Artikel top billede

Rapport: Sådan kan dansk kritisk infrastruktur hackes

Der er konkret risiko for, at hackere tiltvinger sig adgang til den danske energi-sektors it-systemer. Se her, hvordan det kan lade sig gøre.

Læs også:
Til alle kloge it-folk: Kaspersky har brug for hjælp til at knække kode

Ny tendens: Hackerne har nye kæmpemål i sigte

It-systemer bag el, varme og vand er fyldt med huller

Truslen for cyberangreb rettet mod kritisk dansk infrastruktur som el, vand og varmeforsyning er helt konkret.

Det konkluderer en rapport, som Energistyrelsen har fået udarbejdet af Security Lab ved Alexandra Instituttet.

Rapporten beskriver i detaljer, hvordan angreb i eksempelvis elsektoren sættes ind.

En af scenariebeskrivelserne går så langt, som at omtale sikkerhedsudfordringen for enorm.

På baggrund af talrige eksempler på cyberangreb rettet mod kritisk infrastruktur i udlandet, konkluderer rapporten samtidig, at truslen mod kritisk dansk infrastruktur er helt konkret.

Det er ikke kun rapporten fra Alexandra Instituttet, der sætter fokus på sikkerheden.

Cyberkrig er i dag den største trussel imod landets sikkerhed, viser en ny risikovurdering som Forsvarets Efterretningstjeneste har udarbejdet.

Intelligent styring er lig større usikkerhed
Angribere kan udnytte sårbarheder i de såkaldte SCADA-systemer. De styrer i dag de generatorer, pumper og turbiner, der blandt andet sørger for, at danskerne har strøm i stikkontakten.

Ifølge rapporten er det netværks-infrastrukturen, der benyttes ved SCADA-systemerne, som gør strukturen sårbar overfor hackere.

Det er samtidig meget svært for myndighederne at finde frem til bagmændene, i visse tilfælde helt umuligt. Konsekvensen er derfor, at det er svært for den angrebne part at reagere offensivt.

Her er svaghederne ved det danske system

Forsyningsselskaberne styrer selv sikkerheden
I Danmark ligger ansvaret for it-sikkerheden hos de enkelte forsyningsvirksomheder, og scenarierne behandles derfor som sådan ikke hos Energistyrelsen selv.

"Energistyrelsen behandler ikke rapportens scenarier, og det har ikke været formålet med rapporten. De er indgået i udarbejdelsen af de scenarier, som er udsendt til virksomhederne. Det er de endelige scenarier, der er vurderet af virksomhederne, som har ansvaret for deres it-sikkerhed," siger Uffe Strandkjær, der er konsulent ved Energistyrelsen.

Rapporten er bestilt af Energistyrelsen for at opfylde kravet om risiko- og sårbarhedsvurderinger, der er bestemt i bekendtgørelsen om elsektorens beredskab.

"Energistyrelsen har anvendt rapporten som baggrundsmateriale til at udarbejde korte scenarier om trusler på it-området. Disse scenarier er, sammen med andre scenarier om relevante trusler, anvendt til at udarbejde et samlet sæt scenarier, der er udsendt til virksomheder i el- og naturgassektorerne," siger Uffe Strandkjær.
 
 
Mulighederne for angreb er mange, og i alt fire punkter i SCADA-anlæggene er særligt fremhævede. Det omhandler angreb ved administrative netværk, remote eller onsite vedligeholdelse, software opdateringer og malicious insider.

Sidstnævnte metode fremhæves særligt.

Denne form for angreb, er det sværeste at gardere sig mod, og sikkerhedsudfordringen omkring netop denne form for angreb er enorm, berettes det i rapporten.

Angrebet går ud på, at ondsindede personer i ren James Bond-stil, har mulighed for at plante udstyr, der kan skaffe hackere adgang til SCADA-systemerne.

Ved at benytte sig af rengøringspersonale eller konsulenter, der har adgang til området, kan der installeres malware på systemerne. Eller på anden måde åbnes netværksforbindelser, som angriberne derefter kan udnytte.

Det kunne være ved at placere et trådløst modem i miljøet, som angriberne kan oprette forbindelse til.

Derefter kan angriberne snuse sig frem til SCADA-kontrol-systemer, som nemt kan identificeres, fordi systemerne kontrolleres af SCADA HMI programmer eller PLC programmer, som eksempelvis Siemens benytter.

Nu har angriberne mulighed for at udføre direkte fysisk skade på systemerne. Ved eksempelvis at forøge hastigheden på turbinerne, men samtidig give personalet, der overvåger HMI monitoren, et falsk billede på skærmen. Beskrives det i rapporten.

Så galt går det

Rapporten konkluderer på baggrund af flere sager, at truslerne mod sikkerheden er helt konkret. Og at målene for terrororganisationerne og selv individuelle hackere nu er indenfor rækkevidde.

I år 2000 resulterede et angreb ved en australsk vandforsyning i, at 800.000 liter kloakvand flød ud i floder og parker i Queensland.

Det amerikanske medie CBS afslørerede i programmet Sabotaging The System, at repræsentanter fra den amerikanske efterretningstjeneste, CIA, identificerede et cyberangreb i Brasilien, der førte til strømafbrydelser.

Rapporten beskriver også den berømte Stuxnet orm, der blev opdaget i 2010. Den udnyttede svagheder i industriel software i Siemens-systemer.

En venligstillet hacker kaldet "pr0f" påviste i 2011, at det var muligt at skaffe sig adgang til SCADA-systemer i Texas.

"Det var knap nok et hack. Selv et barn, der ved hvordan HMI, som er inkluderet i Simatic (Siemens-system, red.), fungerer kunne udføre dette," skrev hackeren i en e-mail til Threatpost.

Simulerede tests påviser huller

Ved at simulere cyberangreb på SCADA-systemer, har man i Amerika selv taget pulsen på sikkerheden.

Ingeniører fra Idaho National Labs har påvist, hvordan svagheder i det amerikanske el-net kunne få generatorer, pumper og turbiner til at selvdestruere.

U.S. Department of Homeland Security (DHS) har også testet sårbarheder i SCADA-systemer. DHS har selv udviklet en simulation af et SCADA-system, der bruges som testsystem for at teste sikkerhed i forbindelse med angreb.

Testen af systemet resulterede i et fiktivt angreb, der smadrede generatorer til over 5 millioner kroner. Det kan ses i denne video.

Læs også:
Til alle kloge it-folk: Kaspersky har brug for hjælp til at knække kode

Ny tendens: Hackerne har nye kæmpemål i sigte

It-systemer bag el, varme og vand er fyldt med huller




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere