Eksperter: Danske kraftværker i hacker-fare

Det er på tide at forbedre sikkerheden i de danske forsyningsvirksomheder, hvis katastrofale konsekvenser som total mørklægning af det danske samfund skal undgås. Det mener konsulentvirksomheden Deloitte.

I en analyse konkluderer virksomheden, at forsyningsvirksomhedernes stigende integration med blandt andet internettet gør de såkaldte Supervisory Control And Data Acquisition (SCADA) systemer sårbare. SCADA-systemerne, der er kerne-systemerne i forsyningsvirksomhederne, har nemlig mange år på bagen. Og rent sikkerhedsmæssigt er de slet ikke gearet til nærkontakt med internettet, vurderer Deloitte.

»Der er gamle systemer, som kræver sikkerhedsopdateringer. Og så har man den udfordring, at det er tidskritiske systemer, så det er svært at finde tid til at lukke ned og patche systemerne,« siger sikkerhedsekspert og partner i Deloitte Jørgen Sørensen til Version2.dk.

En anden udfordring ved at vedligeholde SCADA-systemerne er sikkerhedstjek. En simpel netværksskanning, kan ifølge Deloitte bevirke, at SCADA-systemet begynder at opføre sig mærkeligt. Derfor kan sikkerhedstesten i sig selv udgøre en risiko, hvilket understreger problemets dilemma.

En reel risiko

Der har i følge den amerikanske efterretningstjeneste CIA været eksempler på, at unavngivne forsyningsvirksomheder er blevet nedlagt af, hvad der må formodes at være hackerangreb. Og senest har Version2 omtalt et eksempel, hvor sikkerhedseksperter beviste, at de på (på bestilling fra forsyningsvirksomheden) kunne trænge ind i et amerikansk el-selskab i løbet af en dag - netop via desktop maskiner med internet adgang.

»Eksempler fra udlandet viser jo, at der er tale om en reel risiko. Vi har ikke testet nogen forsyningsvirksomheder i Danmark, for dette problem. Men da man på mange områder er længere fremme med at integrere systemer, så mener jeg, det er en reel risiko, man bør forholde sig til« siger Jørgen Sørensen.

Den reelle risiko virker dog mere teoretisk ifølge en mail til Version2.dk fra Energinet.dk, der har ansvaret for forsyningssikkerheden i Danmark i forhold til el og gas.

"Vi er meget enige med Deloitte i, at det er vitalt for samfundet, at der er stor fokus på sikkerheden omkring de it-systemer, som styrer forsyningen af bl.a. strøm. Derfor arbejder vi i Energinet.dk målrettet for at sikre vores udstyr og systemer, så vi opretholder et meget højt sikkerhedsniveau. Vi opdaterer løbende vores firewalls, sikkerhedsprocedurer og sikkerhedskontroller for netop bl.a. at sikre mod eventuelle hackerangreb. Skulle vi blive udsat for alvorlige hackerangreb, og skulle det lykkes at komme ind i vores it-systemer, så har vi mulighed for at drive el-systemet videre på anden vis," hedder det.

Energinet.dk ønsker dog - af sikkerhedsmæssige årsager - ikke at kommentere på, hvorvidt den selvstændige, offentlige virksomhed har testet it-sikkerheden ved at hyre et hold eksterne sikkerhedseksperter til at 'bryde ind'.

Netop en faktisk test af sikkerheden, mener Jørgen Sørensen, er helt centralt for at se, om sikkerhedsforanstaltningerne nu også kan bære.

Skjulte hackerangreb

Sikkerhedseksperten erkender dog, at hvis det på nuværende tidspunkt var den rene barnemad for eksempelvis terrorister at hacke sig vej ind i en dansk forsyningsvirksomhed, så var det nok sket for længst.

Men Jørgen Sørensen mener ikke, at offentligheden nødvendigvis ville få det at vide, hvis et succesfuldt angreb faktisk skete.

»I 2003 oplevede man i Danmark, Sverige, Italien og Nordamerika større udfald i el-forsyningen. Det skyldes ifølge det oplyste, at der opstod driftsforstyrrelser forårsaget af tekniske fejl og sammentræf. Det viser elværkernes sårbarhed, og derfor bør der være fokus på de trusler, som utilstrækkelig sikkerhed kan medføre« siger han.

Dokumentation

Danske forsyningsvirksomheder er sårbare på it-sikkerheden