Energiselskaber halter bagefter med it-sikkerheden

Danske energiselskaber er forsinkede med it-trusselsvurderinger og beredskabsplaner Illustration: Energinet.dk

Danske energiselskaber oplever cyberangreb dagligt, cybertruslen mod det danske energisektor er vurderet til at være høj, og et flertal i Folketinget i det nye forsvarsforlig har afsat 1,4 milliarder kroner til at styrke indsatsen mod cyberangreb. Alligevel har hver tiende energiselskab ikke overholdt reglerne for en ny it-sikkerhedsvurdering- og beredskabsplan.

»Stort set hver dag bliver el- og gasselskaber udsat for it-angreb, og Forsvarets Efterretningstjeneste vurderer, at truslen er høj. Det er dog stort set kun på vores Office-it systemer, at vi oplever angreb, og vi har ikke kendskab til angreb direkte på Scada-systemer eller andre kontrolsystemer. Og indtil videre har ingen haft held med at skabe en strømafbrydelse i Danmark,« siger Jørgen Christensen, Forsknings- og teknologidirektør i Dansk Energi.

62 el- og gasselskaber har så forsyningskritiske it-systemer, at de fremover skal aflevere en risiko- og sårbarhedsvurdering og en it-beredskabsplan hvert år. Det fremgår af en ny bekendtgørelse om it-beredskab for el- og naturgassektorerne, der trådte i kraft sidste år.

Den vurdering og beredskabsplan skulle første gang afleveres henholdsvis 1. september 2017 og 1. januar 2018.

Selvom truslen altså anses for at være høj, så har flere selskaber ikke overholdt de to deadlines. De har derfor fået påbud af Energinet, som er tilsynsmyndighed på området.

»Seks selskaber har ikke indsendt it-ROS-vurderingen til tiden i september 2017, og seks selskaber har heller ikke indsendt en it-beredskabsplan ved årsskiftet som krævet. Vi har også sendt en række påbud med krav om revidering af it-beredskabsplanerne, fordi planerne ikke levede op til bekendtgørelsens krav,« siger Erik Wolf-Petersen, Beredskabskoordinator hos Energinet.

Værst tænkelige scenarier

Hele øvelsen handler om at udtænke mulige scenarier ved cyberangreb på eksempelvis elnettet.

»I en beredskabssituation skal man være i stand til at agere hurtigt hvis selskabets forsyningskritiske it-systemer kompromitteres. Derfor er det vigtigt, at man har tænkt mulige scenarier igennem, og har forberedt sig på situationen i sin it-beredskabsplan. Det er det it-ROS’en er en del af grundlaget for, « siger Erik Wolf Petersen og fortsætter:

»I en sådan situation skal selskabet forsøge at opretholde forsyningen, orientere kunder, Energinet, selskabets it-sikkerhedstjeneste og eventuelle leverandører. Det fordrer selvsagt, at man har en god og gennemprøvet it-beredskabsplan der er tænkt sammen med virksomhedens øvrige beredskab for at kunne håndtere en sådan situation.«

Gør klar til tilsyn

Selvom ikke alle selskaber er i mål med at lave risikovurderinger og beredskabsplaner, så har de nye redskaber dog haft en positiv effekt mange steder.

»Vi kan se, at arbejdet med at udarbejde it-risikovurderinger og it-beredskabsplaner i selskaberne skaber stor værdi, da det har givet anledning til et ganske seriøst arbejde med at løse de beredskabsmæssige udfordringer der er, og vil komme på it-området. Bl.a. ved at adskille de forsyningskritiske it-systemer fra de administrative systemer, og sikre den rigtige brugeradgang, så det kun er de rette personer der har adgang til de forsyningskritiske it-systemer,« siger Erik Wolf-Petersen.

Han fortæller, at Energinet nu forbereder den første række af tilsyn hos el- og gasselskaberne på baggrund af den nye bekendtgørelse om it-beredskab i el- og naturgassektorerne, og at disse tilsyn vil blive kombineret med de tilsyn Energinet allerede foretager, så den samlede beredskabsplanlægning bliver undersøgt.

Kritiske systemer skal isoleres

Selvom danske energiselskaber oplever angreb på daglig basis, så er der endnu ikke danske eksempler på at cyberkriminelle eller fremmede statsmagter har haft held til at påvirke elnettet i Danmark.

I 2015 blev elselskabet Nrgi udsat for et større angreb, der satte telefoner, hjemmeside og applikation ud af drift. Her havde kriminelle gennem en webserver, som håndterede et legacy-system opnået adgang til 250 af virksomhedens 300 servere. Og adgangen havde været åben i 6-9 måneder inden de kriminelle krypterede filer og forlangte 5 mio. kr. i løsepenge.

En central måde at beskytte elnettet fra cyberangreb er, at beskytte Scada (Supervisory Control And Data Acquisition) systemerne der bruges til at kontrollere energinetværket og hente data ud af dette. Udfordringen med Scada-systemer og andre kontrolsystemer er, at maskinerne, som de styrer, ganske enkelt ikke er desginet til at håndtere den nuværende cybertrussel. Derfor skal de i så høj grad som muligt isoleres fra de it-systemer, der kommunikerer online.

»Vores elnet styres af en række centrale SCADA-systemer, der kører uafhængigt af vores Office-it systemer. Langt de fleste angreb sker mod Office-it systemer. Ved at adskille styringen af elnettet og vores office-it systemer, minimerer vi risikoen for nedbrud på elnettet. Samtidig sørger vi løbende for at opdatere vores Scada-systemer. Mange selskaber har investeret i nye systemer de seneste år, blandt andet for at kunne matche fremtidens intelligente elnet, som også kaldes smart grid,« siger Jørgen Christensen,

Læs også: Statslige hackere angriber industriens kontrolsystemer

I december 2015 blev to ukrainske elselskaber hacket, og 250,000 indbyggere blev påvirket af strømudfaldet. Det formodes at være Rusland, der stod bag det store cyberangreb på elnettet i Ukraine. Hackerne fik adgang til elselskabernes kontrolsystemer og lukkede for strømmen i den ramte region i op til 6 timer. Ifølge Center for Cybersikkerhed har der været flere formodede forsøg på at kompromittere ukrainske elselskaber og andre mål i landet i 2016.

Læs også: Hackere forårsagede massivt strømnedbrud i Ukraine

Trusler er mørklagt

Det er Energinet, der har stået for at sammenfatte konklusionerne fra de 62 selskabers vurderinger af de it-relaterede trusler, de anser som mest kritiske. Men hvilke trusler el- og gasselskaber anser for at være mest kritiske forbliver en hemmelighed.

Men Energinet har afslået at udlevere væsentlige dele af dokumentet, fordi konkrete risici og sårbarheder er af så væsentlig betydning for statens sikkerhed eller rigets forsvar, at de er undtaget for aktindsigt.