De største cybertrusler mod energisektoren
Krigen i Ukraine og kampen om at få adgang til ny teknologi udgør de største cybertrusler mod energisektoren. DNV's sikkerhedsekspert Boye Tranum advarer mod sikkerhedstruslerne fra cyberkrig og sårbarheden af lange værdikæder.
- Dem, der ønsker at få digital adgang til systemerne hos aktørerne i energisektoren, arbejder meget langsigtet. De kender de systemer, der bruges i energiproduktion mindst lige så godt, som du selv gør. De leder efter de nemmeste veje ind. En måde er at forsøge at indhente login-oplysninger ved at sende en phishing-e-mail til alle medarbejdere i virksomheden. En anden er at komme ind i hovedsystemerne via bagdøre, der kan findes i løsninger fra underleverandører eller teknikere, indleder Boye Tranum, direktør for Cyber Security Services hos DNV, et norsk globalt cybersikkerhedsfirma.
De, der ønsker at få digital adgang til systemerne i energisektoren, kender systemerne mindst lige så godt som virksomhederne selv.
Boye Tranum, DNV
Stuxnet-virussen er et godt eksempel på de cybertrusler, som energisektoren står overfor. Datavirus blev specielt udviklet til at angribe systemer til overordnet styring, kontrol og dataindsamling (SCADA). Virussen blev først opdaget i 2010, efter at den havde ramt det iranske atomprogram og ødelagde omkring 20% af Irans urancentrifuger.
SCADA er en operationel teknologi (OT) og bruges til at styre, kontrollere og overvåge industrielle processer. Stuxnet omprogrammerede de iranske urancentrifuger, så kølesystemet blev sat ud af drift. Det resulterede i et nedbrudt på grund af overophedning. Senere efterretninger tyder på, at Israel og USA stod bag virussen, som blev programmeret til at slette sig selv den 24. juni 2012. Virussen udnyttede såkaldte "zero-day vulnerabilities" - kendte sikkerhedshuller i software og systemer, som endnu ikke er blevet rettet af producenterne.
Kan sprænge en olieplatform i luften
– Hvad sker der, hvis en virus får en strømgenerator på en olieplatform til at løbe løbsk? spørger Boye Tranum og svarer selv:
– Efter et stykke tid vil der komme gnister. Hvis det samtidig lykkes dig at skabe en gaslækage, ved at åbne nogle haner, får du en eksplosion. Det vil sætte olieplatformen ud af drift i meget lang tid. Det er blot en af mange måder at neutralisere en olieplatform på.
Boye Tranum er en af Norges førende eksperter i cybersikkerhed i energisektoren. I en årrække har han hjulpet virksomheder med sikkerhedsforbedringer, især inden for cybersikkerhed. Han har også ledet flere uafhængige beredskabsvurderinger for olie- og gasoperatører. Derudover har han arbejdet med cybersikkerhed for Petroleum Safety Authority og er medansvarlig for en række af DNVs cybersikkerhedsrapporter, herunder: Cyber Priority 2023
Stadig flere digitale trusler
Virksomheder oplever stadig flere digitale sikkerhedstrusler. Det er krævende at få overblik over sin egen sikkerhedsstatus, om man er beskyttet mod angreb og hvordan man kan øge det digitale sikkerhedsniveau. Energisektoren med elproducenter, netværksselskaber, olie- og gasselskaber er særligt udsatte. Mange aktører, både kriminelle netværk og nationer, ønsker at stjæle teknologi. Derudover står energisektoren bag kritiske dele af landets infrastruktur og er dermed et ekstra sårbart mål for cyberangreb.
Boye Tranum advarer mod lange værdikæder, og at der normalt er mange leverandører involveret i forskellige projekter. Han siger, at uopdagede sårbarheder langs forsyningskæden kan underminere et selskabs interne cybersikkerhedsindsats.
I slutfasen af et projekt, hvor alt skal sættes sammen og produktionen skal i gang, er man særligt sårbar overfor sikkerhedstrusler.
- Da der er meget lidt styr på alt, hvad der foregår, kan det være nemt at få malware ind, siger Tranum og fortsætter:
Små og mellemstore virksomheder er også sårbare over for hackerangreb. Nogle af dem leverer små og specialiserede systemer, hvor der kan være en bagdør ind til hovedsystemerne, der styrer kritiske komponenter.
Boye Tranum, DNV
Forskellen på “safety” og “security”
Tranum fremhæver også forskellen mellem en tryghedskultur (safety) og en sikkerhedskultur (security):
- I energisektoren er der en god tryghedskultur, men jeg er ikke sikker på, om sikkerhedskulturen er lige så god.
Han fremhæver et eksempel fra olieplatformene i Nordsøen, som er designet efter tryghedsprincipper. Du har to ventiler til redundans og for at sikre at du ikke får en lækage, men begge ventiler styres af samme system og samme computer.
- En stor del af sikkerhedsmekanismer i energisektoren er styret af IT, som er sårbart. Dermed kan eksterne parter tage kontrol over sikkerhedsbarrierer. Det er en alvorlig designfejl.
DNVs sikkerhedsdirektør fremhæver også forskellen mellem IT (informationsteknologi) og OT (operationel teknologi; systemer, der styrer maskiner, installationer mv.). Selvom det er relativt nemt og risikofrit at opdatere IT med den nyeste sikkerhedssoftware, er det krævende og ofte dyrt at få de nyeste sikkerhedsopdateringer på plads indenfor OT.
- Hvis man vil opdatere en OT-løsning, skal man slukke for systemet og stoppe produktionen. Det kræver meget mere arbejde og er ofte mere omkostningsfuldt at opdatere OT. Derfor går der lang tid mellem hver opdatering, siger Tranum.
Angrebet mod dansk kritisk infrastruktur (2023)
Rapporten “Angrebet mod kritisk dansk infrastruktur” på SektorCerts websitem er lige så spændende som en god krimi! EnergiCert har lavet en detaljeret rapport om det hidtil mest omfangsrige, cyberrelaterede angreb oplevet i Danmark.
Vi anbefaler, at du bruger denne episode som inspiration til at gennemgå din egen kritiske infrastruktur. Alle har kritisk infrastruktur, uanset om du er en forsyningsvirksomhed, en produktionsvirksomhed eller en detailkæde. Det er det, der holder hjulene kørende i din virksomhed.
DNV blev selv angrebet af ransomware
DNV blev selv hacket i januar 2023. Ransomware angrebet låste serverne til ShipManager, et flådestyringssystem. 70 kunder med i alt omkring 1.000 skibe blev berørt.
– Det er ikke flovt at blive hacket. Det bliver mange mennesker. Det vigtige er, at man har systemer, der håndterer at blive hacket, at man har backup og kan gendanne systemerne hurtigt, siger Tranum.
Læs mere om Database Restore Test as a Service her >
Tranum har følgende sikkerhedsråd til virksomheder i energisektoren.
– Skab en vedvarende sikkerhedskultur med regler og rutiner omkring alt, der kan påvirke sikkerheden. Hvis en tekniker skal ind og opgradere et system, må personen ikke gå frit rundt. Der skal være regler for, hvordan det skal gøres. Man kan ikke bare låse døren op og lukke personen ind, slutter Boye Tranum, direktør for Cyber Security Services hos DNV.