Danmarks energisystem er verdens bedste, men truslerne mod systemet vokser: Hvad skal vi gøre?

Klumme: Danmarks energisystem er verdens bedste, men truslen mod systemet vokser. Digitalisering øger nemlig sårbarheden over for hackere, der lurer lige under overfladen, og den ultimative kodebryderteknologi er snart klar til kommercielt brug.

Digitalisering er hot. Mega hot. Analyseinstituttet Gartner forudsiger, at 2018 bliver året, hvor de overdrevne forventninger mister drivkraft og afløses af tvivl og mismod.

Måske er der noget om sagen. Digitalisering er med nogen sandsynlighed lige så hypet i 2018, som nanoteknologi var i 2008 og dot-com var i 1998.

Det ville ikke være første gang, at en teknologisk udvikling fulgte Gartners Hype Cycle fra ”Peak of Inflated Expectations” til ”Trough of Disillusionment”.

Når det er sagt, så er der allerede mange konkrete applikationsmuligheder for de nye teknologier, som lidt diffust defineret alle må siges at falde under begrebet 'digitalisering'.

I vores daglige arbejde har cloud computing med Apples og Googles og Microsofts mange forskellige løsninger ændret vores måde at bruge hverdagsværktøjer på.

Microsoft Word er for eksempel ikke længere et stykke software, som vi køber på en CD-ROM og installerer på vores pc.

Det er en cloudløsning, som vi abonnerer på og bruger på den device, som vi nu en gang har ved hånden, når behovet melder sig, uanset om denne device er en pc, en table, eller en mobiltelefon.

Og dokumentet, som vi arbejder i, ligger ikke på devicen. Det ligger naturligvis i skyen, hvor vi kan få adgang til det fra alle vores andre devices.

Håb om bedre udnyttelse
I energisektoren skaber big data, advanced analytics og artificial intelligence begrundet håb om bedre udnyttelse af allerede installeret kapacitet, idet systematisk analyse af de enorme datamængder, der kommer ud af generatorer, transmissionssystemer, og distributionsnetværk, på en og samme tid kan højne udnyttelsesgraden og sænke omkostningerne.

Data indhentes med sekunders interval fra de mange sensorer, der er indbygget i maskiner og styresystemer på kraftværker, mens droner flyver lavt over lygtepæle og ledninger og opsamler information om forsyningsnettets tilstand.

Den indhentede viden sammenholdes med historiske data for samme eller lignende systemer, og vedligeholdelseshold sendes afsted for at rette op på automatisk identificerede problemer. Og det hele bindes sammen af The Internet of Things, IoT. 

Sårbarheden over for hackere øges
Mulighederne er mange, men netop denne sammenbinding af hundredevis eller endog tusindvis af instrumenter, der alle er forbundet over internettet, giver anledning til helt nye bekymringer: Hackerne lurer lige under overfladen.

Truslen fra cyberangreb er steget voldsomt over de seneste år, både hvad angår antal og omfang.

Robert Hannigan, der indtil for nyligt var Director for det britiske Government Communications Headquarters, GCHQ, der står i spidsen for den britiske regerings forsøg på at dæmme op for cyberkriminalitet, er ikke i tvivl: Russiske statssponsorerede aktører søger at destabilisere vestlige demokratier gennem destruktive angreb på kritisk national infrastruktur, det nordkoreanske diktatur stjæler penge, og kinesiske grupper stjæler strategiske informationer om teknologier og forretningsmodeller.

Alt sammen i cyberspace.

Og Danmark går ikke fri.

Center for Cybersikkerhed under Forsvarets Efterretningstjeneste konkluderede kort før jul, at den største trussel mod landets sikkerhed er cyberangreb.

Især angrebene på kritisk national infrastruktur er bekymrende.

Danmark fik i begyndelsen af december topkarakter i The World Energy Council’s undersøgelse af nationale energisystemer. Vi har faktisk ifølge WEC verdens bedste energisystem.

Det skal vi være stolte af. Men vi kan ikke tage det for givet.

Stabiliteten i energisystemet kan hurtigt blive udfordret. Der er tre forskellige ”flanker”, der alle bør holdes under skarp observation.

Den første flanke: Energivirksomhederne selv
Den første flanke er energivirksomhederne selv.

De kan komme under direkte angreb. Det skete i Ukraine dagen før jul for to år siden.

Tre distributionsselskaber blev hacket samtidig, og det lykkedes hackerne at slukke for strømmen for en kvart million mennesker i flere timer.

På nettet findes flere videoklip, der viser, hvordan kontrolsystemerne i selskabernes kontrolrum kontrolleredes af hackere.

Cursoren bevægede sig simpelthen rundt på skærmen, mens personalet måbende så på.

Forklaringen på, at dette overhovedet er muligt, skal findes i de senere års hastige udvikling inden for de tekniske komponenter, der tilsammen udgør energiproduktions-, transmissions-, og distributions-netværket.

Store dele af dette netværk styres af såkaldte SCADA-systemer. SCADA (Supervisory Control And Data Acquisition) systemer bruges til at kontrollere energinetværket og hente data ud af dette.

Udfordringen med SCADA-systemer og andre kontrolsystemer er, at maskinerne, som de styrer, ganske enkelt ikke er designet med cybersikkerhed in mente.

Sikkerheden omkring en tons-tung generator har for eksempel hidtil bestået af, at det var svært at få adgang til den.

En angriber skulle kravle over hegnet til et kraftværk, snige sig ubemærket gennem dørene, og skaffe sig fysisk adgang til maskinen, hvor SCADA-systemet var placeret.

Det var så godt som umuligt, og sikkerheden i selve SCADA-systemet blev derfor ikke opfattet som vigtig.

Dette har ændret sig på ganske få år.

I dag er så godt som alle SCADA-systemerne koblet på internettet, hvormed sikkerheden i selve systemet er blevet yderst vigtig.

Industrien, der producerer de store maskiner og deres tilhørende SCADA-systemer, har bare ikke nået at udvikle sikkerhedssystemer i samme tempo, som maskinerne er blevet koblet på internettet, hvorfor der i dag er installeret mange systemer med mangelfuld sikkerhed i vores energiforsyningsnetværk.

Den anden flanke: Leverandørerne
Den anden flanke, der bør holdes under observation, er leverandørlandskabet.

Det kan også komme under angreb.

Den industrielle tyske mastodont Siemens, der leverer mange af de maskiner, der bruges i energiforsyningen og inden for mange andre sektorer, meddelte i november sidste år, at selskabet igennem flere år havde været kompromitteret af kinesiske hackere.

Selskabet nævnte endda eksplicit, at dets energidivision var blandt de ramte enheder.

Det har hidtil ikke været muligt at indhente yderligere informationer fra Siemens, der – som de fleste andre hackede virksomheder – holder kortene meget tæt til kroppen, men bekymringen i energisektoren er naturligvis, at der rundt omkring i verdens energiforsyningsnetværk er installeret komponenter, hvori trojanske heste eller andet malware ligger gemt som tikkende bomber.

Svagheder i leverandørlandskabets netværk kan for øvrigt hurtigt blive til svagheder i selve energiforsyningsnetværket.

Mange af de installerede SCADA-systemer forbliver nemlig opkoblet til leverandørernes netværk, selv efter overdragelse af udstyret til energiselskabet.

Dette giver leverandørerne mulighed for at hente data ud af de installerede maskiner, hvilket kan bidrage til en dybere forståelse af maskinerne og forbedrede designs, men det skaber også en ny angrebsmulighed for hackerne.

De kan, foruden energiselskabernes egne netværk, skaffe sig adgang til maskinerne igennem leverandørernes netværk. Der er altså flere veje ind i kontrolsystemerne.

Den tredje flanke: Indirekte skader ved angreb rettet mod andre
Den tredje og sidste flanke er svært håndterbar.

Energisystemet kan simpelthen blive ”collateral damage” for et angreb på andre sektorer, altså lide indirekte skade i forbindelse med angreb, der ikke er rettet mod energisektoren.

Dette skete for danske A. P. Møller-Mærsk i juni sidste år, da virksomhedens forretningsenheder i logistiksektoren (Maersk Line, APM Terminals, og Damco) blev ”collatoral damage” i et cyberangreb i forbindelse med den flerårige og igangværende konflikt imellem Rusland og Ukraine.

Computervirussen ”NotPetya” blev spredt til Mærsks netværk igennem en kompromitteret opdatering af regnskabssoftwaren MeDoc, som virksomheden brugte til at betale skat i Ukraine.

Dette kostede Mærsk et sted mellem 1,3 milliarder og 1,9 milliarder kroner, hovedsageligt på grund af tabte indtægter den efterfølgende måned, hvor it-systemerne kørte suboptimalt eller var helt nede.

Mærsk var ikke det egentlige mål for angrebet, men den ondsindede virus diskriminerede ikke: Den ødelagde alt på sin vej, inklusiv Mærsks systemer.

Den slags angreb er frygteligt svære at beskytte sig imod.

Evnen til at rejse systemer igen
Netop fordi det er så svært at forebygge cyberangreb, advokerer flere ledende eksperter, heriblandt Robert Hannigan, for øget fokus på ”cyber resilience” - det vil sige evnen til hurtigt og effektivt at genrejse systemer, der er blevet lagt ned af hackere. 

Argumentet er, at større virksomheder ganske enkelt ikke kan forvente, at deres hundreder eller tusinder af medarbejdere alle – hver eneste dag – agerer fejlfrit over for de mange cybertrusler, hvorfor sådanne virksomheder rent statistisk bør forvente, at de fra tid til anden bliver ramt af hackerangreb.

Når forebyggelse er meget svært, er behandling måske en bedre investering. 

Den ultimative kodebryderteknologi er snart klar til kommercielt brug
Med øget digitalisering af energisektoren følger øgede udfordringer i forhold til cybersikkerhed.

Energiselskaber, der søger at udnytte nye teknologier til at skabe nye forretningsmuligheder, gør sig som beskrevet ovenfor samtidig sårbare over for cyberangreb.

Men hvad værre er: Angriberne benytter sig også af nye teknologier.

Det er i dag allerede muligt for kriminelle at finde sårbarheder i it-systemer ved brug af robotic process automation.

Det er også allerede muligt at angribe disse sårbarheder systematisk og kraftfuldt ved brug af artificial intelligence.

Men der findes trods alt kryptografiske metoder, der kan sikre information, når dette sendes over for eksempel internettet, så selvom det er svært at beskytte sig, er det i princippet muligt.

I en nær fremtid kan vi ikke engang tage dette for givet. Den ultimative kodebryderteknologi er snart klar til kommercielt brug: Kvantecomputeren er i hastig udvikling.

Kvantecomputeren adskiller sig fundamentalt fra ”klassiske” computere på samme måde, som kvantefysikken adskiller sig fra den klassiske fysik.

Klassiske computere gemmer information i og eksekverer algoritmer på bits, der kan tage værdien et eller nul.

Kvantecomputere gemmer information i og eksekverer algoritmer på qubits, der kan tage værdien et eller nul såvel som alle såkaldte ”koherente superpositioner” af disse.

Lidt forsimplet kan man sige, at den klassiske bit kan være enten et eller nul, mens den kvantemekaniske qubit kan være både et og nul samtidig.

Det åbner helt nye muligheder for at foretage beregninger på en radikalt anderledes måde.

Shors algoritme er måske den mest kendte algoritme skrevet med kvantecomputeren for øje.

Algoritmen er kort fortalt i stand til at faktorisere store tal på en yderst effektiv måde. Prøv at multiplicere 13 med 19.

Det er ikke svært: Resultatet er 247. Prøv derimod at finde frem til de to faktorer (tal), der multipliceret med hinanden giver resultatet 391.

Det er forholdsvis svært: Svaret er 17 multipliceret med 23.

Dette problem løser Shors algoritme, ikke bare for små trecifrede tal som i eksemplerne ovenfor, men for kæmpestore tal større end en milliard milliard millard.

Denne algoritme er yderst interessant for hackere, idet de fleste nuværende kryptografisystemer, der bruges til pengeoverførsler og anden sensitiv kommunikation, er baseret på præcis det faktum, at det er svært at faktorisere store tal fremkommet gennem multiplikation af store primtal. (Lagde du mærke til, at faktorerne ovenfor alle var primtal?)

Med andre ord: Kvantecomputeren kan ved brug af Shors algoritme uden problemer bryde de fleste moderne kryptografiske systemer.

Den universelle kvantecomputer, der vil gøre denne teknologi bredt tilgængelig, er stadig ikke en realitet.

Vi har endnu lidt tid, før hackerne får uhindret adgang til alle vores hemmeligheder.

Men der gøres store fremskridt inden for forskningen i kvantecomputere, så vi må forvente, at hackerne har adgang til teknologien inden for en overskuelig årrække.

IBM’s forskningsprogram inden for feltet, kaldet IBM Q, er blandt de førende i verden.

IBM har en fem-qubit kvantecomputer kørende i sit laboratorium og giver endda helt almindelige internetbrugere direkte adgang til eksekvering af kode på denne igennem et simpelt brugerinterface.

Quantum Computing as a Service (QCaaS) er lige om hjørnet.

IBM vil antageligvis ikke lade hackere bruge selskabets udstyr med ondsindede hensigter, så der er ingen grund til panik.

Men den ultimative kodebryderteknologi er ikke længere science fiction. Den er inden for rækkevidde. Og den udgør et skræmmende nyt våben i hænderne på de allerede alt for velforsynede hackere.

Er det så enden på cybersikkerhed? Ikke nødvendigvis.

En anden kvantefysisk teknologi er nemlig også langt fremme i sin udvikling.

”Quantum Key Distribution” systemer er allerede kommercielt tilgængelige, om end kun fra en lille håndfuld virksomheder og givetvis ikke til en pris, som det typiske energiselskab ønsker at betale.

Teknologien fortjener sin helt egen fortælling, så lad os her kun kort nævne, at en 100 procent sikker kommunikationskanal kan garanteres, hvis man udnytter den kvantefysiske lovmæssighed, at små partikler, som for eksempel spin-polariserede fotoner, bliver irreversibelt påvirkede af målinger af deres ”tilstande”, hvorfor man med sikkerhed vil kunne vide, om nogen lytter med, når sensitiv information sendes igennem sådanne kanaler.

Schrödingers kendte, men esoteriske kat, er både levende og død, så længe ingen kigger, men når nogen gør dette, er det gennem kattens vitale tilstand tydeligt for enhver, at det er sket.

Den evige kamp
Der foregår som ovenstående illustrerer en evig kamp i mellem dem, der ønsker at beskytte informationer og kontrolsystemer, og dem, der ønsker at kompromittere disse.

Nye teknologier i den ene lejr bliver hurtigt udfordret af andre teknologier i den anden.

Den egentlige udfordring i forhold til cybersikkerhed er måske slet ikke teknologisk, men psykologisk eller sociologisk eller politologisk: Individer og organisationer og nationer synes i stigende grad villige til at stjæle, fordærve, eller destruere konkurrenters værdier.

I dette klima må vores energisektor – og mange andre sektorer, for den sags skyld – gøre sit bedste for at beskytte kritisk national infrastruktur samtidig med, at ”cyber resilience” udvikles, trænes og testes.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.





Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Afsløring: KMD kalder det "ny viden" - men selskabet har kendt til problematisk udflytning af persondata siden 2014
KMD har hidtil fastholdt, at det har været "ny viden" for selskabet, at følsomme persondata fra landets jobcentre ikke må sendes ud af landet. En SKI-aftale viser dog, at KMD har kendt til reglerne siden 2014. "Selv i det omfang, at KMD ikke har haft de fornødne juridiske kompetencer, burde alle advarselslamper da have blinket i forhold til teksten i SKI-aftalen," lyder det fra juridisk ekspert.
Computerworld
Google indfører Android-gebyr efter kæmpe EU-bøde: Android-producenter skal nu betale for brug af Google-tjenester
Efter sommerens kæmpe EU-bøde indfører Google licensbetaling for Android-producenters brug af blandt andet Play Store. Men "Android vil forblive gratis og open source," lyder det fra selskabet.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
Test jeres it-sikkerhed gratis i 14 dage med Cisco Stealthwatch - og få rapport med resultaterne direkte i din indbakke
Du kan nu - kvit og frit - teste banebrydende it-sikkerhedsløsninger fra Cisco. Cisco Stealthwatch holder øje med trafikken på dit netværk. Den danner et normalbillede af trafikken og giver dig en advarsel, så snart der sker afvigelser, herunder trafik til og fra printere, laptop-kameraer og lignende, som ikke kan beskyttes med klassisk antivirus-software. Efter 14 dage modtager du en rapport direkte i din indbakke med et samlet overblik over opfangede trusler og et helhedsbillede af adfærden på dit netværk. Når du booker en trial, registrerer vi dig i vores system og retter henvendelse til dig via en af vores partnere inden for ganske få dage. Trialløsningen er enkel at installere og kræver ingen ny hardware.