Artikel top billede

Rapport: Sådan kan dansk kritisk infrastruktur hackes

Der er konkret risiko for, at hackere tiltvinger sig adgang til den danske energi-sektors it-systemer. Se her, hvordan det kan lade sig gøre.

Læs også:
Til alle kloge it-folk: Kaspersky har brug for hjælp til at knække kode

Ny tendens: Hackerne har nye kæmpemål i sigte

It-systemer bag el, varme og vand er fyldt med huller

Truslen for cyberangreb rettet mod kritisk dansk infrastruktur som el, vand og varmeforsyning er helt konkret.

Det konkluderer en rapport, som Energistyrelsen har fået udarbejdet af Security Lab ved Alexandra Instituttet.

Rapporten beskriver i detaljer, hvordan angreb i eksempelvis elsektoren sættes ind.

En af scenariebeskrivelserne går så langt, som at omtale sikkerhedsudfordringen for enorm.

På baggrund af talrige eksempler på cyberangreb rettet mod kritisk infrastruktur i udlandet, konkluderer rapporten samtidig, at truslen mod kritisk dansk infrastruktur er helt konkret.

Det er ikke kun rapporten fra Alexandra Instituttet, der sætter fokus på sikkerheden.

Cyberkrig er i dag den største trussel imod landets sikkerhed, viser en ny risikovurdering som Forsvarets Efterretningstjeneste har udarbejdet.

Intelligent styring er lig større usikkerhed
Angribere kan udnytte sårbarheder i de såkaldte SCADA-systemer. De styrer i dag de generatorer, pumper og turbiner, der blandt andet sørger for, at danskerne har strøm i stikkontakten.

Ifølge rapporten er det netværks-infrastrukturen, der benyttes ved SCADA-systemerne, som gør strukturen sårbar overfor hackere.

Det er samtidig meget svært for myndighederne at finde frem til bagmændene, i visse tilfælde helt umuligt. Konsekvensen er derfor, at det er svært for den angrebne part at reagere offensivt.

Her er svaghederne ved det danske system

Forsyningsselskaberne styrer selv sikkerheden
I Danmark ligger ansvaret for it-sikkerheden hos de enkelte forsyningsvirksomheder, og scenarierne behandles derfor som sådan ikke hos Energistyrelsen selv.

"Energistyrelsen behandler ikke rapportens scenarier, og det har ikke været formålet med rapporten. De er indgået i udarbejdelsen af de scenarier, som er udsendt til virksomhederne. Det er de endelige scenarier, der er vurderet af virksomhederne, som har ansvaret for deres it-sikkerhed," siger Uffe Strandkjær, der er konsulent ved Energistyrelsen.

Rapporten er bestilt af Energistyrelsen for at opfylde kravet om risiko- og sårbarhedsvurderinger, der er bestemt i bekendtgørelsen om elsektorens beredskab.

"Energistyrelsen har anvendt rapporten som baggrundsmateriale til at udarbejde korte scenarier om trusler på it-området. Disse scenarier er, sammen med andre scenarier om relevante trusler, anvendt til at udarbejde et samlet sæt scenarier, der er udsendt til virksomheder i el- og naturgassektorerne," siger Uffe Strandkjær.
 
 
Mulighederne for angreb er mange, og i alt fire punkter i SCADA-anlæggene er særligt fremhævede. Det omhandler angreb ved administrative netværk, remote eller onsite vedligeholdelse, software opdateringer og malicious insider.

Sidstnævnte metode fremhæves særligt.

Denne form for angreb, er det sværeste at gardere sig mod, og sikkerhedsudfordringen omkring netop denne form for angreb er enorm, berettes det i rapporten.

Angrebet går ud på, at ondsindede personer i ren James Bond-stil, har mulighed for at plante udstyr, der kan skaffe hackere adgang til SCADA-systemerne.

Ved at benytte sig af rengøringspersonale eller konsulenter, der har adgang til området, kan der installeres malware på systemerne. Eller på anden måde åbnes netværksforbindelser, som angriberne derefter kan udnytte.

Det kunne være ved at placere et trådløst modem i miljøet, som angriberne kan oprette forbindelse til.

Derefter kan angriberne snuse sig frem til SCADA-kontrol-systemer, som nemt kan identificeres, fordi systemerne kontrolleres af SCADA HMI programmer eller PLC programmer, som eksempelvis Siemens benytter.

Nu har angriberne mulighed for at udføre direkte fysisk skade på systemerne. Ved eksempelvis at forøge hastigheden på turbinerne, men samtidig give personalet, der overvåger HMI monitoren, et falsk billede på skærmen. Beskrives det i rapporten.

Så galt går det

Rapporten konkluderer på baggrund af flere sager, at truslerne mod sikkerheden er helt konkret. Og at målene for terrororganisationerne og selv individuelle hackere nu er indenfor rækkevidde.

I år 2000 resulterede et angreb ved en australsk vandforsyning i, at 800.000 liter kloakvand flød ud i floder og parker i Queensland.

Det amerikanske medie CBS afslørerede i programmet Sabotaging The System, at repræsentanter fra den amerikanske efterretningstjeneste, CIA, identificerede et cyberangreb i Brasilien, der førte til strømafbrydelser.

Rapporten beskriver også den berømte Stuxnet orm, der blev opdaget i 2010. Den udnyttede svagheder i industriel software i Siemens-systemer.

En venligstillet hacker kaldet "pr0f" påviste i 2011, at det var muligt at skaffe sig adgang til SCADA-systemer i Texas.

"Det var knap nok et hack. Selv et barn, der ved hvordan HMI, som er inkluderet i Simatic (Siemens-system, red.), fungerer kunne udføre dette," skrev hackeren i en e-mail til Threatpost.

Simulerede tests påviser huller

Ved at simulere cyberangreb på SCADA-systemer, har man i Amerika selv taget pulsen på sikkerheden.

Ingeniører fra Idaho National Labs har påvist, hvordan svagheder i det amerikanske el-net kunne få generatorer, pumper og turbiner til at selvdestruere.

U.S. Department of Homeland Security (DHS) har også testet sårbarheder i SCADA-systemer. DHS har selv udviklet en simulation af et SCADA-system, der bruges som testsystem for at teste sikkerhed i forbindelse med angreb.

Testen af systemet resulterede i et fiktivt angreb, der smadrede generatorer til over 5 millioner kroner. Det kan ses i denne video.

Læs også:
Til alle kloge it-folk: Kaspersky har brug for hjælp til at knække kode

Ny tendens: Hackerne har nye kæmpemål i sigte

It-systemer bag el, varme og vand er fyldt med huller




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fellowmind Denmark II ApS
Salg, udvikling, implementering og servicering af software til ERP

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere