Sikkerhet blir stadig viktigere i møte med flere trusler om dataangrep mot kraftselskapene. (Foto: Jon Petter Evensen, Aftenposten / Scanpix)
Kraftselskapene trener ikke på dataangrep
Risikoen for målrettede angrep mot den norske kraftbransjen øker. Hva gjør selskapene da?
I august 2014 ble over 50 norske bedrifter innen olje- og energibransjen utsatt for dataangrep. Dette var det største angrepet Nasjonal Sikkerhetsmyndighet hadde sett her til lands, skrev NRK på sine nettsider.
Og selv om slike avanserte og målrettede anslag foreløpig er sjeldne, utgjør de en økende del av trusselbildet i verden, forteller Maria B. Line, doktorgradsstipendiat ved NTNU.
Også Telenor og Statoil har vært utsatt for lignende datainnbrudd i løpet av de siste åra.
- Dette er ikke snakk om rampestreker. Angriperne har brukt lang tid på å planlegge. De har kartlagt selskapenes systemer og skrevet spesialdesignede virus. Hensikten er industrispionasje eller sabotasje og det kan være mye penger med i spillet.
I verste fall kan selskapene miste kontrollen over strømforsyninga, og få problemer med å reparere feil i systemet.
Likevel har de de norske kraftselskapene få øvelser for å trene på hva de skal gjøre dersom angrepet er et faktum, sier Line.
I tillegg er systemene bygd opp slik at selskapene har liten mulighet til å se hva inntrengerne driver med dersom de først har brutt seg inn. Angriperne kan rote mye rundt i systemene uten at det synes.
Dermed er det også vanskelig i ettertid å vite hva forbryterne har gjort og hvilken informasjon de har fått med seg.
Gode brannmurer
Ikke sånn å forstå at kraftselskapene er uten beskyttelse mot dataangrep.
- De har flere nivåer av brannmurer, og gode mekanismer for å oppdage angripere på vei inn, sier Line, som sammen kollegaer fra University of California Santa Barbara har undersøkt nettopp hvor godt forberedt kraftselskapene er på dataangrep.
Men det er ikke umulig å komme seg inn.
- Slike systemer blir aldri perfekte. Det er bare snakk om å finne hullene og utnytte dem. Her er det bare angriperens fantasi som setter grensene.
Dessuten kan veien inn også gå igjennom folk som allerede er på innsida. Det dreier seg ofte om at ansatte får en lure-epost med en lenke eller et vedlegg som inneholder skreddersydd programvare.
Når vedlegget eller lenka åpnes, blir programmet lastet inn i maskinen til den ansatte. Dette programmet kan igjen åpne en kanal til angriperne på utsida, slik at de får tilgang til informasjonen i systemet.
I tillegg er USB-minnepinner og andre USB-enheter også blitt en vanlig spredningsmåte, som folk kanskje ikke er like bevisst på ennå, sier Line.
Inntrengerne kan også komme seg inn ved først å infisere en leverandør som så får lovlig tilgang til systemene hos kraftselskapene.
Starter eget sikkerhetsselskap for kraftbransjen
- Det vi ser, er at kraftselskapene ikke øver på hvordan de skal håndtere et slikt angrep, sier Line.
Dermed kan det bli vanskeligere å reagere raskt hvis situasjonen plutselig er der. Hvem skal varsle hvem? Hvordan skal kommunikasjonen gå mest effektivt på tvers av organisasjonen? Hvilke tiltak skal settes i gang?
Line mener det er mer bevissthet rundt temaet blant nettselskapene nå enn tidligere, men at de fortsatt har en lang vei igjen å gå.
IT-sjef Egil Brækken fra Hafslund forteller at de har hatt øvelser på flere typer kriser, inkludert en skrivebordsøvelse på dataangrep.
- Man kan nok aldri få øvd nok, men vi mener det er på et tilstrekkelig nivå i dag. Men gitt at trusselen blir større og det blir flere it-systemer i verdikjeden kan man vurdere å øke nivået, sier han.
Brækken bekrefter at det har vært økt oppmerksomhet rundt temaet i senere tid. Dette er også bakgrunnen for at Hafslund, Statnett og Statkraft er i ferd med å etablere et eget sikkerhetsselskap for kraftbransjen – Kraftcert – for å være bedre forberedt på angrep.
Han mener imidlertid at sikrere systemer aldri kan avverge alle angrep.
- Man må selvfølgelig sikre at brannmurene er gode og at systemene er oppdaterte, men den enkleste veien inn er via hver enkelt ansatt. Derfor blir bevisstgjøring om farene fra for eksempel e-poster like viktig.
God trening
Line fra NTNU mener heller ikke at flere overvåkningsmekanismer nødvendigvis er svaret på alt. De kan vise seg å bli svært dyre og kompliserte sett i forhold til hvor stor risiko det er for å bli angrepet, og hvor alvorlige konsekvensene kan bli.
I mange tilfeller kan det være vanskelig å måle hvor stor skade et innbrudd har gjort.
Angrepene på olje- og energibransjen i august dreide seg sannsynligvis om industrispionasje. Men hva fant inntrengerne ut? Og hva skulle de med informasjonen?
En eventuell kostnad ved innbruddene er ikke så lett å regne om i kroner og ører. I tillegg kan nok et stort sabotasjeangrep virke litt urealistisk, fordi vi tross alt ikke har opplevd noe slikt før. Likevel mener Line at øvinger er en god investering.
- Det er god trening i å tenke kreativt og finne løsninger, sier hun.
Referanse:
Studien skal presenteres på Smart Energy Grid Security Workshop (SEGS) 2014 i Scottsdale, Arizona, USA, 7. november 2014.