Hacker

Vær beredt! Cybertruslen er kommet for at blive

Energibranchen kan være sårbar overfor cyberangreb, så flere initiativer skal opbygge et bolværk mod spionage, afpresning og terror. Elnetselskaber, kraftværker og balanceansvarlige virksomheder skal leve op til nye skærpede krav allerede fra den 1. oktober 2017.

Hvor slemt kan det gå, når professionelle hackere, cybertyveknægte og robotter går til angreb på energiselskaber og dermed samfundskritisk infrastruktur?

– Det er et godt, men åbent spørgsmål, som vi i branchen tager meget alvorligt, siger chefkonsulent Peter Kjær Hansen fra Dansk Energi.

Sommerens angreb har været en særdeles bekostelig affære for blandt andre A.P. Møller – Mærsk. Hackerangreb kan også koste energiselskaber mange penge, men skrækscenariet er, hvis mange kunder mister strømmen over længere tid. Det skete for det ukrainske energiselskab Prykarpattyaoblenergo den 23. december 2015, efter at særdeles kapable hackere efter ugers forberedelse havde angrebet elnetselskabet. I op til seks timer var 225.000 vestukrainere uden el.

Risikoanalyser og kontrakter
I Danmark er ny lovgivning om it-beredskab blevet udmøntet i en bekendtgørelse, der trådte i kraft pr. 1. juli.

– Bekendtgørelsen fra Energistyrelsen kræver, at energibranchen fokuserer yderligere på it-sikkerhed. Derfor skal alle netselskaber, kraftværker og balanceansvarlige inden den 1. oktober blandt andet have lavet risikoanalyser og skrevet kontrakt med en it-sikkerhedstjeneste. It-sikkerhedstjenesten skal bistå virksomhederne med at overvåge og beskytte deres forsyningskritiske systemer og netværk, fortæller Peter Kjær Hansen.

Så galt som i Ukraine i julen 2015 går det sjældent, men ligesom man som email-bruger jævnligt modtager post, hvor kriminelle forsøger at lokke passwords eller penge ud af én, så bliver de fleste energiselskaber nærmest dagligt udsat for små eller store hændelser.

– Det bedste er selvfølgelig at forebygge ved at etablere en sikkerhedskultur i virksomhederne og løbende foretage de sikkerhedsopdateringer, der skal til. Alle er i princippet truet, så ingen vil kunne føle sig sikker, siger Peter Kjær Hansen og påpeger, at den it-sikkerhedstjeneste, som de enkelte energiselskaber hver især skal entrere med, både skal bistå med at opbygge et forsvar, komme med advarsler og hjælpe til med at begrænse skader, hvis uheldet er ude.

Styr på leverandører
– Leverandørstyring er også en vigtig del af beredskabet. Energiselskaberne har længe haft en interesse i at styre, hvem udefra, der har adgang til hvad, men nu skal det formaliseres endnu mere, siger Peter Kjær Hansen og nævner, at Dansk Energi den 12. oktober afvikler en temadag om den del af it-sikkerheden.

Energiselskabernes udkast til kontrakter med it-sikkerhedstjenesterne skal godkendes af Energistyrelsen, der har udsendt en vejledning om, hvad der skal være omfattet.

– Vejledningen er ikke super præcis, så vi skal have en løbende dialog med styrelsen om ambitionsniveauet. Lovgivningen giver mulighed for udvidede indtægtsrammer, men også i forhold til finansiering af initiativer bliver vi nødt til at holde tæt kontakt til myndighederne, siger Peter Kjær Hansen, der også forventer en del indkøring af de eksterne eksperter, der nok ved at del om it-systemer, men næppe alle er dybt inde i SCADA-systemer og andre tekniske detaljer i kunsten at drive et elnet, et kraftværk eller en balanceansvarlig virksomhed.

Integrerede elnet
Den danske lovgivning er en konsekvens af, at EU forsøger at skrue op for it-sikkerheden i sine 28 (snart 27) medlemslande. Med flere frontlinjestater i forhold til Rusland, der efter alt at dømme står bag flere hackerangreb på blandt andet de baltiske lande (og præsidentvalget i USA), har EU-kommissionen erkendt, at der skal samarbejdes om at opbygge it-forsvar.

I maj 2017 har en række baltiske energiselskaber været udsat for et angreb, der stadig bliver analyseret af selskaber og myndigheder i Estland, Letland og Litauen. En ubekræftet teori er, at cyberangrebet er en russisk protest mod, at de tre tidligere sovjetrepublikker – der nu er medlemmer af EU – er ved at vende deres elnet om, så størstedelen af udveksling med elektricitet sker mod vest snarere end mod øst.

– Elnettene i Europa bliver stadig mere integrerede, og det giver nye sikkerhedsudfordringer. Med The Internet of Things, hvor stadig flere apparater kobles på eller bliver styret over internettet, kommer der også flere digitale angrebspunkter for hackerne. Derfor er det nødvendigt med tættere samarbejde mellem alle parter. It-sikkerhed bør ikke ses som et konkurrenceparameter mellem energiselskaberne, siger Peter Kjær Hansen.

Digitalisering i alle led
Europas energisektor bliver stadig mere integreret, og energibranchen bliver stadig mere digitaliseret fra målere over kundeportaler og it-systemer til kabler og kraftværker. Samtidig bliver en stadig større del af elproduktionen klaret lokalt med (privatejede og husstandsbaserede) vindmøller og solceller, der potentielt også kan hackes, uden at elselskaberne har nogen reel styringsmulighed af disse anlæg.

Både integrationen, decentraliseringen og digitaliseringen øger energibranchens sårbarhed for ondsindede angreb, så derfor er det næste skridt fra EU-Kommissionen at udarbejde en europæisk strategi for cybersikkerhed inden for energisektorerne. En tværnational ekspertgruppe (EECSP) med 14 deltagere – herunder Peter Kjær Hansen fra Dansk Energi – afleverede i foråret rapporten ”Cyber Security in the Energy Sector” med anbefalinger til den proces.

– Cyberkriminalitet er ikke spøgeværk. Vi skal arbejde videre med udfordringerne både på EU-niveau og lokalt. It-sikkerhed er en vedvarende opgave for os alle. Men selvom cybertruslen banker på døren i dette sekund, så bør vi alle have is i maven og implementere med hovedet, siger Peter Kjær Hansen.

************************************

Tidslinje: Fra Bronze-soldaten i Tallinn til Center for Cybersikkerhed

  • En af de definerende begivenheder indtraf for ti år siden. Dengang angreb hackere banker, ministerier, medier og parlamentet i Estland efter, at der var blevet offentliggjort planer om at flytte et mindesmærke for faldne sovjetiske soldater under 2. verdenskrig – Bronze-soldaten – fra midt i hovedstaden Tallinn til en militær kirkegård. Det omfattende angreb førte til, at NATO i maj 2008 oprettede et Center of Excellence for Cyber Defense, hvor deltagere fra forsvarsalliancen kan dele erfaringer og viden.
  • I Danmark blev NRGi i august 2015 udsat for afpresning, men takket være en ihærdig indsats fra medarbejdere og konsulenter over flere dage undgik energiselskabet at betale den forlangte løsesum.
  • Efter flere års arbejde vedtog EU i juli 2016 sit første direktiv om cybersikkerhed; det såkaldte NIS-direktiv, der er en pendant til USA’s Cybersecurity Framework på National Institute of Standards and Technology (NIST).
  • Netop dette EU-direktiv ’on security of Network and Information Systems’ er nu ved at blive implementeret. Bl.a. skal landene have et dedikeret organ til sagen. For Danmarks vedkommende drejer det sig om Center for Cybersikkerhed under Forsvarsministeriet.