Energiministeren griber ind: Nu skal den forældede it-sikkerhed i energiforsyningen styrkes

Illustration: leowolfert/Bigstock
Den nuværende sikkerhedssituation på danske kraftvarmeværker tager kun højde for fysiske trusler. De nuværende krav lever ikke op til virkeligheden. Det skal et nyt lovforslag lave om på.

Tilbage i februar 2016 konkluderede Alexandra Instituttet, at de sikkerhedsmodeller, der er inkorporeret på de danske kraftvarmeværker, er dybt forældede. I kølvandet på denne konklusion har Energi-, Forsynings- og Klimaministeriet nu sendt et lovforslag, der skal komme problemerne til livs, i høring.

Læs også: Danske kraftvarmeværker står pivåbne for hacking: Nu kommer der kryptering på styringsdata

Ifølge ministeriet er baggrunden for de nye tiltag, at forsyningen af el og naturgas i langt større grad bliver styret af digitale systemer.

Ministeriet ønsker derfor at sikre danske værker mod driftsforstyrrelser, udefrakommende angreb og, som de skriver, ’utilsigtede hændelser’, så risikoen for et Danmark, der går i sort, bliver minimeret.

Som Version2 tidligere har nævnt, er forsyningssektoren meget sårbar for angreb, da man primært har fokuseret på fysiske angreb, uheld og vejrforhold. Hackergruppen Black Energy gav it-sikkerheden i sektoren øget fokus, da de tilbage i december 2015 mørklage store dele af Ukraines el-netværk.

Hvis en hackergruppe får adgang til et lands forsyningskæde, kan de potentielt set skade hele infrastrukturen, hvilket giver mulighed for en kæmpe indtægtskilde for de ondsindede grupper og derfor gør det meget attraktivt.

Læs også: Sikkerhedsforsker: Energiforsyningen er hackernes nye mål

Lovforslag om it-beredskabsarbejde

I lovforslaget lyder det blandt andet, at virksomhederne i el- og naturgassektoren ’skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, af betydning for elforsyningen’ (…).

Ministeren får med lovforslaget beføjelser til at gennemtvinge en uvildig undersøgelse af it-systemerne i en given virksomhed i el- og naturgassektoren.

Hvis ikke virksomheden lever op til de krav, der også bliver fastsat i lovforslaget, kan ministeren nedlægge et påbud om, at virksomheden opretter et tilstrækkeligt it-beredskab.

Ministeren får også med loven hjemmel til at fastsætte regler for, hvordan virksomhederne skal beskytte deres it-systemer, og hvordan de skal bidrage til sektorens samlede beredskab.

I lovforslaget fremgår det, at virksomhederne skal kunne organisere et it-beredskab, der modtager advarsler om trusler mod it-sikkerheden, samt planlægge det arbejde, der følger af en trussel. Virksomheden skal blandt andet videregive oplysningerne til Energinet.dk, der står for tilsynet.

Derudover skal virksomheden have en risikostyring samt en it-revision udarbejdet af en uafhængig revisor.

Nye systemer giver nye trusler

I baggrunden for lovforslaget lægger man vægt på, at når sektoren i stigende grad benytter sig af it-systemer, så medfører det også nogle udfordringer, der ikke tidligere har eksisteret.

På samme måde som mekaniske systemer skal vedligeholdes og beskyttes mod udefrakommende trusler, skal it-systemer også opdateres og serviceres. Truslen er bare skiftet fra at være af fysisk karakter til at handle om vira og hackerangreb.

Indtil nu har der kun været krav til at beskytte sig mod fysiske faktorer såsom vejrforhold og uheld. Beredskabsarbejdet har derfor ikke direkte omfattet it.

I den nuværende lovgivning kan der ikke stilles specifikke krav til virksomhedernes it-sikkerhed. Med det nye lovforslag vil ministeriet derfor sigte efter, at forsyningskritiske it-systemer nu bliver integreret i el- og naturgassektorenes beredskabsarbejde.

Læs hele lovforslaget her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Andersen

Det undrer mig, at ingen har kommenteret denne artikel. Den bringer et meget vigtigt emne op. Jeg ved ikke om Energiministerens initiativ er resultat af den artikel, der var for noget siden om sikkerheden på kraftvarmeværkerne. Jeg har læst lovforslaget. Lovforslaget er ikke kun rettet mod kraftvarmeværkerne, men om IT generelt for styring af både el-nettet og gas-nettet. De IT systemer, som skal styre disse kritiske infrastrukturer, skal beskyttes bedst muligt.

Der er mange ting, som har betydning for IT sikkerheden. De kan deles op i to hovedgrupper:

a) Hændelser, som skyldes lokale problemer. b) Udefra kommende angreb.

Problemerne i den første kategori er velkendte, så som ustabilt software, upålidelige eller sløsede ansatte, manglende opdateringer, manglende fysisk beskyttelse, manglende adgangskontrol fysisk og logisk, osv. I det område er det muligt at lave check-lister, som et IT-revisor hold kan løbe igennem hver tredje eller sjette måned for at se, om procedurerne bliver overholdte. Effekten af et incident i denne kategori er typisk begrænset til et begrænset område i et begrænset tidsrum og relativ hurtig genetablering. Det giver derfor mening at opdele i kritiske og mindre kritiske systemer.

Mht. den anden gruppe af incidenter, så er konsekvenserne mere omfattende med angreb på vitale områder og samtidige angreb på back-up systemer. På det område kommer lovforslaget sørgeligt til kort:

a) Hvordan kan et revisionshold estimere antallet af ikke opdagede sikkerhedshuller i store kommercielle IT-programmel, så som browsers, Java, osv.

b) Hvordan forudser man et hacker angreb (lovforslaget siger: "Virksomhederne kan pålægges at udarbejde risikovurderinger af specifikke trusler inden for 3 måneder" og "energi-, forsynings- og klimaministeren fastsætter krav til indholdet af de aftaler, de enkelte virksomheder har med en varslingstjeneste").

c) Hvordan kan et revisionshold undersøge om alle anvendte kryptografiske algoritmer indlejret i softwaren er tilstrækkelige stærke og udnyttet på optimal måde. Er fx krypteringsnøgler genereret med en anerkendt tilfældighedsstal-generator?

d) Er certifikater udstedt på en forsvarlig måde? Er sikkerheden hos certifikatudbyderen (certification authority) i orden? Er certifikatvalideringen på plads? Osv, osv.

e) Der er i tusindvis af mulige svagheder, som der skal tages højde for.

f) Det giver ingen mening a dele IT-nettet op i kritiske eller mindre kritiske områder. Et angreb vil finde det svagest led of derfra søge mod de more kritiske områder. Der skal være stærk sikkerhed hele vejen rundt.

Sådan kunne jeg blive ved. Det vil være en illusion at tro, at overholdelse af lovforslaget vil sikre det danske el-net. Der en cyber-war derude. Et angreb kan være et værktøj for udenrigspolitiske mål, for vindings skyld (brug af ransomware), eller man er bare sure på os (terroristangreb).

  • 0
  • 0
Log ind eller Opret konto for at kommentere