Jo, det kan man formodentlig, for der er f.eks netop ikke personale på alle transformatorstationer.
Men hvis der ikke er noget af det der cyber i dem så kører de vel autonomt videre selvom netforbindelsen ryger?
... hvorfor indrømmer du ikke at du mangler detailviden om det her? Hvorfor indrømmer du ikke, at påstanden om at DKs elnet kan lukkes ned på 2 min. er totalt grebet ud af den blå luft?
At styre en transformatorstation manuelt er der faktisk allerede taget hånd om, det har der været siden man byggede dem i mellemkrigsårene, og der er absolut intet "cyber" i den opgave.
...så nu kan man ikke slukke for strømmen i hele DK på 2 minutter? Faktisk kan man slet ikke slukke for strømmen i et cyberangreb hører jeg nu.
Jeg ved godt at panelets deltagere hellere vil stikke en strikkepind i stikkontakten end at give mig helt eller delvist ret. Jeg ved intet om hverken strøm eller cyber, men derfor kan man godt gætte rigtigt ind i mellem.
Med det jeg kender til dansk infrastruktur, så gætter jeg på at det er betydeligt sværere at trænge ind i et en Iransk atomanlæg end et dansk kraftværk
Ja du gætter. Forfatteren gætter. Det ser ud som om alle har det fint med at gætte og fantasere. Sikke en lettelse - der gættes bare. Heldigvis skal ingen deltager i denne tråd træffe dyre og tunge beslutninger. Ingen er tynget af hverken ansvar eller viden om alt det de sidder og gætter på. Så diskussionen er uskyldig og uakademisk.
Nå, men jeg sad lige og tænkte om der faktisk er en opgave til Hjemmeværnet i tilfælde af et cyberangreb på DK. Det er der. Vi kan bruge dem til at bemande samtlige danske transformerstationer. De kan sikre dem, og på ordre fra førerbunkeren trække i håndtag og trykke på knapper. Hele lortet kan styres manuelt. Det vidste I ikke? Nej, det fornemmede jeg.
Hvordan vil du sikre dig mod bagdøre
Skal vi ikke lige have afsluttet snakken om sandsynlighed og konsekvens for bagdøre i elforsyning? Det bare fordi jeg synes det er spild af alles tid at snakke dommedagsprofeti og konspiration og ting der aldrig nogensinde er sket.
Kan du nævne et eksempel på, at en indbygget bagdør har slukket strømmen i DK, eller andre steder?
I Danmark solgte vi telenettet billigt...
Du er primært drevet af politiske holdninger, og har meget begrænset viden om emnet. Tidens megastørste problem.
Her er så en række fakta:</p>
<pre><code>Stor set ethvert internet enabled produkt kan have ikke-aktiverede bagdøre.
Det er muligt at have bagdøre som først kan opdages når de aktiveres; dvs. at analyse af trafik ikke er muligt fordi der ikke er nogen trafik.
</code></pre>
<p>
Men det er bare ikke fakta. Du kan til nød omskrive det til hypoteser. Du kan fx sige, "bagdøre kan indbygges... og det kan true elforsyningen". Fakta ville være hvis du kunne supplere med et empirisk grundlag. Det kunne være optælling af bagdøre identificeret i komponenter til styring af kritisk infrastruktur (et tal der går mod nul) og optælling af hændelsen "trussel mod elforsyningen forårsaget af bagdøre" (et tal der er absolut nul (men prøv da at udfordre det)). Og jo, man kan sikre sig mod bagdøre og man kan opdage ondsindet trafik.
Sikkerhedsarbejde baseres ikke på fantasi, men på risikovurdering, analyse af trafik og fakta, fakta og atter fakta. Det er der heldigvis rigtig mange dygtige sikkerhedsfolk der arbejder med hver dag i DK. Desværre har tidens tendens til få opmærksom på sig selv også ramt den akademiske diskussion.
Her er iøvrigt et lille hint: Hvis nogen hacker dine Philips Hue pærer, så piller du bare netstikket ud af gateway'en og tænder lampen manuelt på vægkontakten.
Jeg vil gerne gøre mit til at bringe saglighed og anstændighed på banen her:
Min personlige analyse er at hvis der kommer til "rigtig cyberkrig" så tager det kun to minutter, så er Danmark for alle praktiske formål helt uden telekommunikation og elektricitet
Fakta er, at det er en personlig analyse, og den er fuldstændig forkert. Konsekvensen, når man sætter så skråsikker en præmis, og rammer fuldstændig forkert, så bliver der ingen saglig diskussion.
Hvad nu hvis TCO er fantastisk på Huawais produkter? Hvad nu hvis de leverer en hypermoderne teknologi i topkvalitet til den billigste pris. Så siger TCO at vi skal købe det produkt, selvom det er født med usynlige bagdøre og selvdrestruerende algoritmer.
Nej vi har fået svedsken på disken: Der er ikke tillid til denne leverandør fra dette land. Det er sagt i et klart sprog så de kan tage det til efterretning og ændre deres politik og metode.
Du kan måske overbevise de onde pengemænd ved at italesætte dataetik som værdiskabende. Jeg er iøvrigt 100% sikker på, at onde (og gode) pengemænd frygter forbrugerne mere end loven, og at forbrugerne forstår at bruge etikken som et instrument (men ikke loven)
Jeg er begejstret for tanken om at persondatalovgivning skal blive til dataetik. Det er jeg bl.a. fordi det er svært at sælge og begejstre mennesker med jura og compliance. Hvis ikke vi får værdi og begejstring ind som en drivende faktor, så må vi håbe der kommer ekstremt mange møgsager, der kan fastholde fokus på persondatabehandling.
Ved at tale etik i stedet for jura, kan man tale værdi fremfor omkostning. Lad den lige synke ind...
Drop dit nedladende "kan I ikke lege hackere" og den dertilhørende stråmand.
Jeg siger det jo bare som det er. Mine indlæg er baseret på faglig viden og praksis fra den sektor vi snakker om. Mit samarbejde omfatter myndighederne, de bedste danske konsulenthuse og eksperter fra ind- og udland. Jeg kan ikke tage din politirolle alvorligt, og jeg synes generelt ikke niveauet i denne debat er værdigt. Jeg græder snot over dislikes og tænker det er spild af tid at være her.
Jeg kunne godt tænke mig lidt åb
Nå jaeh, for security through obscurity er udtryk for den ypperste begavelse.</p>
<p>Akkeja, akkeja
Jeg er sikker på Kamstrup gerne tager mod hjælp fra kompetente og troværdige whitehats.
Men kan I ikke lege hackere i lukkede fora, og undgå at blive nyttige idioter for ondsindede?
Der findes langt bedre steder i verden for dig. Steder hvor der ikke er så meget styr på det, og heller ikke altid strøm i stikkontakten.Alle ved det og alle træder dansen hver eneste år.
Hvordan er tvungen to-faktor, firewalls og kryptering IKKE relevant på kritisk infrastruktur???
Du trækker min tekst ud af sammenhæng. Spild af tid.
Per, tak for kommentaren.
Jeg har ikke tænkt mig at "hacke" så meget i min el-måler.
Men jeg vil gerne have et retvisende billede af bl.a.:</p>
<ul><li>Kan andre nemt aflæse min el-måler, udenfor matriklen?</li>
<li>Kan andre SKRIVE noget til min el-måler, udenfor matriklen? - Herunder ændre opsætning, eller slukke for strømmen!?</li>
<li>I så fald, i hvor stor radius?</li>
<li>Kan jeg gøre noget for at imødegå pågældende risiko?
Jeg synes det er godt at snakke om de her ting, og der mangler nok lidt åbenhed om hvordan målere er beskyttet. I sagens natur vel fordi det er en viden der også kan bruges af de russere der sidder og læser med. Er der nogen her der tænker på det iøvrigt? Altså at det er kontraproduktivt at servere kamstrup dokumentation på et sølvfad? Ja undskyld mig - det virker sgu lidt dumt...
Nå, til sagen (disclaimer: Jeg kender ikke samtlige målerfabrikater og arkiteketur i det danske elnet): Nej din elmåler kan ikke nemt aflæses udefra - og hvor er incitamentet, og hvad skulle man bruge det til? At sammensætte målerID og forbrug med en person og en adresse er... krævende og sporbart(insider arbejde).
Andre kan ikke skrive til en måler. Hvis du tænker forbrug er det teoretisk muligt at dekryptere i transporten fra måler til backend og ændre forbrug. Det vil bare blive opdaget.
Slukke for strømmen kan man ikke på de målere jeg kender til, uden at gøre noget stort, der ville blive detekteret. Men det var måske værd at undersøge på din måler - spørg din elforsyning om det er muligt. Det kritiske scenarie er ikke at gøre det ved dig men 100.000 andre på en gang. Tja, det er jo sådan noget vi garderer os godt imod...
Jeg synes man skal spørge sit elselskab hvordan de sikrer mod de scenarier du ridser op. Gerne teknisk. Det gavner faktisk sagen og skaber mere fokus hos dem der arbejder med det.
Ingen af disse quickfix er relevante på kritisk infrastruktur som SCADA, PLC'ere, og ICS netværk - eller er allerede implementeret på ditto. Der skal helt andre boller på suppen, og det er der heldigvis også. Der sidder fagfolk i alle større energiselskaber og arbejder seriøst med den risiko CFCS ridser op.
Men jeg kender godt denne tilgang til sikkerhed. Alle tænker sikkerhed udfra deres egen kompetence, ofte et teknisk fix der løser alt meget hurtigt og billigt. Det der virker er tværfagligt samarbejde, myndighedernes "tryk" (herunder CFCS), partnerskaber og governance.
Mit råd, givet udfra et menneskeligt og teknisk synspunkt: Lad være med at bekymre dig om din elmåler. Check el-regningen med jævne mellemrum.
Lad for alt i verden være med at forsøge at hacke din måler. Det er ulovligt. Det er iøvrigt også pissesvært og stort set umuligt at undgå at blive opdaget.
Og så lige min kommentar til CFCS risikovurderingen: Tak for den. Den hjælper med at fastholde det supergode fokus på cybersikkerhed i sektoren. Målerne og el-nettet er godt sikret, og der investeres penge og ressourcer i stor stil. Om det er nok kan altid diskuteres, men når den ene og anden mener, at det hele er pivåbent og der ikke er styr på en skid, så har det ikke afsæt i en viden om hverken sektoren eller cybersikkerhed.
... sender live forbrugsdata over tråd eller net. Kun akkumulerede data i minut eller timeintervaller.
De to klovne har ikke en sag, der er værd at diskutere.
Hvis man vil være sikker, må man hellere nøjes med at se film, der er downloaded fra et offentligt hotspot, til et batteridevice.. Husk hovedtelefoner og en rulle toiletpapir. Husk at slå wifi fra imens, og reset devicet til fabriksindstillinger bagefter.
Per Jeppesen