Sikkerhedsekspert: Industriens gamle scada-systemer kan godt beskyttes
more_vert
close

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
By signing up, you agree to our Terms & Conditions and agree that Teknologiens Mediehus and the IDA Group may occasionally contact you regarding events, analyzes, news, offers, etc. by telephone, SMS and email. Newsletters and emails from Teknologiens Mediehus may contain marketing from marketing partners.

Sikkerhedsekspert: Industriens gamle scada-systemer kan godt beskyttes

Industrielle kontrolsystemer kan beskyttes, hvis man vender deres svagheder til styrker, mener sikkerhedsekspert fra Energinet. Illustration: Schneider Electric

Når samlebåndene ruller, pumperne kører og maskinerne arbejder i de danske produktionsvirksomheder, styres processerne af kontrolsystemer, f.eks. såkaldte scada-systemer, der kører på gamle operativsystemer som Windows XP eller ældre.

Det kan få alle it-sikkerhedsfolk til at ryste på hovedet og frygte cyberangreb, fordi de ikke mener, systemerne kan beskyttes ordentligt.

»Industrielle it-systemer er traditionelt tænkt som ø-drift, hvor data ikke skal flyde på tværs af netværk. Det betyder, at data kører over gamle protokoller uden kryptering, hvilket får mange it-folk til at ryste på hovedet,« som det på Infosecurity-konferencen i Øksnehallen blev udtrykt af Mikael Vingaard, sikkerhedsekspert og it- beredskabskoordinator i Energinet.

Men det er en myte, at den type industriel it ikke kan beskyttes mod cyberangreb, mener han.

»Industriel it, der bruges til at interagere med den fysiske omverden, er ikke umuligt at beskytte. For de industrielle kontrolsystemer er statistiske og ændrer ikke konstant funktionalitet, netværk og arkitektur, som man ofte ser i komplekse it-miljøer. Derfor er det nemmere at opdage, når udefrakommende forsøger at trænge ind,« siger Mikael Vingaard.

Ved siden af jobbet som it-beredskabskoordinator i Energinet driver Mikael Vingaard en såkaldt honeypot, et fiktivt industrielt netværk, der indsamler viden og data om, hvordan hackere forsøger at kompromittere samfundets kritiske infrastruktur eller virksomheders produktionssystemer.

Der er forholdsvis få eksempler på, at danske produktionsvirksomheder er blevet lagt ned af cyberangreb rettet mod kontrolsystemer.

»Jeg får dagligt omkring 13.000 angreb på mit falske netværk, men reelt er kun et eller to af de indtrængningsforsøg interessante. Langt de fleste er malware, som er kendt i forvejen og slet ikke målrettet industrielle systemer,« siger Mikael Vingaard.

Læs også: Lyskryds står pivåbne for hackerangreb

Udnyt svaghederne

Alt for mange produktionsvirksomheder har dog i dag slet ikke overblik over, hvordan datatrafikken flyder mellem deres maskiner, og det gør det svært at fange hackernes indtrængningsforsøg.

»Vi har senest set en ny type malware, der ikke forsøger at skjule sig men 'larmer' meget på netværket. Det viser, at hackerne åbenbart ikke regner med, at nogen lytter. Hvis man faktisk lyttede til den trafik, der passerer på dine netværk, ville du opdage ondsindet software, der har sneget sig ind i kontrolsystemerne,« siger Mikael Vingaard med henvisning til den nye hackergruppe Orangeworm, der specifikt har angrebet produktionsvirksomheder, der laver medicinsk udstyr.

Mens de fleste er vant til, at operativsystemet på den bærbare computer på kontoret jævnligt opdaterer sig selv, så sker det stort set aldrig på de industrielle kontrolsystemer.

Det opfattes traditionelt som en svaghed, men kan faktisk vendes til en fordel, fordi det bliver markant nemmere at spotte unormal adfærd, der kan vise tegn på angreb.

»Vi skal vende svaghederne til styrker. Mange kontrolsystemer har eksempelvis slet ikke evnen til at kryptere datatrafikken. Det kan vi bruge til at overvåge al trafik forholdsvist nemt. Også fordi det industrielle udstyr ikke sender særligt store mængder data. Når man kender rytmen i sit miljø, kan man definere, hvad der er normalt og sætte en alarm til, hvis der er afvigelser. Det giver nul falske positiver,« siger Mikael Vingaard.

Læs også: Statslige hackere angriber industriens kontrolsystemer

Opdagede sårbarhed med udstyr købt via Den Blå Avis

I kølvandet på det første kendte angreb på kritisk industriel infrastruktur, der fandt sted mod to elværker i Ukraine i 2015, fandt den amerikanske sikkerhedsorganisation ICS fem sikkerhedshuller, der gjorde det muligt for hackerne at lukke for strømmen til tusindvis af ukrainere i timevis.

Læs også: Hackere forårsagede massivt strømnedbrud i Ukraine

Det fik Mikael Vingaard til at købe det samme udstyr, som hackerne brugte, for 350 kroner via Den Blå Avis og selv forsøge at teste sårbarhederne.

»Det tog mig ikke lang tid at finde et sikkerhedshul, som jeg rapporterede til ICS. Jeg troede egentlig bare, jeg havde fundet et af de allerede kendte huller, men det viste sig, at jeg havde fundet et nyt hul, som ingen kendte til i forvejen,« siger han.

Selvom mange kontrolsystemer har en levetid på 25-30 år, så bliver der jævnligt skiftet ud, og det er en god anledning til at stille nye sikkerhedskrav til leverandørerne:

»Vi har for nyligt indkøbt to store scada-systemer i Energinet. Her har vi brugt interne sikkerhedstests i designfasen. Det har været lidt af en øjenåbner for os og har gjort os i stand til at stille konkrete sikkerhedskrav til leverandørerne allerede inden, vi implenterede de nye scada-systemer,« siger Mikael Vingaard.

Læs også: Industrigiganter erkender: It-sikkerhed skal ind på fabriksgulvet