Upatchede systemer, ingen antivirus og oldgamle Windows-versioner.
Det er virkeligheden for en række vigtige proces- og kontrolsystemer i den amerikanske og britiske energi-, transport- og forsyningssektor, hvilket giver anledning til bekymring på regeringsniveau.
Sikkerhedseksperter melder om tilsvarende problemer i den danske infrastruktur, men i Danmark er de ansvarlige myndigheder ikke så bekymrede.
Det er vores opfattelse, at sikkerheden er på plads, lyder det eksempelvis fra den ansvarlige danske myndighed for el- og gas-forsyningssikkerheden.
Tidligere britisk indenrigsminister bekymret
På it-sikkerhedskonferencen Infosecurity Europe 2009 i London forrige måned udtrykte David Blunkett, tidligere britisk indenrigsminister, bekymring for it-sikkerheden i den nationale infrastruktur, herunder kraftværker og el-forsyningen.
Risikoen for ondsindede angreb samt tilfældige virus-infektioner stiger, efterhånden som krafværkernes og elforsyningens proces- og kontrolsystemer integreres med øvrige administrative it-systemer.
Den bekymring deles i Washington, hvor rapporten Cyber Threats and Vulnerabilities Place Federal Systems at Risk fra den amerikanske regerings Accountability Office udkom i starten af denne måned.
Her hedder det blandt andet: "Den voksende sammensmeltning af informationssystemer, Internettet og andre infrastrukturer giver angribere mulighed for at forstyrre telekommunikation, elforsyning og anden vigtig infrastruktur".
Sikkerhedstest kan lukke systemerne
Tidligere har sikkerhedseksperten Joseph Weiss fra sikkerhedskonsulentfirmaet Applied Control Solutions udtalt til en amerikansk senatskomite, at sikkerheden i proces- og kontrolsystemerne er flere år bagud i forhold til den generelle it-industri:
"Den industrielle kontrolsystemindustri er år bagud i forhold til IT-industrien, når det gælder cybersecurity, og nogle af teknikkerne som anvendes til IT-sikkerhed vil kunne skade kontrolsystemerne," lød det fra Joseph Weiss.
"Hvis du laver penetrationstest på et proprietært industrielt kontrolsystem, så vil du lukke det ned eller dræbe det."
Gamle systemer med sikkerhedshuller
Hos Norman Data Defense Systems kan UK General Manager David Robinson nikke genkendende til David Blunketts og de amerikanske myndigheders bekymringer.
David Robinson arbejdede med kontrol og proces-systemer i 15 år hos virksomheder som Rockwell Automation og Mitsubishi Electric inden han startede som UK General Manager i Norman Data Defense systems i 2004.
Han udtaler til Computerworld:
"Det er en virkelig og meget håndgribelig trussel.
En stor del af den nationale infrastruktur består af gammelt udstyr og gamle styresystemer. Den slags systemer integreres nu med andre systemer som administrative it-systemer. Det betyder, at tidligere isolerede proces- og kontrolsystemer nu kan tilgås fra eksternt hold."
Ifølge David Robinson er et gammelt styresystem som Windows NT meget udbredt i proces- og kontrolsystemer.
Sikkerheds hotfix og support af Windows NT udløb 31. december 2004.
Windows NT, Windows 2000 og OS/2-baserede systemer
Før i tiden var proces- og kontrol-systemerne bygget på proprietær teknologi som den enkelte leverandør udviklede. Nu baserer proces- og kontrolsystemerne sig på almindelig standard hardware og software. Det betyder, at vigtig infrastruktur som energiforsyningen kontrolleres ved hjælp af Windows-maskiner forbundet i IP-netværk.
Det er ofte gamle Windows-versioner som Windows NT og Windows 2000 som proces- og kontrol-systemerne kører på. Ifølge sikkerhedseksperter er Windows-versionerne tit ikke fuldt opgraderede med sikkerhedspatches, ligesom der heller ikke er installeret sikkerhedsprogrammer som anti-virus, da det kan påvirke realtidssystemernes performance.
"Proces- og kontrolsystemerne har ingen eller lille sikkerhed. Windows NT er meget meget almindeligt og de er ofte ikke patched. Traditionelle it-sikkerhedsløsninger som antivirus anvendes ikke grundet inkompabilitet eller fordi realtidssystemerne skal kunne fungere.
Nogle af systemerne kan ikke opgraderes til nyere styresystemer grundet de gamle applikationer, som blev skrevet til Windows NT, Windows 2000 eller endda OS/2 med meget specifikke formål," siger David Robinson.
De samme forhold gør sig gældende i Danmark, mener David Robinsons kollega i Danmark, Bjarne Monrad.
"Det er samme problemstilling i Danmark. Der er mange miljøer, hvor man ikke må installere traditionelle antivirus-løsninger. Det kan være PLC-styring af forskellige maskiner. Det kører processtyring og leverandøren siger, at der ikke må pilles ved systemerne, da der kan komme tidsforsinkelse, hvilket kan påvirke maskinstyringen," siger Bjarne Monrad, administrerende direktør for Norman Data Defense i Danmark.
Integration gør dig mere sårbar
Den slags systemer integreres med det øvrige it-miljø for at få et realtidsbillede af produktionen, yde bedre kundeservice og andre fordele ved integrerede systemer.
Fordelene ved integrationen har dog også nogle sikkerhedsmæssige konsekvenser, som der ikke altid er fokus på. Når proces- og kontrolsystemerne kobles sammen med virksomhedens øvrige netværk, bliver systemerne pludselig meget sårbare over for virus og andet malware, ligesom ondsindede angreb er en bekymring.
"Historisk set har SCADA og PLC-lagene kørt afkoblet fra andre net. Det var proprietære netværk, der via serielle og parallelle kabler bandt enhederne i SCADA-netværket sammen med en kommunikationsprotokol som var leverandørens egen. Indenfor de sidste 10 år har al IT været igennem en tcp/ip-ethernet revolution, så du i dag kan købe en dum føler eller flowmåler, der kan kobles direkte på ethernet. I dag forventer alle, at SCADA-systemer kører på ethernet-TCP/IP," siger Lars Vatne Nielsen fra Logicas industri-division.
Inden Lars Vatne Nielsen kom til Logica havde han 10 års erfaring med SCADA-udstyr fra ansættelser hos Rockwell Automation og Schneider Electric.
Trods sikkerhedsproblematikken gør standardiseringen af systemerne integration enkel og attraktiv for virksomheder, der ønsker et godt indblik i deres produktion og distribution.
"Ledelsen i virksomhederne ønsker at kunne indsamle information direkte fra produktionen eller kraftværket. De kan finde ud af, hvor meget gas, der flyder igennem deres rør. De får på den måde et bedre indblik i deres forretning.
Det kræver monitorering af selve rørledningen, hvor data fødes tilbage den centrale kontrol- og procesenhed, der føder oplysningen videre til den centrale server og ind til et centralt repository for statistik og rapportering," siger David Robinson, der suppleres af Bjarne Monrad:
"Når virksomheder installerer ERP-systemer, så vil man gerne binde virksomheden sammen fra den ene ende til den anden. Den store integration gør dog din produktion sårbar."
Dyrt at udskifte gamle systemer
Et af problemerne med sikkerheden i systemerne, der holder øje med og kontrollerer elforsyningen, vandværkerne og andre vigtige systemer er, at den slags systemer traditionelt har en meget længere levetid end traditionelle it-systemer.
"I produktionsmiljøer med et SCADA-system, der styrer en maskinlinie eller en varmecentral i en kommune, forventes levetiden for systemet at være 8 - 15 år eller måske 10-20 år. Teknologiudviklingen når at overhale SCADA-applikationen mange gange," siger Lars Vatne Nielsen.
Samtidig kan omkostningerne ved at udskifte den slags systemer være meget høje, da det oftest ikke kun er en maskine, men en række sensorer og målepunkter, der også skal udskiftes.
"Den centrale enhed kan måske opgraderes, men de eksterne enheder gør det meget dyrt. Eksempelvis har vandvirksomheder mange fjerntliggende pumpesystemer. Her anvendes telemetri-systemer, hvor fjerntliggende stationer har en meget gammel boks, der kommunikerer med den centrale styringsenhed.
Hvis man opdaterer centralt kræver det samtidig udskiftning af de fjerntliggende enheder. Det bliver hurtigt en meget stor opgave," forklarer David Robinson.
Organisatorisk problem
Det er ikke kun en teknisk og økonomisk udfordring som energi-sektoren står over for. Det er også et spørgsmål om at ændre organisationen i virksomhederne, så de afspejler den mere integrerede virkelighed mellem traditionel it og produktions-it.
"Proces- og kontrolsystemerne hører ikke under it-afdelingen. Fabrikschefen sørger for indkøb af det meste, mens it-chefen står for traditionel it-sikkerhed. Her glemmer man, at kigge ind i produktionshallen," siger Bjarne Monrad, der bakkes op af Lars Vatne Nielsen:
"Der er en ekstrem afkobling mellem automations/produktions-it og forretnings-it. Det mærker man organisatorisk. Der er meget lidt kommunikation mellem automationsfolkene og it-afdelingen. De taler forskellige sprog og har forskellige målsætninger," siger Lars Vatne Nielsen.
Størst bevidsthed om problemer i USA
David Robinson mener, at der er større bevidsthed om problemet i USA end der er i Storbritannien.
"Der er større bevidsthed om det her i USA. I UK har vi CPNI - Centre for the Protection of National Infrastructure. Der kigger man på SCADA-området og giver anbefalinger vedrørende sikkerheden. Man udstikker dog kun retningslinier; der er ingen lovgivning eller krav," siger David Robinson, der gerne så mere håndfaste krav fra den britiske regering:
"Firmaerne der håndterer gas, vand og el er privatiserede. Hvis der ingen lovgivning er, og virksomhederne skal gøre det her af egen fri vilje, så kan det tage meget lang tid."
Men hvordan ser det ud i Danmark?
Computerworld har spurgt en række danske energiselskaber og organisationer, om de kan genkende det bekymrende billede, der tegnes?
Det mener de danske chefer
Computerworld har blandt andre spurgt sammenslutningen af energiselskaber i Danmark, Dansk Energi, om hvorvidt de kan genkende de britiske og amerikanske bekymringer og om sikkerhedseksperternes billede svarer til virkeligheden.
Højtprioriteret sikkerhed overladt til de enkelte
Torben Hvidtsten, kommunikations- og uddannelseschef i Dansk Energi svarer:
"Sikkerhed er højtprioriteret hos vores medlemsvirksomheder, men vi er ikke involveret i den daglige løsning. Det står selskaberne selv for af helt naturlige grunde."
Dansk Energi henviser derfor til de enkelte energiselskaber, for at høre nærmere om sikkerheden.
Hos energiselskabet Dong Energy er IT-direktør Michael Moesgaard meget fåmælt om sikkerheden i Dong Energy's selskaber:
"Vi følger naturligvis med i debatten om it-sikkerheden i den nationale infrastruktur. Af sikkerhedsmæssige årsager kan vi desværre ikke udtale os om de specifikke it-sikkerhedsforhold i DONG Energy," lyder det i en email fra Michael Moesgaard til Computerworld.
Dansk Energi henviser desuden til Energinet.dk, der har det overordnede ansvar for forsyningssikkerheden i Danmark.
Her svarer kommunikationsdirektør Hans Mogensen:
"Når vi er på tilsyn i el- og gassektorerne, ser vi på, om de godt 100 selskabers beredskaber lever op til beredskabsbekendtgørelserne for el og gas.
Bekendtgørelserne siger, at de vigtigste anlæg skal have en lav sårbarhed over for blandt andet funktionssvigt i it-systemerne og elektronisk kommunikation.
Det er vores opfattelse, at selskaberne i el- og gassektoren tager dette ansvar alvorligt, og at der er fokus på de risici, som findes - også hackerangreb," lyder det fra Hans Mogensen.
Energinet.dk har dog ikke noget detaljeret indblik i de enkelte selskabers sikkerhed på proces og kontrolsystemerne.
"Vores tilsyn omfatter selskabernes beredskaber ved eksempelvis it-nedbrud. Vi fører imidlertid ikke tilsyn med, hvilke versioner af forskelligt software, de enkelte selskaber anvender. Men da energi og i særdeleshed strøm er vital for samfundet, er der generel stor fokus på sikkerheden omkring de it-systemer, som styrer forsyningen.
Det er vores opfattelse - uden at have detailviden om de enkelte energiselskabers software - at de i lighed med Energinet.dk arbejder målrettet for at sikre, at udstyr og systemer opretholder et meget højt sikkerhedsniveau," er meldingen fra Hans Mogensen.
Opretholdelse af højt sikkerhedsniveau omfatter ifølge Energinet.dk, at software og firewalls løbende opdateres, samt at sikkerhedsprocedurer og sikkerhedskontroller opdateres.
Hans Mogensen understreger, at der er beredskabsplaner for sikring af forsyningssikkerheden:
"Skulle Danmark blive udsat for alvorlige hackerangreb og skulle det lykkes at komme ind i vitale it-systemer, så er det imidlertid sikret, at der er mulighed for at drive el- og gassystemerne videre på anden vis."
