Masser af svagheder i fremtidens intelligente elnet
more_vert
close

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og at Teknologiens Mediehus og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, tilbud mm via telefon, SMS og email. I nyhedsbreve og mails fra Teknologiens Mediehus kan findes markedsføring fra samarbejdspartnere.

Masser af svagheder i fremtidens intelligente elnet

Det er lidt som at råbe ulven kommer. Og så alligevel. En række angreb på elnet og kraftværker i Europa og USA har de seneste år dokumenteret, at energisektoren er blevet et primært mål for internationale cyberkriminelle, der angriber af økonomiske eller politiske grunde.

Ulven har altså været forbi energisektoren, og vi kommer til at se meget mere til den, påpeger nogle af Europas førende eksperter i cybersikkerhed i en ny rapport. I takt med at det intelligente elnet, også kaldet smart grid, bliver udrullet i Danmark og andre lande, stiger risikoen for angreb, der kan infiltrere personfølsomme oplysninger eller i værst tilfælde lægge strømforsyningen til hele områder ned.

»It er og bliver fundamentalt afgørende for udrulningen af smart grids. Men den samme afhængighed af it-teknologier er akilleshælen for smart grids,« siger Konstantinos Moulinos.

Han er ekspert i netværkssikkerhed og hovedforfatter på en rapport fra European Network and Information Security Agency, Enisa, der kom kort før jul og er den første reelle uafhængige analyse af truslen mod smart grids fra cyberkriminelle. Ifølge Enisa bliver det kritisk for en sikker udrulning af det intelligente elnet, at aktører på smart grid tænker sikkerhed ind fra starten. Det har man historisk ikke kunnet tage for givet i energisektoren, fordi fokus har været andre steder.

Mikko Hypponen, der er internationalt anerkendt it-sikkerhedsekspert og Chief Research Officer i it-sikkerhedsfirmaet F-Secure, er enig i, at udrulningen af smart grids bliver en udfordring. Særligt set i lyset af det nuværende sikkerhedsniveau i elsektoren, som han mener lader en del tilbage at ønske, når det gælder sikring mod eksempelvis hackerangreb.

»De har lang vej endnu. De fleste af deres sikkerhedsmodeller bygger på en forudsætning om, at de ikke har været forbundne (til eksempelvis internettet, red.). Det bliver de nu,« siger han.

Mikko Hypponen hilser rapporten fra Enisa velkommen, fordi den kan være med til at få elsektoren til at fokusere på it-sikkerhedsproblematikker, der ellers kan virke banale.

»Det er ret grundlæggende stof. Ingen store åbenbaringer her. Men det er en god samling af ting, som bør gøres af alle, som installerer smart grids. Jeg er ikke sikker på, at folk, der har brugt deres karriere på elektriske systemer, er klar over disse områder,« siger han.

Eksempelvis nævner Enisa-rapporten vigtigheden af at understrege, at det kan være risikabelt, hvis udstyr har standardindstillinger med svage passwords og unødige services aktiverede. Noget, som nok vil være banal viden for garvede it-sikkerhedsfolk.

Mikko Hypponen mener, elsektoren står over for samme skifte, som mange virksomheder gennemgik for 10-15 år siden, hvor it og telefoni lå i hver sin afdeling, mens de i dag typisk hører under samme afdeling.

»Der sker en tilsvarende sammensmeltning her. Folk, der plejede kun at beskæftige sig med elektricitet, bliver nu it-folk. Og de bliver nødt til at lære de ting, vi har lært - på den hårde måde - gennem de seneste 25 år i forhold til computersikkerhed. Fordi de kommer online, og de bliver nødt til at være beskyttede,« siger han.

Konstantinos Moulinos er helt med på, at der ligger en udfordring i at få smart grid og it-sikkerhed til at gå op i en højere enhed. Men at skabe sikkerhed i smart grids bliver på ingen måde en let opgave,

»Det er derfor vi understreger vigtigheden arbejdet netop nu,« lyder det fra Moulinos.

Oplagte mål fremover

Elsektoren har allerede fået stigende fokus hos cyberkriminelle, der har lavet angreb i både Europa og USA. Senest blev det tyske transmissionsselskab 50Hertz, der fokuserer på sol- og vindenergi og har 18 millioner kunder, ramt af et denial-of-service-angreb, som dog kun gik ud over administrationssystemer.

Både elnet og kraftværker vil fremover være oplagte mål, og i takt med at der åbnes for ekstern kommunikation fra kraftværker, der traditionelt har kørt med lukkede, interne systemer, stiger risikoen. Det samme gælder risikoen for, at der sker læk af personfølsomme oplysninger, når først intelligente målere og andet smart grid-udstyr med egne kommunikationskanaler udrulles i private hjem og virksomheder.

Og der er andre store svagheder, der tilmed bliver yderst svære at håndtere, påpeger Moulinos over for Ingeniøren. Et mindre kendt eksempel er den software og hardware, der skal bruges til at bygge de intelligente elnet med. Disse produkter er i stor risiko for at blive kompromitteret under produktionen, hvor de kan programmeres med såkaldte 'bagdøre' og 'kill switches'.

»Det er måske den trussel, vi ved mindst om. Men den er yderst reel, svær at opdage og endnu sværere at gøre noget ved,« siger den græske it-rådgiver.

Og hans bekymringer får opbakning i en helt ny rapport fra det danske Center for Cybersikkerhed, der kalder 'supply chain-trusler' for en alvorlig og stigende faktor, der kan forekomme i flere led i produktionskæden.

'En sådan trussel kan f.eks. være til stede som ekstra, skjult software i avancerede programmerbare mikrochips, der i dag bliver hyppigt brugt til opbygning af komplekse styrings- eller kommunikationssystemer,' hedder det i rapporten.

Også private kan blive udsat. Mikko Hypponen fra F-Secure fortæller, at en af udfordringerne ved smart grid eksempelvis kan blive intelligente elmålere ude hos forbrugerne. Der kan vise sig problemer, der kan sammenlignes med de it-mæssige sikkerhedsudfordringer, der er opstået med indførelsen af netbanker.

»Røvere forsøger ikke at hacke en bank, det er meget vanskeligt. I stedet prøver de med hjemmecomputeren eller computeren på kontoret, det er langt lettere,« siger han.

'Plads til forbedring'

Professor Kim Guldstrand Larsen, der blandt andet arbejder med it-sikkerhed i smart grids hos Institut for Datalogi ved Aalborg Universitet, mener, at der er plads til forbedring af it-sikkerheden, hvad smart grid angår.

»Det er mit klare indtryk, at energisektoren ikke har taget it's betydning for smart grid alvorligt, men har troet, at man selv kunne finde løsningerne. Men vi taler om meget avancerede og komplekse protokoller og systemer, og dem bliver der kun mere behov for i takt med, at smart grid udvikles,« siger Aalborg-professoren.

Før det bliver et udbredt problem med hacking af intelligente elnet, så skal folk med onde hensigter dog først have et motiv til at hacke nettene, påpeger Mikko Hypponen. I den forbindelse tvivler han på, at it-kriminelle, der typisk går efter ren økonomisk gevinst, i første omgang vil vælge smart grid som mål, da der er andre, laverehængende frugter.

Mikko Hypponen finder det i første omgang mere realistisk, at stater og terrororganisationer vil kunne udgøre en potentiel trussel mod smart grids.

»Før eller siden vil der være en risiko. Danmark har fjender, så det er måske ikke så usandsynligt.«

Fakta: Tre eksempler på cyberangreb mod energi- og elsektoren

Produktion: Det bedst kendte angreb af denne type er Stuxnet, der var en computerorm målrettet mod iranske atomanlæg og meget svær at opdage. Stuxnet ødelagde formodentlig 1.000 centrifuger ved at ændre deres rotationshastighed. Stuxnet brugte Microsoft- og Scada-systemer fra Siemens til at trænge ind i de ellers lukkede atomanlæg.

Transmission: I starten af december 2012 blev det tyske selskab 50Hertz, der primært leverer el baseret på vedvarende energi, udsat for et denial-of-service- eller DOS-angreb. Det var det første bekræftede angreb mod en systemoperatør og gik primært ud over firmaets domæner. Selve elforsyningen til de 18 millioner kunder blev ikke ramt i denne omgang. Angrebet varede i fem dage.

Forbruger: I 2009 mistede et elselskab i Puerto Rico, USA, flere hundrede millioner dollars efter et angreb på intelligente elmålere. De cyberkriminelle fik adgang via målernes optiske interface, så de kunne ændre det forbrug, som elmåleren registrerede. I Danmark har måler-producenten Kamstrup oplyst, at man ikke kan lave tilsvarende nummer uden at bryde en fysisk plombering.

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først