Systemansvarlig om password-brøler: »Helt utilgiveligt«

Illustration: leowolfert/Bigstock
Elselskabet Natur-Energis lemfældige omgang med it-sikkerheden for elmarkedets fælles it-system har fået Energinet.dk, som driver systemet, op i det røde felt. Truslen om at lukke Natur-Energi som elselskab er stadig en mulighed, fortæller Energinet.dk.

Det var i tre uger ikke svært at være hacker og få adgang til det fælles it-system for danske elselskaber, Datahub. De to lag af sikkerhed, som skulle beskytte oplysningerne om blandt andet samtlige danske elkunders elforbrug, blev nemlig eklatant brudt af Natur-Energi: Selskabets password til Datahub lå offentligt tilgængeligt på nettet, og en eventuel hacker kunne få koden til det trådløse internet udleveret og dermed tilgå Datahub via Natur-Energis IP-adresse.

Læs også: Kæmpebommert og elendige passwords gav fri adgang til dansk elnet

Læs også: Password-brøler kan koste elselskab adgang til vital database

Det er simpelthen for lemfældig omgang med så kritiske it-systemer, lyder det fra Energinet.dk, som driver landets overordnede elnet og Datahub-systemet, og selskabet har derfor valgt en hård kurs over for Natur-Energi.

»Det er første gang, vi har set noget så graverende, som det her. For os er det helt utilgiveligt, at man både nedskriver passwordet, offentliggør det i klartekst og så samtidigt bryder den anden form for sikkerhed, nemlig at kun godkendte IP-adresser kan få adgang, ved at give andre adgang til netværket,« siger Søren Dupont, elmarkedsdirektør i Energinet.dk, til Version2.

Alle cirka 130 elselskaber i Danmark har skrevet under på at følge et sæt regler for god it-sikkerhed, før de får adgang til de fælles it-systemer for det danske elnet. Men det er svært for Energinet.dk at gardere sig mod så eklatante overskridelser.

»Det svage led i it-sikkerhed er brugeren. Og her har en bruger så ladet hoveddøren til huset stå åben, med en seddel på væggen med det hemmelige password. Det er derfor, vi reagerer så stærkt mod Natur-Energi,« siger han.

Ledelsen i Natur-Energi var onsdag formiddag forbi Energinet.dk til en kammeratlig samtale, og foreløbigt er Energinet.dk ikke på vej til at spærre for Natur-Energis adgang til de fælles it-systemer, selvom det stadig er en mulighed.

»Vi er tilfredse i første omgang med at konstatere, at Natur-Energi har foretaget afhjælpende foranstaltninger, så hullet er lukket. Nu har vi bedt dem sende os en hel masse yderligere skriftlig dokumentation for deres procedurer, samt en skriftlig redegørelse for forløbet,« forklarer Søren Dupont.

En samlet vurdering af den skriftlige dokumentation skal så afgøre, hvordan ’dommen’ over Natur-Energi bliver.

»Det ligger ikke lige for nu at dømme Natur-Energi ude af markedet, men det beror på en evaluering af det materiale, vi afventer fra dem. Men det er en meget vidtrækkende foranstaltning at udelukke dem fra Datahub, for så vil de ikke kunne fortsætte som elselskab. Deres kunder ville skulle flyttes til andre elselskaber og vil sandsynligvis også tabe nogle penge. Derfor er det også noget, vi vil drøfte nøje med relevante myndigheder, før vi eventuelt ville iværksætte det,« siger Søren Dupont.

Version2 har i løbet af onsdag forsøgt at få en kommentar fra Natur-Energi, men uden held.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Cristian Ambæk

Der er ikke så meget af sige, det virker rimelig åndsvagt det natur-energis admins har gjort. Og forhåbenlig er der en eller to der har fået en overhaling. Hvis det der står i artiklen er som virkeligheden er, så er det jo inkompetece på højt plan med muligvis store konsekvenser for virksomheden.

Natur-energi skal være mere end velkommen til at ansætte mig som sys admin. Så løber jeg gerne med den bold ,)

  • 1
  • 0
#2 Povl H. Pedersen

WiFi er en øget risiko, og bør behandles rigtigt. PSK er noget skidt der skal undgås, pånær måske gæstenet. Og sådanne net skal ikke gå på Internet gennem virksomhedens primære IP adresse. Man risikerer alle mulige dårligdomme som følge heraf. Gæstenet skal på Internet via anden IP adresse, gerne i et helt andet IP range, evt gennem egen forbindelse. Det er trivielt og best practice.

Nu er der det problem at mange virksomheder forveksler best practice med common practice som er at sætte tingene op uden at tænke sig om.

  • 3
  • 0
#3 Henrik Madsen

Er der nogen forklaring på i hvilken forbindelse passwordet endte med at ligge på nettet ?

Blev det fundet i en txt fil på en ftp server eller skrev de det direkte på deres hjemmeside / i et referat / etc.

  • 0
  • 0
#8 Baldur Norddahl

Hvis der er tale om kritisk infrastrukturadgang så er det ikke kun Natur-Energi der skal kritiseres. Password + IP-lock er ikke tilstrækkelig sikkerhed for noget der kan kaldes "kritisk".

Hvor er teknologier som IP-SEC og to-faktor adgangskontrol? Krav om intern separation i virksomhedernes netværk, så at kantinedrengen ikke bare få adgang til samme netværk, som det der har kontakt til den kritiske infrastruktur? Periodisk revision af sikkerhed?

Vi ved nu at hackere så nemt som ingenting kan få adgang til den kritiske infrastruktur. De skal såmænd bare root'e en tilfældig PC hos et energiselskab. Password får de fra en keylogger. Adgang via en proxy. Rooting via udlevering af en USB-key med trojansk hest. Eller tusindvis af andre metoder.

Hvis man vil have inspiration til et minimum sikkerhedsniveau så kan man tage et kig på standarten for sikkerhed for betalingskortsindløsere, PCI DSS: http://en.wikipedia.org/wiki/PCI_DSS

Hvis der reelt er tale om kritisk infrastrukturadgang, så bør sikkerhedsniveau som minimum svare til PCI DSS. Hvis man ikke kan overkomme at lave ordentlige sikkerhedsforanstaltninger, så er det totalt overdrevent at tvangslukke en tilfældig virksomhed. Energi-Natur har forbrudt sig imod sikkerhedsforanstaltningerne, men disse var totalt utilstrækkelige til at begynde med, og hackere har allerede frit spil!

  • 0
  • 1
#9 Henrik Madsen

Så kan det da være at jeg kan slippe for konstant at blive ringet op af deres deres hyber-pushy sælgere. De er nærmest umulige at slippe af med.

Underligt.

Har din telefon ikke sådan en "LÆG PÅ" funktion ?

Hvis der ringer nogle sælgere til mig så plejer jeg, så snart de har givet sig til kende at sige "Lige et øjeblik" og så smækker jeg røret på.

Case closed, problem solved....

  • 1
  • 0
Log ind eller Opret konto for at kommentere