelle har afkrævet løsepenge fra hospitaler for livsvigtige journaler, samt et storstilet terrorangreb på et ukrainsk elforsyningcenter i 2015.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere