Danske kraftvarmeværker står pivåbne for hacking: Nu kommer der kryptering på styringsdata

Kraftvarmeværkerne er 15 år bagud med at sikre sig mod hacking. Et samarbejde vil indføre krypteringsstandarden IEC 62351 for at lukke hullet.

Danmarks decentrale kraftvarmeværker er på vej til at kryptere deres datakommunikation for at forhindre it-kriminelle i at bryde ind og sætte Danmark i sort.

Værkerne er en central del af det danske elnet. For at undgå et el-kollaps, er det vigtigt, at der er styr på, hvor meget eller hvor lidt strøm, der bliver produceret.

Kasper Lyneborg Damgård: Kraftvarmeværker har en sikkerhedsmodel, der svarer til, hvad almindelige pc’er havde for 15 år siden.

Kommunikationen mellem værkerne og andre aktører i elsektoren, der netop skal sikre overvågning og balancen i elnettet, foregik tidligere via dedikerede forbindelser.

I dag foregår kommunikationen via internettet og derfor skal værkerne sikres mod, at alle andre kan udgive sig for at være dem, der skal styre produktionen af strøm.

»Vi ved at sikkerheden ikke er god nok. Stort set enhver form for forbedring af sikkerheden vil være godt. De eksisterende protokoller er ikke lavet til at understøtte sikkerheden i den forstand, at værkerne kobles til nettet. De har en sikkerhedsmodel, der svarer til, hvad almindelige pc’er havde for 15 år siden.«

Sådan lyder det fra Kasper Lyneborg Damgård, der er Cryptography Engineer i Alexandra Instituttets Security Lab.

Laboratoriet er partner i CHPCOM-projektet, som har været med til at udvikle en proof-of-concept løsning, der gør, at kraftvarmeværkerne på en nem og sikker måde kan styre, hvem der har adgang til deres data.

Det har krævet kryptering på forbindelserne og en ændring af de computere, der vender ud mod internettet, så de ikke kan hackes.

Standarden IEC 62351 har ligget til grund for arbejdet (mere specifikt part 8 af denne).

Heri står nævnt certifikater som en mulighed for anvendelse af standarden. Specifikt skal anvendes mindst 1024 bit RSA (CHPCOM anvender 2048 i prototypen) eller ECC-baseret krypto. SHA-1 eller SHA-256 kan anvendes til alle hash operationer. I projektet har man anvendt SISCO’s software som basis for IEC 62351 implementeringen.

Har ikke været vant til at tænke på sikkerhed

Når sikkerheden ikke er god nok på værkerne, så skyldes det, at mange af hardware-komponenterne er gamle.

»Det er sat op, og så har man ladet det stå indtil 20 år efter, uden at pille ved det. Det skaber problemer, når man kobler det på nettet, fordi det er ikke tænkt ind, at der er nogen, der prøver at angribe det. Man har ikke været vant til at skulle tænke sikkerhed ind i komponenterne, hvilket godt kan give holdningen, at hvis det virker, så er der ingen grund til at pille ved det. Det er dog ikke godt nok i sikkerhedsmæssig forstand, da systemet stadig kan virke, men sender måske pludselig en dag falsk data,« forklarer Kasper Lyneborg Damgård.

Løsningen er implementeret på otte decentrale kraftvarmeværker, og i princippet tildeles hvert værk et certifikat, der afgør, hvilke rettigheder aktøren har over for det værk, som vedkommende gerne vil kommunikere med.

Det kan f.eks. være stamdata, brændselsdata eller lignende, som værkerne i dag bruger tid på at indsamle.

»Det vigtigste er, at sikkerheden bliver synlig på kraftvarmeværkerne, for i dag ved værkerne ikke, hvad der foregår. Sikkerhed er ofte ikke-eksisterende, og det er fair nok, fordi det er ofte små virksomheder, hvor der ikke er folk, der har fokus på sikkerhed. Hvis de vælger den her løsning, vil det være relativt nemt at få ud, men det kræver, at man fra højere sted vedtager at udrulle sikkerhedsstandarden,« siger Kasper Lyneborg Damgård.

Aktuelt angreb i Ukraine

Truslen om et hackerangreb behøver ikke være så langt væk. Helt aktuelt var en hel del el-kunder i Ukraine uden strøm den 23. december sidste år.

»Der har været angreb tidligere, men her er det ikke lykkedes at komme igennem. Men det her er sådan set det første eksempel på et angreb, hvor det er lykkedes at koble forbrugere af elnettet. Her fandt man malware i maskinerne, og det samme kunne ske for Danmark,« forklarer han.

Teknologien er bl.a. afprøvet på værkerne i Helsinge, Ribe, Skagen, Brædstrup, Sæby og Bjerringbro i løbet af 2015.

Nu er den ifølge Kasper Lyneborg Damgård i princippet moden nok.

»Der er nogen leverendører, som har fejl i implementeringen af standarden - opdaget i CHPCOM - og lignende småproblemer, som man først finder ud af, når det skal benyttes, men overordnet set er det godt nok til vores behov,« siger han og tilføjer, at der er et issue i standarden, som gør det usikkert, såfremt man kommunikerer over flere hop.

Det er dog ikke et scenarie, som eksisterer i Danmark i forhold til de decentrale kraft-varmeværker. Der er lagt kræfter ind, også fra Alexandre Instituttet på at influere standarden og give forslag til, hvordan det kan løses.

Pointen er også at det her handler ikke kun om kraftvarmeværkerne. Systemet kan sagtens anvendes i bredere forstand og kan udvides til at omhandle vindmøller, solcelleanlæg, elbiler og alle elforbrugende anlæg.

Følg forløbet

Kommentarer (15)

Claus Juul

"Sikkerhed er ofte ikke-eksisterende, og det er fair nok, fordi det er ofte små virksomheder"

De sidder på en vita del af den danske infrastruktur, så er jeg da ligeglad med at det er små virksomheder, sikkerheden skal være i orden.

Næste punkt på dagsorden:
Hvis det er almindelig kendt at udstyr sættes op og så røres det ikke de næste 20 år, så betyder det vel at om 20 år benytter de 20 år gammel krypterings teknologi !!!
Jeg tvivler på at 20 år gammelt krypto kan modstå fremtidens angreb.

Mikkel Mikjær

"en ændring af de computere, der vender ud mod internettet, så de ikke kan hackes"

Hvad er det dog for noget ubrugeligt vås at skrive?

Alt kan hackes ... og hvilken ændring? Prøv lige og tænk over hvilken målgruppe du skriver til ... eller det er måske ren afskrift fra en pressemeddelelse?

Brian Hansen

Man satte udstyr på internettet, der var designet til kun at køre på private og dedikerede kredsløb?
Hvilken idiot har taget den beslutning, og på grundlag af hvad?
De er sikkert blevet sparret væk af en eller anden bønnetæller, uden en skid forståelse for sikkerhed.
Argh det gør mig harm!

Lars Jensen

Et gæt er at det er sket i Sdr. Pladderballe hvor en varmemester har sat en PC op på det lokale halmballefyr. Der er ikke én eneste grund til at vitale dele i et varmeværk (af en hvis størrelse) skulle have adgang ud eller ind fra værket via et ubeskyttet internet.

Men det er da stort at man nu har opfundet et system der kan sortere i hvem der har adgang til hvad. Det er helt nyt og meget savnet.

Anne-Marie Krogsbøll

Havde det ikke været et meget mere nærliggende terrorbekæmpende tiltag....
1. at have disse basale sikkerhedsforanstaltninger på plads i samfundets vitale dele
2. at sørge for, at politiet får den fornødne (skyde)træning
3. at politiets ammunition er egnet til formålet ......
.....end det er at kaste sig over totalovervågning (=sessionslogning), oven i købet sandsynligvis af begrænset værdi (siger mange kloge mennesker i dette forum)?

René Nielsen

at have disse basale sikkerhedsforanstaltninger på plads i samfundets vitale dele


Myndighederne er i gang og har været det et stykke tid med alle forsyningsvirksomheder!

Ikke at jeg vil holde hånden over myndighederne, for de fortjener en gang prygl fordi de har ladet det kommer dertil

Personligt ser jeg forslaget om sessionslogning som udtryk for den stupiditet myndighederne udviser for de mennesker som kan/vil hacke forsyningsvirksomheder - bliver med garanti ikke fanget af sessionslogning.

Ved sessionslogning er det ikke en gang spredhagl myndighederne skyder med - det er en meget lille hundeproppistol som ikke rammer noget af samfundsbetydning.

Noget vil de få fat i - men ikke dem som går efter forsyningsvirksomhederne.

Jacob Rasmussen

Personligt ser jeg forslaget om sessionslogning som udtryk for den stupiditet myndighederne udviser for de mennesker som kan/vil hacke forsyningsvirksomheder - bliver med garanti ikke fanget af sessionslogning.

Selvfølgelig vil en fintmasket sessionslogning også fange eventuelle angreb.
Problemet opstår når (hvis) alarmklokken så ringer hos den centrale myndighed, der skal overvåge vores logningsdata. De vil formentlig finde mellem 30-40 og flere tusinde kilde IP adresser, der IKKE hører hjemme i lille Danmark, men formentlig blot tilhører tilfældige uheldige ofre, der har fået deres PC / Router / Printer / TV / Dørklokke / Whatever hacket, så de ganske uvidende er blevet en del af et zombie netværk, der kan benyttes til alt imellem banale DDoS angreb, over spearphising / spam til regulære brute force angreb på vores fælles infrastruktur.

Jeg går ud fra at Alexandra Instituttet har gjort sig tanker om firewalls, VPN tuneller og andre sikkerheds tiltag, inden de begynder at lægge kryptering på selve de protokoller der kører imellem sensorer og kontrolservere.

Jeg går ikke ud fra at Hr. Pind har detaljeret viden om hvordan et moderne IP netværk, som fx. Internettet, er skruet sammen. I så fald ville han i det mindste vide, hvor lidt man kan bruge Sessions logning til. Uanset hvor sur han måtte blive, vil SSL, PGP, TOR og diverse andre 'hacker' værktøjer ikke forsvinde fra Internettet, så at gøre dem ulovligt sikrer bare at de kun er tilgængelige for 'the bad guys'...

René Nielsen

Selvfølgelig vil en fintmasket sessionslogning også fange eventuelle angreb.


Jeg vil lige henlede opmærksomheden at myndighederne i de sidste 20 år verden over, hver gang på forhånd har haft den nødvendige information til at pågribe terroristerne før deres udåd – incl. 9/11.

Jeg mener derfor ikke at der er brug for ny overvågning – men at myndighederne lærer bruge de værktøjer de allerede har! For konklusionen må være værktøjerne har virket, hvis de har fået terroristerne ind på radaren.

Det som har fejlet er de mennesker i politi/eftertjenesten som skal vurderer denne information.

Ny overvågning fjerner derfor fokus fra det som er problemet – at politi/eftertjenesten har fejlet og at det problem er (set udefra) forsat ikke er løst.

Henrik Hansen

Jeg vil lige henlede opmærksomheden at myndighederne i de sidste 20 år verden over, hver gang på forhånd har haft den nødvendige information til at pågribe terroristerne før deres udåd – incl. 9/11.


Nuvel, det hedder jo efterretninger og efterforskning - så det er vel ikke forventeligt ud fra dette at informationen er tilgængelig før hændelsen.

Det der mangler er jo en egentlig forebyggelsestjeneste? Det er jo netop timingen som er et problem?

Hvordan mere data til at forvirre dem vil have anden effekt end at forsinke efterretninger endnu mere (oldtidsretninger?) forstår jeg ikke hvordan de kan overse, men det kan være de indser det efter at det ikke lykkeds jo?

Christian Nobel

Nuvel, det hedder jo efterretninger og efterforskning - så det er vel ikke forventeligt ud fra dette at informationen er tilgængelig før hændelsen.

Hvis du refererer til sessionlogningen, så er det stort set det mest uanvendelige værktøj overhovedet til at forhindre terror, men det er glimrende til at cementere sandhedsministeriets magt over småfolk.

Men rent forebyggende så kendte politiet i næsten alle kendte terrortilfælde de implicerede på forhånd, i flere tilfælde var der adskillige røde lamper der blinkede, men alligevel skred politiet ikke ind - bla. pga interne magtkampe mellem ordenspoliti og efterretningsvæsen.

Det gjorde sig faktisk allerede gældende med Blekingegadebanden.

Det der mangler er jo en egentlig forebyggelsestjeneste? Det er jo netop timingen som er et problem?

Bare rolig, det har man skam også tænkt på med det nye Pre-Crime system, aka. ANPG.

Hvordan mere data til at forvirre dem vil have anden effekt end at forsinke efterretninger endnu mere (oldtidsretninger?) forstår jeg ikke hvordan de kan overse, men det kan være de indser det efter at det ikke lykkeds jo?

Politiet kunne ikke finde ud af en dyt i en periode på 7 år sidste gang vi var velsignet med sessionsovervågning, så hvad skulle have ændret sig?

Men klart herremand Pind "ved bedre"!

Anne-Marie Krogsbøll

Henrik Hansen:

Hvordan mere data til at forvirre dem vil have anden effekt end at forsinke efterretninger endnu mere (oldtidsretninger?) forstår jeg ikke hvordan de kan overse, men det kan være de indser det efter at det ikke lykkeds jo?

Bær venligst over med min afgrundsdybe mangel på faglig indsigt: Ville IBM's Watson kunne bruges til den slags? I givet fald - mon den lurer i kulissen i Justitsministeriets planer med sessionslogning?

Jacob Rasmussen

Selvfølgelig vil en fintmasket sessionslogning også fange eventuelle angreb.

Jeg vil lige henlede opmærksomheden at myndighederne i de sidste 20 år verden over, hver gang på forhånd har haft den nødvendige information til at pågribe terroristerne før deres udåd – incl. 9/11.

Jeg mener derfor ikke at der er brug for ny overvågning – men at myndighederne lærer bruge de værktøjer de allerede har! For konklusionen må være værktøjerne har virket, hvis de har fået terroristerne ind på radaren.

Din pointe modsiger ikke direkte min påstand. En ting er at have data om angreb i en database, en hel anden ting er at trække disse data ud fra databaserne.
Når vi snakker infrastruktur så som vand, varme og elektricitetsværker, kan det meget vel give mening at Center for Cybersikkerhed burde opsamle data fra overvågningen, og trække statistikker ud herfra, for at kunne opdage angreb.

Det ser noget mere gråt ud, når det drejer sig om sessionslogning hos ISP'erne. Der er så vidt jeg har læst, ikke noget andet krav, end at ISP'erne selv skal opbevare data, indtil Rigspolitiet, PET, FET eller andre organisationer henvender sig for at få dem udleveret. Der er altså intet overblik over realtids situationen, og ingen stordriftsfordele af en fælles database... Det virker mere som spild af ISP'ernes og vores penge.

René Nielsen

Når vi snakker infrastruktur så som vand, varme og elektricitetsværker, kan det meget vel give mening at Center for Cybersikkerhed burde opsamle data fra overvågningen, og trække statistikker ud herfra, for at kunne opdage angreb.


Jeg synes det lyder fornuftigt hvis Center for Cybersikkerhed ville overvåge centrale samfundsinstitutioner som kraftværker, vandværker, varmerværker, trafikstyringssystemer og lignende men jeg synes at overvågningen skal ske ved samfundsinstitutionerne og ikke ved borgerne.

Derfra skal myndighederne gå målrettet efter dem som angriber samfundsinstitutionerne

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen