Læs også:
Til alle kloge it-folk: Kaspersky har brug for hjælp til at knække kode
Ny tendens: Hackerne har nye kæmpemål i sigte
It-systemer bag el, varme og vand er fyldt med huller
Truslen for cyberangreb rettet mod kritisk dansk infrastruktur som el, vand og varmeforsyning er helt konkret.
Det konkluderer en rapport, som Energistyrelsen har fået udarbejdet af Security Lab ved Alexandra Instituttet.
Rapporten beskriver i detaljer, hvordan angreb i eksempelvis elsektoren sættes ind.
En af scenariebeskrivelserne går så langt, som at omtale sikkerhedsudfordringen for enorm.
På baggrund af talrige eksempler på cyberangreb rettet mod kritisk infrastruktur i udlandet, konkluderer rapporten samtidig, at truslen mod kritisk dansk infrastruktur er helt konkret.
Det er ikke kun rapporten fra Alexandra Instituttet, der sætter fokus på sikkerheden.
Cyberkrig er i dag den største trussel imod landets sikkerhed, viser en ny risikovurdering som Forsvarets Efterretningstjeneste har udarbejdet.
Intelligent styring er lig større usikkerhed
Angribere kan udnytte sårbarheder i de såkaldte SCADA-systemer. De styrer i dag de generatorer, pumper og turbiner, der blandt andet sørger for, at danskerne har strøm i stikkontakten.
Ifølge rapporten er det netværks-infrastrukturen, der benyttes ved SCADA-systemerne, som gør strukturen sårbar overfor hackere.
Det er samtidig meget svært for myndighederne at finde frem til bagmændene, i visse tilfælde helt umuligt. Konsekvensen er derfor, at det er svært for den angrebne part at reagere offensivt.
Her er svaghederne ved det danske system
Forsyningsselskaberne styrer selv sikkerheden
I Danmark ligger ansvaret for it-sikkerheden hos de enkelte forsyningsvirksomheder, og scenarierne behandles derfor som sådan ikke hos Energistyrelsen selv.
"Energistyrelsen behandler ikke rapportens scenarier, og det har ikke været formålet med rapporten. De er indgået i udarbejdelsen af de scenarier, som er udsendt til virksomhederne. Det er de endelige scenarier, der er vurderet af virksomhederne, som har ansvaret for deres it-sikkerhed," siger Uffe Strandkjær, der er konsulent ved Energistyrelsen.
Rapporten er bestilt af Energistyrelsen for at opfylde kravet om risiko- og sårbarhedsvurderinger, der er bestemt i bekendtgørelsen om elsektorens beredskab.
"Energistyrelsen har anvendt rapporten som baggrundsmateriale til at udarbejde korte scenarier om trusler på it-området. Disse scenarier er, sammen med andre scenarier om relevante trusler, anvendt til at udarbejde et samlet sæt scenarier, der er udsendt til virksomheder i el- og naturgassektorerne," siger Uffe Strandkjær.
Mulighederne for angreb er mange, og i alt fire punkter i SCADA-anlæggene er særligt fremhævede. Det omhandler angreb ved administrative netværk, remote eller onsite vedligeholdelse, software opdateringer og malicious insider.
Sidstnævnte metode fremhæves særligt.
Denne form for angreb, er det sværeste at gardere sig mod, og sikkerhedsudfordringen omkring netop denne form for angreb er enorm, berettes det i rapporten.
Angrebet går ud på, at ondsindede personer i ren James Bond-stil, har mulighed for at plante udstyr, der kan skaffe hackere adgang til SCADA-systemerne.
Ved at benytte sig af rengøringspersonale eller konsulenter, der har adgang til området, kan der installeres malware på systemerne. Eller på anden måde åbnes netværksforbindelser, som angriberne derefter kan udnytte.
Det kunne være ved at placere et trådløst modem i miljøet, som angriberne kan oprette forbindelse til.
Derefter kan angriberne snuse sig frem til SCADA-kontrol-systemer, som nemt kan identificeres, fordi systemerne kontrolleres af SCADA HMI programmer eller PLC programmer, som eksempelvis Siemens benytter.
Nu har angriberne mulighed for at udføre direkte fysisk skade på systemerne. Ved eksempelvis at forøge hastigheden på turbinerne, men samtidig give personalet, der overvåger HMI monitoren, et falsk billede på skærmen. Beskrives det i rapporten.
Så galt går det
Rapporten konkluderer på baggrund af flere sager, at truslerne mod sikkerheden er helt konkret. Og at målene for terrororganisationerne og selv individuelle hackere nu er indenfor rækkevidde.
I år 2000 resulterede et angreb ved en australsk vandforsyning i, at 800.000 liter kloakvand flød ud i floder og parker i Queensland.
Det amerikanske medie CBS afslørerede i programmet Sabotaging The System, at repræsentanter fra den amerikanske efterretningstjeneste, CIA, identificerede et cyberangreb i Brasilien, der førte til strømafbrydelser.
Rapporten beskriver også den berømte Stuxnet orm, der blev opdaget i 2010. Den udnyttede svagheder i industriel software i Siemens-systemer.
En venligstillet hacker kaldet "pr0f" påviste i 2011, at det var muligt at skaffe sig adgang til SCADA-systemer i Texas.
"Det var knap nok et hack. Selv et barn, der ved hvordan HMI, som er inkluderet i Simatic (Siemens-system, red.), fungerer kunne udføre dette," skrev hackeren i en e-mail til Threatpost.
Simulerede tests påviser huller
Ved at simulere cyberangreb på SCADA-systemer, har man i Amerika selv taget pulsen på sikkerheden.
Ingeniører fra Idaho National Labs har påvist, hvordan svagheder i det amerikanske el-net kunne få generatorer, pumper og turbiner til at selvdestruere.
U.S. Department of Homeland Security (DHS) har også testet sårbarheder i SCADA-systemer. DHS har selv udviklet en simulation af et SCADA-system, der bruges som testsystem for at teste sikkerhed i forbindelse med angreb.
Testen af systemet resulterede i et fiktivt angreb, der smadrede generatorer til over 5 millioner kroner. Det kan ses i denne video.
Læs også:
Til alle kloge it-folk: Kaspersky har brug for hjælp til at knække kode