Energisektoren forbereder sig på cyber-orkan: »Der bliver skudt med spredehagl«

22. april kl. 13:103
Ingeniøren
Illustration: Ingeniøren.
Energisektorens cybersikkerhedsorgan EnergiCERT tegner det trusselsbillede, energiselskaber skal forholde sig til efter den russiske invasion i Ukraine.
Artiklen er ældre end 30 dage

Der er krig på europæisk jord, og for første gang siden den kolde krig opruster Europa. Men der bliver ikke kun indkøbt våben og iklædt soldater uniformer. Flere forbereder sig også på trusler af en art, som ikke er at finde i historiebøgerne om den kolde krig, nemlig cyberangreb.

Oprustningen finder ikke mindst sted hos de danske ­energiselskaber, som driver en væsentlig del af landets kritiske infrastruktur i form af el-, gas- og fjernvarmenettet. For selvom sektoren faktisk har oplevet en nedgang i antallet af russiske angrebsforsøg siden invasionen af Ukraine, kan situationen vende på et øjeblik, og angreb kan komme både fra statslige hackere og ukendte tredjeparter i konflikten mellem Rusland og Vesten.

»Vi er ikke geopolitiske analytikere, men vi har tidligere set, hvordan krisesituationer gøder for øget cyberkriminalitet,« fortæller Søren Maigaard, som er direktør i Energi­CERT - Green Power Denmark, der er et fælles ­cybersikkerhedscenter for Dansk Fjernvarme, Evida og Energinet.

CERT’en rådgiver de fire parter og deres medlemmer i spørgsmål om cybersikkerhed, og Søren Maigaard vurderer, at netop tilstedeværelsen af cyberkriminelle, som for fleres vedkommende har valgt side i Ukraine­konflikten, kan blive en joker i cyberkrigen.

Artiklen fortsætter efter annoncen

»Hvis grupper, der agerer på egen hånd, får lavet et stort angreb, som ser ud, som om det kommer fra Rus­land, kan det optrappe situationen. På den måde er det helt uvant at have en part i en krig, som ingen har kontrol over,« siger Søren Maigaard.

Han forudser, at en mellemstatslig cyberkrig kan blive Ruslands svar på Vestens sanktioner, hvis ikke konflikten skal optrappes til en åben krig mellem Rusland og Nato.

Lige nu oplever sektoren omkring 2.000 angrebsforsøg i timen, hvoraf egentlig succesfulde angreb hører til sjældenhederne. På den måde er der vindstille. Men med risiko for eskalering opfordrer EnergiCERT de danske energiselskaber til at ruste sig mod mere spionage, cyberkriminalitet og destruktive cyberangreb allerede nu.

»Det er lidt som med et orkanvarsel: Hvis du får at vide, at der formentlig kommer orkan i næste uge, begynder du ikke først med at tøjre trampolinen, når det er begyndt at blæse. Det gør du inden da, og så følger du med i, hvordan orkanen udvikler sig,« siger han.

Der skydes med spredehagl

Men hvilken orkan er det så, alle energiselskaber – fra det lille jyske fjernvarmeselskab til den danske operatør af el-transmissionsnettet Energinet – skal kunne modstå?

På baggrund af monitorering af de faktiske angrebsforsøg på omkring 125 danske energiselskaber i Energi­CERT’s sensornetværk og samarbejde med udenlandske CERT’er kan Søren Maigaard og hans kolleger udpege de konkrete cybertrusler, der følger med krigen.

Her oplister han risikoen for phishing, supplychain-angreb, angreb fra hackere, der har valgt side i konflikten, angreb som modsvar på sanktionering og ‘spill over’-effekter fra cyberkrig mellem Rusland og Ukraine. Og så er der de angreb, som energiselskaberne udsættes for allerede i dag.

»Vi ser lige nu, at der bliver skudt med spredehagl. Jeg har ­tidligere beskrevet det som et hus, hvor nogen står og rusker i alle døre og vinduer 24 timer i døgnet, i tilfælde af at nogen skulle have glemt at sætte en haspe på et vindue eller har ladet en dør stå på klem,« fortæller Søren Maigaard.

Hvis angiberne finder en indgang, udnytter de øjensynligt ikke deres viden om en sårbarhed til selv at angribe. I stedet sælger de informationen videre til cyberkriminelle, som bruger den i jagten efter at indkassere en løsesum.

Det er ikke en ny situation for energiselskaberne at være under konstant angreb - de er vant til det, og det er nok derfor, at vi ikke ser selskaberne falde som fluer. Men det gælder om hele tiden at være et par skridt foran de cyberkriminelle.

Søren Maigaard råder til at sikre sig med flere sikkerhedssystemer, for hvor de kriminelle tidligere fandt ud af at udnytte sårbarheder inden for et par uger, har selskaberne i dag kun minutter til at patche systemerne. 

»I forbindelse med log4j-sårbarheden så vi, at der ikke gik mere end et par timer, fra sårbarheden blev meldt ud, til de første angreb begyndte at komme. Dermed er vinduet for handling blevet mindre end tidligere,« påpeger han. 

Af samme grund skal selskaberne have deres beredskabsplaner klar – opdateret og printet i et fysisk eksemplar – i tilfælde af at angribere lykkes med at lukke ned for al computeradgang. Og netop det at være afskåret fra adgang til både computere, internet og sågar elnettet kan fungere som en nødbremse, som selskaberne selv kan trække i.

 

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
1. maj kl. 15:56

Internettet

Internettet har desværre aldrig været den eneste vej ind i kritiske systemer.

Medier som USB-sticks er idag nok den ander væsentlige indgang?

Siden slutningen af firserne har "social hacking" også været en vej.

Vi kan nok aldrig undvære "anti-virus"-software (til at dække nogle af de andre indgange), men hvorfor man ikke for længst er kommet op med en "vaccine" til (UDP)TCP/IP undrer mig.

Det burde være trivielt at sikre samtlige "porte" på nettet, men det er det ikke - tilsyneladende. Samtlige operationelle porte og den software der styrer dem, skal checkes for mulige indgange.

2
25. april kl. 17:26

Hej Jan, Jeg går ud fra, at du er den Jan Heisterberg, som jeg kender fra min tid i IBM.

Du har ret, men det er ikke så enkelt. IT-nettet er spredt ud over hele landet til transformatorstationer, vindmøller, solcelleparker, for kommunikation mellem energiselskaberne, for kommunikation med udenlandske partnere, osv. Det var billigst at bruge internettet, men det var nok en forkert beslutning, som det vil tage tid at rette op på.

En anden alvorlig sag er mangel på beskyttelse indlagt i IT systemerne.

Regeringen har tidligere udgivet en række strategier for cybersikkerhed. Dels en generel strategi og dels en række strategier for bestemte sektorer. Der findes nu en opdateret strategi, "National strategi for cyber- og informationssikkerhed" gældende 2022-2024.

I starten af denne nationale strategi gives der en oversigt over trusselvurderinger fra Center for Cybersikkerhed. Truslen fra cyberkriminalitet og truslen for cyberspionage ses som meget høj. Derimod ses truslen for destruktive cyberangreb som lav. Det var en vurdering lavet før det russiske angreb på Ukraine og Ruslands uforudsigelige reaktioner, men selv da, var det en lidt naiv konklusion. Det gælder det samme her som med den militære opbygning. Det tager flere år at opbygge et forsvar for destruktive cyberangreb. Hvis man først begynder at opbygge et forsvar, når truslen er høj, så er det for sent.

At beskytte mod destruktive cyberangreb er en hel anden boldgade end at beskytte mod cyberkriminalitet. Her er man oppe mod modstandere med helt andre resurser end kriminelle kan mønstre.

De tiltag, som anbefales mod cyberkriminalitet, kan med få undtagelser implementeres ret hurtigt, hvis den nødvendige kompetence er til stede. Det samme gælder, også med få undtagelser, de "Tekniske minimumskrav til it-sikkerhed hos statslige myndigheder". En del af tiltagene er dog upræcise. Der er krav, der kan opfyldes uden at give tilstrækkelig sikkerhed.

Desværre er der et vigtigt område, som ikke er dækket af de tiltag, der er beskrevet ovenfor. Følgerne kan blive fatale for Danmarks sikkerhed. Det er her, vi kan vente destruktive cyberangreb.

Vores kritiske infrastrukturer, så som elnettet, er afhængige af et IT-netværk, hvor kommunikationen foregår mellem IT-enheder og hvor softwaren i enhederne skal håndtere sikkerhedsfunktionerne. Sikkerheden kan ikke klares med ydre tiltag, men skal fra starten af være indbygget i softwaren.

Det er tidskrævende aktivitet at udvikle standarder i dette område og skal efterfølges af implementering i produkter. Fra man ser behovet og til man har produkter i marken, går der flere år.

Kun én person er aktiv i standardisering af sikkerhedsfunktioner for elnettet og det er mig. En opgave jeg ikke har en kinamands chance for at klare. Jeg er nu 86 år. Det er vildt uforsvarligt. Ethvert forsøg på at råbe myndigheder op har været forgæves.

Center for Cybersikkerhed er helt fraværende her. Chefen for Center for Cybersikkerhed burde måske sigtes for overtrædelse af straffelovens paragraf 109 for (bevidst?) at have efterladt et stort hul i det danske cyberforsvar.

1
24. april kl. 10:55

Jeg forstår godt problemstillingen, men jeg forstår ikke manglen på løsning.

Jeg får ud fra, at cyberangreb kommer fra internettet ? Hvis det er tilfældet, hvorfor afkobles / isoleres ikke alle driftssystemerne ? Hvad er det, som nødvendiggør denne sammenkobling ? Det er sikkert bekvemt, at kunne tilgå driftssystemerne "hjemmefra" for dele af driftspersonalet; det er sikkert bekvemt at kunne se drifts- og forbrugsdata og andet via internettet, ,men det koster så i sikkerhed.

HVORFOR sker der, i lyset af risikoen, ikke en vandtæt opdeling ?

Risikoen for at medarbejdere med USB-medier bærer virus ind eksisterer, men også det kan jo løses med forskellige virkemidler, herunder en klat superlim i portene.

Ja, det har en pris, både i penge og "bekvemmelighed", men risikoen er øjensynlig stor, måske meget stor, så hvad venter forsyningsselskaberne på ?