Energinet: Vi har ikke et sikkert sted til it-beredskabsplaner

Illustration: Dong Energy

Hvilke it-systemer skal hurtigst muligt op at køre, hvad gør vi, hvis cyberkriminelle krypterer vores data og forlanger løsepenge, og hvordan kommunikerer vi egentlig, hvis it-netværket er lukket ned?

Mange af de svar kan man finde i de it-beredskabsplaner, som 62 dansk el- og gasselskaber afleverede for første gang ved nytår.

It-beredskabsplaner er blevet lovpligtige for it-systemer, der er kritiske for produktion eller forsyning af elektricitet eller naturgas i Danmark og skal dæmme op for eventuelle cyberangreb fra kriminelle eller fremmede statsmagter.

Men det møder kritik fra el-selskaberne, at tilsynsmyndigheden Energinet insisterer på at få den samlede beredskabsplan tilsendt.

Den kritik kommer op til, at Folketinget er på vej med en opdatering af lovgivningen om it-beredskabsplaner inden for el- og gassektoren, som understreger, at de komplette it-beredskabsplaner skal udleveres til myndighederne.

»It-sikkerhed er et ekstremt vigtigt element i elforsyningen, som elselskaberne arbejder meget seriøst med. Derfor har selskaberne også forberedt de beredskabsplaner, der efterlever myndighedernes ønsker. Flere elselskaber har dog gjort, som Center for Cybersikkerhed (CFCS) foreslår, og kun indsendt oversigtsdokumenter for beredskabsplanen. Dansk Energi synes, det er ufornuftigt, at selskaber skal indsende fulde planer, da det introducerer en ekstra sårbarhed – Og derfor ser vi også skeptisk på den ændringsbekendtgørelse, der præciserer, at det er de komplette planer, som skal indsendes,« siger Jørgen Christensen, forsknings- og teknologidirektør i Dansk Energi.

Læs også: Energiselskaber halter bagefter med it-sikkerheden

Vil slette planer på sigt

Efter at el- og gasselskaberne har indsendt deres bud på en it-beredskabsplan, har Energinet givet påbud til mindst tre elselskaber, fordi de i første omgang ikke indsendte de komplette beredskabsplaner, men i stedet sendte et oversigtsdokument.

Energinet anerkender dog, at de på nuværende tidspunkt ikke har et system, hvor de kan opbevare it-beredskabsplanerne på en sikker måde. Derfor skal de slettes, når de er blevet gennemgået.

»For at sikre, at lovgivningen overholdes, har vi behov for at se den samlede it-beredskabsplan og ikke bare en indholdsfortegnelse, som visse selskaber har sendt ind. Vi har i dag ikke et sikkert sted at opbevare it-beredskabsplanerne samlet, og derfor er det også vores intention at destruere it-beredskabsplanerne, når vi er færdige med sagsbehandlingen. Så vi gemmer ikke it-beredskabsplanerne på sigt,« siger Malene Hein Nybroe, afdelingsleder for beredskab i Energinet.

Hun fortæller, at Energinet fortsat er i gang med at gennemgå de it-beredskabsplaner, som blev indsendt til Energinet 1. januar, og at beredskabsplanerne altså stadig er samlet hos Energinet.

Energinet har ikke et ønske om at kombinere de fysiske tilsyn med sagsbehandling af it-beredskabsplaner, sådan som Center for Cybersikkerhed (CFCS) gør på teleområdet.

»Når vi er ude på et tilsyn, ønsker vi ikke at lave sagsbehandling af beredskabsplanerne, men i stedet lave stikprøver, og se hvordan beredskabet fungerer i praksis. Vores oplevelse er, at el- og gasselskaberne er kommet godt i gang med at løfte opgaven med it-sikkerhed, også selvom der fortsat er forskel på, hvor langt selskaberne hver især er kommet,« siger Malene Hein Nybroe.

Der er også en tidsfaktor, som gør, at Energinet ikke mener at kunne nå det hele.

»Alle selskaberne afleverede it-beredskabsplaner til os 1. januar 2018 – og vi skal godkende dem. Alle virksomheder skal aflevere en opdateret plan til os igen inden 1. september 2018. Vores fortolkning af bekendtgørelsen betyder, at dette ikke giver mening, medmindre vi sagsbehandler og godkender planerne, inden de skal lave en opdateret version af dem. Vi har ingen mulighed for at nå at holde tilsyn med alle selskaberne i samme korte tidsperiode,« siger Malene Hein Nybroe.

Kombinationen af tilsyn og gennemgang af it-beredskabsplaner er dog netop, hvad Center for Cybersikkerhed gør, når de skal sikre sig, at teleselskaberne har de nødvendige beredskabsplaner til at holde deres netværk kørende, selvom Danmark bliver udsat for cyberangreb.

»Center for Cybersikkerhed indsamler ikke systematisk beredskabsplaner fra teleudbyderne, men fører løbende tilsyn med teleudbyderes beredskab i henhold til de beredskabsforpligtelser, de er pålagt i forhold til lov om Net- og informationssikkerhed og specielt bekendtgørelse om informationssikkerhed og beredskab i net og tjenester.« Sådan skriver CFCS i en mail til Ingeniøren.

Frygten fra Dansk Energi er, at en fremmed statsmagt har held til at få fingre i alle beredskabsplaner og dermed ved, hvordan el- og gasselskaberne vil reagere på en cyberangreb.

»Hvis man får fingre i beredskabsplanerne, kan man sætte et effektivt anden-bølge-angreb ind, hvis man eksempelvis ved, hvordan elselskaberne vil kommunikere i nødsituationer, eller hvem der har adgang til hvad. Man burde kigge mod teleområdet, hvor CFCS har muligheden for at få planerne, hvis de skønner det nødvendigt, men de indsamler dem ikke per default. CFCS besidder en række spidskompetencer inden for it-sikkerhed og cyberangreb, og derfor er det tankevækkende, at man ikke følger deres eksempel, når man laver bekendtgørelser på energiområdet, «siger Jørgen Christensen.

Energisektoren er sent ude

En it-beredskabsplan er langtfra kun interessant for dem, der skal forsvare et it-system mod angreb. Sådan lyder det fra en sikkerhedsekspert.

»En beredskabsplan består af to elementer. En åben, der beskriver de principper og standarder, man arbejder ud fra, og som kan ligge på hjemmesiden, og så en lukket detaljeret plan, der eksempelvis beskriver, hvem der har nøgler til hvad, og hvem der gør hvad hvornår. Den sidste del af beredskabsplanen vil angribere rigtigt gerne have fingre i, da de bedre kan tilrettelægge et angreb, hvis de ved, hvordan energiselskaberne vil forsvare. Så man skal være meget opmærksom på, hvordan man opbevarer it-beredskabsplanerne,« siger Luke Herbert Hansen, ph.d., konsulentchef for F-Secures danske konsulent-afdeling.

Selvom cyberangreb har været på dagsordenen i efterhånden en del år, så er det først for nylig, at lovgivning om it-sikkerhed inden for kritisk infrastruktur er blevet realiseret.

»Forsyningssektoren har længe skubbet spørgsmålet om it-sikkerhed foran sig med henvisning til, at der var ny lovgivning på vej fra både Folketinget og EU, og derfor er man kommet meget sent i gang med at udvikle forsvarsmekanismer, f.eks. it-beredskabsplaner. Der har været stor uenighed om, hvad kritisk infrastruktur egentlig bør være. Men nu er alle på tværs af EU enige om, at energisektoren er kritisk infrastruktur,« siger Luke Herbert Hansen.

Læs også: Statslige hackere angriber industriens kontrolsystemer

I december 2015 blev to ukrainske elselskaber hacket, og 250.000 indbyggere blev påvirket af strømudfaldet. Og for nylig har USA anklaget Rusland for at angribe det amerikanske elnet.

Det er endnu ikke lykkedes for hverken statsmagter eller cyberkriminelle at lukke for hverken strømmen eller gassen i Danmark. Men det betyder langt fra, at det danske el- og gasnet ikke bliver forsøgt infiltreret. Det gør det faktisk hver dag, har Dansk Energi tidligere fortalt til Ingeniøren.

»Stort set hver dag bliver el- og gasselskaber udsat for it-angreb, og Forsvarets Efterretningstjeneste vurderer, at truslen er høj. Det er dog stort set kun på vores Office-it-systemer, at vi oplever angreb, og vi har ikke kendskab til angreb direkte på Scada-systemer eller andre kontrolsystemer. Og indtil videre har ingen haft held med at skabe en strømafbrydelse i Danmark,« siger Jørgen Christensen, Forsknings- og teknologidirektør i Dansk Energi.

Læs også: Hackere forårsagede massivt strømnedbrud i Ukraine

Og det kan være næsten umuligt at skelne mellem cyberkriminelle, der vil fiske efter en økonomisk gevinst, eller fremmede statsmagter, der udfører spionage eller sågar planlægger at angribe kritisk infrastruktur.

»Det er meget svært at afgøre: om en fremmed statsmagt blot lytter med, altså udfører spionage, eller faktisk er i gang med et reelt angreb. Når udefrakommende placerer et stykke software, så er det ofte modulopbygget, så det starter med bare at lytte og kan så udbygges til reelt at angribe og lukke systemer ned. Så selv om vi ikke har set så mange eksempler på direkte angreb på kritisk infrastruktur, så er det ikke ensbetydende med, at der ikke bliver forsøgt indtrængning i det danske energisektor, for det gør i stor stil andre steder i verden,« siger Luke Herbert Hansen.

Han understreger, at ikke er nok at lave risikovurderinger og beredskabsplaner på gråt papir en gang om året. Der er også brug for at simulere angreb med jævne mellemrum, så alle i en organisation ved, hvordan de skal agere.

»Man risikerer at lave et papir, der ryger i skuffen, og når det faktisk skal bruges, er der ingen, der kender til det,« siger Luke Herbert Hansen.

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Sikkert ? hvorledes sikkert ? Er der GDPR oplysninger i beredskabsplanerne (i givet fald er der et overordnet problem) ? Kommer de i papirform ? Det kan da ikke koste alverden at etablere nogle servere som replikerer i et par sikre serverrum - hos KMD f.eks.

  • 0
  • 1

Hvis det er nødvendigt at omgærde beredskabsplanerne med så stor hemmelighedskræmmeri, duer planerne næsten per definition ikke.

Det sidste man har brug for i en nødsituation, er at personalet skal til at læse et helt ringbind som indtil da har været hemmeligt for dem.

Det er klart at enhver beredskabsplan har et hemmeligt appendix med telefonnumre, placering af nøgler osv. Men bortset fra dette appendix skal en nødplan kunne holde til offentliggørelse uden at svække sikkerheden eller beredskabet.

Kan den ikke det, er den ikke god nok.

Min erfaring er at den primære grund til hemmelighedskræmmeri over beredskabsplaner, i det offentlige såvel som det private, er den fuldt ud berettigede kritik planen ville blive mødt med, hvis den kom til offentlighedens kendskab.

  • 4
  • 0

Det sidste man har brug for i en nødsituation, er at personalet skal til at læse et helt ringbind som indtil da har været hemmeligt for dem.

Planerne er naturligvis ikke hemmelige for de ansatte der arbejder i den enkelte virksomhed og har dette ansvarsområde... Kritikken går på at samle 62 selskabers hemmelige beredskabsplaner et centralt sted.

Den overordnet plan er heller ikke hemmelig. Det er kun den detaljeret plan der er det...

  • 1
  • 0

Kritikken går på at samle 62 selskabers hemmelige beredskabsplaner et centralt sted.

Jeg synes du skal læse op på "Security by Obscurity". Tl;DR: Det virker ikke.

Det gør ingen forskel om det er en eller 62 selskabers planer vi taler om.

Hvis noget, burde de 62 selskaber dele planerne med hinanden, så gode og dårlige ideer kan blive diskuteret og tænkt over af folk der er inde i stoffet.

  • 4
  • 0

Hvis noget, burde de 62 selskaber dele planerne med hinanden, så gode og dårlige ideer kan blive diskuteret og tænkt over af folk der er inde i stoffet.

Hvilket de også gør...

Da jeg var med i en arbejdsgruppe omkring It-sikkerhed (ikke pga. nogen særlig viden om IT-sikkerhed, men udelukkende pg. viden om hvad vi havde af udstyr på stationerne og hvordan vi kommunikerede med det) havde vi også ERFA-grupper på tværs af selskaberne for at få viden om hvordan andre gjorde...

Der er heller ingen der brokker sig over at Energinet skal se planerne og at CFCS skal godkende niveauet. De enkelte selskaber hyrer også deres egne eksterne eksperter til at kontrollerer at vi overholder de standarder som vi påstår at vi følger og til at forsøge at få adgang til systemerne. Kritikken går udelukkende på at man skal sende de hemmelige planer til Energinet, som vil opbevarer dem samlet uden at ville garanterer at de opbevarer dem forsvarligt.

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten