Password-brøler kan koste elselskab adgang til vital database

Illustration: leowolfert/Bigstock
Hvis ikke sikkerheden straks bliver forbedret, risikerer energiselskabet Natur-Energi at blive udelukket fra Energinet.dk's Datahub.

Lemfældig omgang med et password - som i øvrigt ikke var særlig sikkert - har gjort det muligt for hackere at overtage elselskabet Natur-Energis adgang til det fælles it-system for danske el-selskaber, som Energinet.dk driver.

Læs også: Kæmpebommert og elendige passwords gav fri adgang til dansk elnet

Derfor har Energinet.dk med kort varsel indkaldt Natur-Energi til et møde onsdag formiddag, hvor elselskabet skal dokumentere, at it-sikkerheden er kommet i orden. Er resultatet ikke overbevisende, vil Energinet.dk ’i yderste konsekvens’ lukke Natur-Energis adgang til Datahub, som det fælles it-system hedder. Det skriver Energinet.dk i en pressemeddelelse.

Her fremgår det også, at en eventuel hacker ikke bare ville kunne se oplysninger om alle danskernes elindkøb, men også for eksempel flytte folk fra et elselskab til et andet.

Natur-Energi brugte passwordet Naturenergi2013, og ved en fejl blev den oplysning lagt ud på nettet. Som en del af sikkerheden omkring Datahub-systemet er der kun adgang fra bestemte IP-adresser, men det ville en hacker kunne leve op til ved at koble sig på Natur-Energis trådløse netværk ude fra fortovet. Koden til netværket - nisseland1234 - fik avisen Metroxpress oplyst ved at spørge efter den.

Der er ikke tegn på, at nogen har misbrugt muligheden for at få adgang til det fortrolige system, men for en sikkerheds skyld skal alle transaktioner fra Natur-Energi i de seneste tre uger nu tjekkes.

Alle elselskaber skriver under på, at de efterlever Energinet.dk’s krav til it-sikkerhed og beskytter adgangen til Datahub-systemet. For en sikkerheds skyld vil Energinet.dk nu minde alle brugere af Datahub’en om disse regler. En undersøgelse skal også vise, om it-systemet skal sikres yderligere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jesper Lund

Der er ikke tegn på, at nogen har misbrugt muligheden for at få adgang til det fortrolige system, men for en sikkerheds skyld skal alle transaktioner fra Natur-Energi i de sidste tre uger nu tjekkes.

Den sang fra de varme lande får vi altid, når nogle har sjusket med IT-sikkerheden.

Datahubben indeholder, så vidt jeg ved, højfrekvente aflæsninger af borgernes el-forbrug for de borgere som har de nye fancy "intelligente" el-målere (som regeringen vil påtvinge os alle).

Disse oplysninger fortæller en masse om borgernes privatliv, for eksempel hvornår de er hjemme, hvornår de står op om morgenen (og går i seng), etc etc. Perfekt hvis nogen vil overvåge borgerne (men kunne dog finde på det?).

Der er mange andre misbrugsmuligheder end at flytte kunder fra det ene selskab til det andet. Indbrudstyve har eksempelvis en oplagt interesse i at vide hvem der er hjemme og hvem der er på ferie.

Jeg havde virkelig forventet at disse oplysninger var sikret med andet end IP check, for eksempel SSH adgang el.lign. med private nøgler på smartcards.

Men ok... vi taler om IT-sikkerhed i den danske offentlige sektor (datahubben hører til den offentlige sektor). Det er CSC FTP skandalen om igen.

  • 13
  • 1
#2 Steffen Frøkjær

Derfor har Energinet.dk med kort varsel indkaldt Natur-Energi til et møde onsdag formiddag, hvor elselskabet skal dokumentere, at it-sikkerheden er kommet i orden. Er resultatet ikke overbevisende, vil Energinet.dk ’i yderste konsekvens’ lukke Natur-Energis adgang til Datahub, som det fælles it-system hedder. Det skriver Energinet.dk i en pressemeddelelse.

Det bude da være.. "LUK for til gang, holde møde, og måske åben igen.." i stedet for "holde møde, måske luk"

  • 1
  • 0
#3 Carsten Helsted

[qoute]Disse oplysninger fortæller en masse om borgernes privatliv, for eksempel hvornår de er hjemme, hvornår de står op om morgenen (og går i seng), etc etc. Perfekt hvis nogen vil overvåge borgerne (men kunne dog finde på det?).[/qoute]

Jeg er ikke uenig i at det er for lemfældig/sløset sikkerhed. Det er til gengæld nok lidt søgt med indbrudstyven? Der er nemmere metoder for tyve at regne det ud på. Derudover går hovedparten af danskerne i seng om aftenen og står op om morgenen?

Synes problemet i denne sag er størst i form af den chikane, som et misbrugende element vil kunne udføre.

  • 1
  • 2
#4 Jesper Lund

Det er til gengæld nok lidt søgt med indbrudstyven?

Tjah... her er en sag hvor indbrudstyve samarbejdede med en medarbejder i et rejsebureau som vidste hvornår ofrene/kunderne var bortrejst... http://ekstrabladet.dk/112/article1380144.ece

Hvis strømforbruget har været lavt 3-4 dage i træk, bør der være en god chance for at beboerne i boligen er taget på en uges ferie.

  • 2
  • 0
#5 Michael Jensen

En undersøgelse skal også vise, om it-systemet skal sikres yderligere.

mon ikke Energinet burde have lavet en sådan undesøgelse inden lanceringen af datahub? Som jeg har læst det har budgettet været stort nok.

Datatilsynet undersøger Natur-energi, men de burde måske undersøge energinet især når vi taler om så stor en offentlig database.

  • 0
  • 0
#6 Gustav Brock

Der har nu altid været noget suspekt ved Natur-Energi, for hvad skulle modstykket være? Unaturlig energi? Men det findes ikke. Vind, vand og halm er ikke mere naturlige end kul, olie og uran.

Desuden er deres aggressive telefonsælgere en belastning, der hurtigt får en til at afvise enhver kontakt med selskabet.

  • 0
  • 0
#7 Deleted User

Vi kan hurtig bliv enig om at det ikke rager nogen uvedkommende hvor meget strøm der løber forbi min måler hver time. Og dem der har brug for disse data for at sikre teknikkens fungeren og betalingen, de skal bruge oplysninger kun til det. Hvis jeg selv vil give de oplysninger for at bidrage til bedre benchmarking, skal jeg spørges og give aktiv accept. Offentlige institutioner har selv forpligtet sig til at offentliggøre disse data (seelforbrug.dk)- Finder man Statsministeriet eller Forsvarets institutioner på listen? Nej. Privatliv er ikke en option, det er en forudsætning.

Det med indbrudstyven er mindre søgt end som så - jo der er andre, mere direkte måder som eksemplet fra rejsebureauet, de berømte "kuffertmærkevendere" i lufthavnen eller "skraldespandskiggere" viser, men den er altså god nok og duer også til virksomheder, der lukker i sommerferierne. Du kan endda afkode vagternes runderingstider.

Mon ikke Energinet.dk skal være lidt mere krævende og det gør ikke noget at det bliver endnu mere bøvlet end Nem-ID. Dem der flytter kunder er trods alt på arbejde.

Energinet.dk skriver : "Energinet.dk er i også i gang med at undersøge, hvordan DataHub’en kan sikres bedre." En oplagt mulighed for Version2 at komme efter og spørge, hvad der kom ud af disse undersøgelser. Eller om det bare var en tudekiks vi fik stukket der.

  • 0
  • 0
#8 Jesper Lund

Energinet.dk skriver : "Energinet.dk er i også i gang med at undersøge, hvordan DataHub’en kan sikres bedre." En oplagt mulighed for Version2 at komme efter og spørge, hvad der kom ud af disse undersøgelser. Eller om det bare var en tudekiks vi fik stukket der.

Datahub'en skal ikke sikres (og kan ikke sikres sålænge cpr-numre er involveret). Den skal nedlægges. Datahub'en er ligeså fejlkonstrueret som rejsekortet.

Man kan sagtens lave differentieret betaling for KWh forbruget, hvis man ønsker det, uden at dit strømforbrug løbende skal overføres til en central server.

Og dem der har brug for disse data for at sikre teknikkens fungeren og betalingen, de skal bruge oplysninger kun til det. Hvis jeg selv vil give de oplysninger for at bidrage til bedre benchmarking, skal jeg spørges og give aktiv accept.

Du kan roligt regne med at dine private oplysninger i datahub'en vil blive misbrugt af det offentlige og andre. Visse instanser i det offentlige har eksempelvis en stor interesse i at overvåge om du befinder dig på en bestemt adresse, og her kan oplysningerne i datahub'en være ganske effektive.

Skat har eksempelvis udvist stor interesse for lokationsoplysningerne der indsamles efter logningsbekendtgørelsen. Det samme vil ske med datahub'en og rejsekortet.

  • 1
  • 0
Log ind eller Opret konto for at kommentere