Inde i maskinen podcast:Microsoft har store planer for Windows 10 efter sommeren

Artikel top billede

Rapport: Sådan kan dansk kritisk infrastruktur hackes

Der er konkret risiko for, at hackere tiltvinger sig adgang til den danske energi-sektors it-systemer. Se her, hvordan det kan lade sig gøre.

Læs også:
Til alle kloge it-folk: Kaspersky har brug for hjælp til at knække kode

Ny tendens: Hackerne har nye kæmpemål i sigte

It-systemer bag el, varme og vand er fyldt med huller

Truslen for cyberangreb rettet mod kritisk dansk infrastruktur som el, vand og varmeforsyning er helt konkret.

Det konkluderer en rapport, som Energistyrelsen har fået udarbejdet af Security Lab ved Alexandra Instituttet.

Rapporten beskriver i detaljer, hvordan angreb i eksempelvis elsektoren sættes ind.

En af scenariebeskrivelserne går så langt, som at omtale sikkerhedsudfordringen for enorm.

På baggrund af talrige eksempler på cyberangreb rettet mod kritisk infrastruktur i udlandet, konkluderer rapporten samtidig, at truslen mod kritisk dansk infrastruktur er helt konkret.

Det er ikke kun rapporten fra Alexandra Instituttet, der sætter fokus på sikkerheden.

Cyberkrig er i dag den største trussel imod landets sikkerhed, viser en ny risikovurdering som Forsvarets Efterretningstjeneste har udarbejdet.

Intelligent styring er lig større usikkerhed
Angribere kan udnytte sårbarheder i de såkaldte SCADA-systemer. De styrer i dag de generatorer, pumper og turbiner, der blandt andet sørger for, at danskerne har strøm i stikkontakten.

Ifølge rapporten er det netværks-infrastrukturen, der benyttes ved SCADA-systemerne, som gør strukturen sårbar overfor hackere.

Det er samtidig meget svært for myndighederne at finde frem til bagmændene, i visse tilfælde helt umuligt. Konsekvensen er derfor, at det er svært for den angrebne part at reagere offensivt.

Her er svaghederne ved det danske system

Forsyningsselskaberne styrer selv sikkerheden
I Danmark ligger ansvaret for it-sikkerheden hos de enkelte forsyningsvirksomheder, og scenarierne behandles derfor som sådan ikke hos Energistyrelsen selv.

"Energistyrelsen behandler ikke rapportens scenarier, og det har ikke været formålet med rapporten. De er indgået i udarbejdelsen af de scenarier, som er udsendt til virksomhederne. Det er de endelige scenarier, der er vurderet af virksomhederne, som har ansvaret for deres it-sikkerhed," siger Uffe Strandkjær, der er konsulent ved Energistyrelsen.

Rapporten er bestilt af Energistyrelsen for at opfylde kravet om risiko- og sårbarhedsvurderinger, der er bestemt i bekendtgørelsen om elsektorens beredskab.

"Energistyrelsen har anvendt rapporten som baggrundsmateriale til at udarbejde korte scenarier om trusler på it-området. Disse scenarier er, sammen med andre scenarier om relevante trusler, anvendt til at udarbejde et samlet sæt scenarier, der er udsendt til virksomheder i el- og naturgassektorerne," siger Uffe Strandkjær.
 
 
Mulighederne for angreb er mange, og i alt fire punkter i SCADA-anlæggene er særligt fremhævede. Det omhandler angreb ved administrative netværk, remote eller onsite vedligeholdelse, software opdateringer og malicious insider.

Sidstnævnte metode fremhæves særligt.

Denne form for angreb, er det sværeste at gardere sig mod, og sikkerhedsudfordringen omkring netop denne form for angreb er enorm, berettes det i rapporten.

Angrebet går ud på, at ondsindede personer i ren James Bond-stil, har mulighed for at plante udstyr, der kan skaffe hackere adgang til SCADA-systemerne.

Ved at benytte sig af rengøringspersonale eller konsulenter, der har adgang til området, kan der installeres malware på systemerne. Eller på anden måde åbnes netværksforbindelser, som angriberne derefter kan udnytte.

Det kunne være ved at placere et trådløst modem i miljøet, som angriberne kan oprette forbindelse til.

Derefter kan angriberne snuse sig frem til SCADA-kontrol-systemer, som nemt kan identificeres, fordi systemerne kontrolleres af SCADA HMI programmer eller PLC programmer, som eksempelvis Siemens benytter.

Nu har angriberne mulighed for at udføre direkte fysisk skade på systemerne. Ved eksempelvis at forøge hastigheden på turbinerne, men samtidig give personalet, der overvåger HMI monitoren, et falsk billede på skærmen. Beskrives det i rapporten.

Så galt går det

Rapporten konkluderer på baggrund af flere sager, at truslerne mod sikkerheden er helt konkret. Og at målene for terrororganisationerne og selv individuelle hackere nu er indenfor rækkevidde.

I år 2000 resulterede et angreb ved en australsk vandforsyning i, at 800.000 liter kloakvand flød ud i floder og parker i Queensland.

Det amerikanske medie CBS afslørerede i programmet Sabotaging The System, at repræsentanter fra den amerikanske efterretningstjeneste, CIA, identificerede et cyberangreb i Brasilien, der førte til strømafbrydelser.

Rapporten beskriver også den berømte Stuxnet orm, der blev opdaget i 2010. Den udnyttede svagheder i industriel software i Siemens-systemer.

En venligstillet hacker kaldet "pr0f" påviste i 2011, at det var muligt at skaffe sig adgang til SCADA-systemer i Texas.

"Det var knap nok et hack. Selv et barn, der ved hvordan HMI, som er inkluderet i Simatic (Siemens-system, red.), fungerer kunne udføre dette," skrev hackeren i en e-mail til Threatpost.

Simulerede tests påviser huller

Ved at simulere cyberangreb på SCADA-systemer, har man i Amerika selv taget pulsen på sikkerheden.

Ingeniører fra Idaho National Labs har påvist, hvordan svagheder i det amerikanske el-net kunne få generatorer, pumper og turbiner til at selvdestruere.

U.S. Department of Homeland Security (DHS) har også testet sårbarheder i SCADA-systemer. DHS har selv udviklet en simulation af et SCADA-system, der bruges som testsystem for at teste sikkerhed i forbindelse med angreb.

Testen af systemet resulterede i et fiktivt angreb, der smadrede generatorer til over 5 millioner kroner. Det kan ses i denne video.

Læs også:
Til alle kloge it-folk: Kaspersky har brug for hjælp til at knække kode

Ny tendens: Hackerne har nye kæmpemål i sigte

It-systemer bag el, varme og vand er fyldt med huller




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere






Premium
Efter Microsofts løfte om at holde data i Europa: "Der falder et stengærde af bekymring fra hjerterne hos alle europæiske dataansvarlige"
Rådet for Digital Sikkerheds Henning Mortensen har haft armene oppe over hovedet siden igår. Micrsoft har lovet at holde alle europæiske brugeres cloud-placerede data i EU. Dog vil formanden gerne se hele udrulningens betingelser på skrift før festen.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Så ofte rammer din sikkerhedsleverandør plet – eller helt ved siden af
Denne uafhængige evaluering fra MITRE ATT&CK giver et billede af styrker og svagheder hos førende udbydere af cybersikkerhedsydelser. Rapporten vurderer bl.a. reaktion og træfsikkerhed på simulerede angreb og af, hvor hurtigt der slås alarm.