Energinet: Vi er kommet for sent ud af starthullerne

Illustration: leowolfert/Bigstock
Energinet.dk skal over de næste tre år forbedre sikkerheden på alle punkter for som minimum at komme på niveau med andre i branchen.

Sikkerheden halter på alle punkter hos den offentlige virksomhed Energinet.dk, som står for den danske el- og gasinfrastruktur. En intern rapport, som Energinet.dk har fået udarbejdet, viser, at organisationen er langt bagefter tilsvarende organisationer i andre lande. Det skal der nu rettes op på.

Hos Energinet.dk forsøger it-direktør Morten Gade Christensen ikke at bortforklare, at organisationen er bagud i forhold til branchens generelle niveau.

»Erkendelsen er, at vi er kommet for sent ud af starthullerne,« siger Morten Gade Christensen til Version2.

Energinet.dk har derfor lagt en plan, som i løbet af de næste tre år skal bringe sikkerhedsniveauet op på mindst det samme niveau som resten af branchen og i det hele taget være bedre i stand til at imødegå sikkerhedstrusler.

»Målet er, at vi konstant skal udvikle os, så vores planer skal være på et sådant niveau, at de kan håndtere en ny situation,« siger Morten Gade Christensen.

Ambitionen er således, at Energinet.dk ikke blot i 2017 skal være på et tilfredsstillende niveau set fra 2014-perspektiv, men også være klar til at håndtere, hvad der måtte ligge ude i fremtiden af trusler mod organisationens infrastruktur.

Læs også: Intern rapport afslører utilstrækkelig sikkerhed hos Energinet.dk

PWC, som har udarbejdet rapporten for Energinet.dk, har vurderet sikkerheden hos Energinet.dk i forhold til målepunkter i ISO-27001-standarden, og her opnår Energinet.dk et gennemsnit på 2,0. Det ligger væsentligt under gennemsnittet i branchen, som er mere end 3,0. Det er den tærskel, som Energinet.dk vil op på allerede i 2015, og i 2017 skal niveauet ligge på mindst 4,0. Det teoretiske optimum er 5,0.

Da det er på samtlige punkter, Energinet.dk skal stramme op, er det også et ambitiøst projekt til trods for en tidshorisont på tre år.

»Vi gør mange ting. Vi har allerede investeret 110 millioner kroner i at udskifte vores SCADA-system til et mere tidssvarende,« siger Morten Gade Christensen.

SCADA-systemer, som bruges til at styre industrielle systemer, kom for alvor i søgelyset i 2010, da Stuxnet-ormen ramte en række virksomheder. Indtil da havde branchen været klar over, at der eksisterede problemer, fordi der især manglede en praksis for løbende sikkerhedsopdatering af SCADA-systemerne, men truslen havde været teoretisk.

Et væsentligt kritikpunkt i PWC-rapporten om Energinet.dk er problemer med adgangsstyringen, hvor der i dag mangler overblik over, hvilke brugere der har hvilke rettigheder til hvilke systemer.

»Det er ikke tilfredsstillende. Det rydder vi op i,« siger Morten Gade Christensen.

En del af forbedringerne vil Energinet.dk dog ikke gå i detaljer med af hensyn til sikkerheden. Derfor vil Morten Gade Christensen eksempelvis ikke uddybe, hvilke løsninger der vil blive anvendt til at få styr på adgangsstyringen.

Til gengæld er der andre aspekter af sikkerheden, som ikke er hemmelige.

»Vi gør en del ud af at træne adfærden hos vores brugere. Ligesom man kan få en phishing-mail, der ser ud til at komme fra Skat, ser vi mange trusler i samme boldgade, så adfærden er essentiel,« fortæller Morten Gade Christensen.

Rapporten påpeger også, at forholdene vedrørende it-sikkerhed i mange kontrakter med leverandørerne ikke er tilstrækkelig beskreve. Det skal der også strammes op på i det omfang, det er muligt for Energinet.dk, som dog ifølge Morten Gade Christensen også bruger en del standardkontrakter for staten, som bruges af eksempelvis SKI.

Risikoen for hackerangreb eller cyberkrigsførelse mod kritisk infrastruktur som elforsyningen har været et varmt emne i sikkerhedskredse gennem flere år, men bortset fra nogle mindre hændelser i USA har der trods kritik af sikkerheden ikke været konstateret angreb.

Det mest omtalte eksempel var Stuxnet, som efter al sandsynlighed var et målrettet angreb mod et iransk uranforarbejdningsanlæg, som tilfældigvis også endte med at inficere andre virksomheder dog uden at gøre alvorlig skade.

Stuxnet demonstrerede dog, at det var muligt at skade et anlæg gennem et målrettet angreb, også selvom selve de kritiske systemer ikke havde forbindelse til internettet, hvilket ellers havde været ét af argumenterne for, at risikoen ikke var stor.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jan Heisterberg

Jeg forstår det ikke. Der må gælde en 80-20 eller 90-10 regel - altså at det meste kan laves med en minimal indsats på kort tid.

Adgangsikkwrhed: hvor svært kan det være ? Luk helt, og giv selektiv adgang efter behov.

Det som kan være svært, efter en brutal lukning af adgangsveje, er at finde de stumper kode som har sneget sig ind om som venter ..... Men resten ?

Hvor svært kan det være ?

  • 3
  • 1
#2 Jan Poulsen

Der er mange punkter i en seriøs sikkerhedspolitik. Og da det virker som om at Energinet skal igang med stort set alle sammen, så kan der gå lidt tid. Men der er dygtige folk ansat ved Energinet. Spørgsmålet er bare om de kan komme til orde eller om automationsingeniørerne har taget hele magten i organisationen.

Men der ligger noget af en opgave foran dem i de næste tre år. Resten af branchen flytter sig jo også en del på den tid. Jeg gad godt vide hvad deres plan indeholder.

  • 0
  • 0
#5 Jens Jönsson

Der er mange punkter i en seriøs sikkerhedspolitik. Og da det virker som om at Energinet skal igang med stort set alle sammen, så kan der gå lidt tid. Men der er dygtige folk ansat ved Energinet.

Kom nu, hvor lang tid kan det tage at lave en midlertidig løsning, som dæmmer op og giver et billede af nutidige trusler ?

Få separeret SCADA netværk og andet netværk. Smid firewall ind i mellem og overvåg trafikken. Åbn/Luk for porte der ikke er nødvendige og log, så der er mulighed for at se hvem der gør hvad...

Jeg er ikke i tvivl om at der findes dygtige folk hos EnergiNet, men hvorfor så lige 3 år ? Det lugter af at være et klassisk penge problem. Med andre ord, man afsætter ikke ressourcer til projektet, det skal laves af nuværende ansatte oveni alt det andet de i forvejen laver...

  • 3
  • 0
#6 Daniel Udsen

Adgangsikkwrhed: hvor svært kan det være ? Luk helt, og giv selektiv adgang efter behov.

Alt sikkerhedssløseriet er indført for at skabe besparelser igennem effektivisering og ruller du det tilbage så ruller du også besparelserne tilbage og så eftersom det er et politisk betendt område hvis de skal have flere penge, så forsøger man at finde en vej der både giver sikkerhed og besparelser.

Inføre du effektiv adgang sikkerhed via lukkede netværk så kan du måske ikke have folk on-call fra hjemmearbejdspladser men skal øge antallet af folk i dit døgnbemandede driftscenter og vi taler ikke lavtlønnede medarbejdere men erfarne driftsingeniører, så det er ikke billigt.

Få separeret SCADA netværk og andet netværk. Smid firewall ind i mellem og overvåg trafikken. Åbn/Luk for porte der ikke er nødvendige og log, så der er mulighed for at se hvem der gør hvad...

Det er sikkert det de allerede gør men det er en relativt svag sikkerhed eftersom du stadigvæk har trafik fra en PC med internet til SCADA systemet, bare fordi den PC tilgår SCADA systemet gør det via VPN og en firewall så ændre det ikke på den angrebs vektor.

Fordi fjernadgang ofte sikres via standard forbruger/server software så er der heller ikke tale om systemer der møder de forudsigeligheds krav der stilles til SCADA netværk.

  • 1
  • 0
#7 Deleted User

Først skal vi se, hvilken opgave PWC fik fra hvem, dvs. den problemformulering de fik udstukket. En sådan ledsages altid af mundtlig eller skriftlig instruks om den ønskede konklusion.

Timingen af alt dette tyder på, at Energinet simpelthen bare kører et forløb med luderrapport, etc. for at retfærdiggøre en kraftig budgetudvidelse. Ingen kan jo sige nej til en sådan efter pressens velvillige og flinke dækning af sagen og rapporten.

Mvh. Mogens

  • 2
  • 0
#8 Deleted User

Først skal vi se, hvilken opgave PWC fik fra hvem, dvs. den problemformulering de fik udstukket. En sådan ledsages altid af mundtlig eller skriftlig instruks om den ønskede konklusion.

Timingen af alt dette tyder på, at Energinet simpelthen bare kører et forløb med luderrapport, etc. for at retfærdiggøre en kraftig budgetudvidelse. Ingen kan jo sige nej til en sådan efter pressens velvillige og flinke dækning af sagen og rapporten.

Mvh. Mogens

  • 1
  • 0
Log ind eller Opret konto for at kommentere