Forsker Ruth Østgaard Skotnes ble overrasket da hun fant ut at nettselskapene selv opplever trusselen mot egne systemer som relativt lav. (Illustrasjonsfoto: Colourbox)

Frykter ikke hackere tross daglige angrep

Alt tyder på et reelt trusselbilde mot norske kraftdistributører. Likevel oppfatter ikke selskapene selv trusselen.

Se for deg følgende:

Noen hacker seg inn hos nettselskapene som distribuerer kraft og stenger systemene. Det vil slå ut strømmen i hele området nettselskapet leverer til; som Lyse Elnett i Rogaland, Agder Energi Nett i Agder-fylkene, eller Hafslund Nett som leverer strøm til 1,5 millioner mennesker rundt Oslo-området.

Ved å angripe flere nettselskaper samtidig kan store deler av landet rammes. Tog stopper, fly kan ikke lande, strømmen blir borte, vannet forsvinner og kloakksystemet bryter sammen. Sykehusene har nødaggregater og klarer seg en stund, men over lengre tid vil det være kritisk for liv og helse.

Legg til kald vinter, og det skal ikke mye fantasi til før omfanget av angrepet er klart.

Katastrofefilm

– Dette er det verste som kan skje, et såkalt «worst-case scenario». Konsekvensene for samfunnet vil være enorme, sier Ruth Østgaard Skotnes.

Hun er forsker ved International Research Institute of Stavanger (IRIS) og Senter for risikostyring og samfunnssikkerhet ved Universitetet i Stavanger. Hun har nylig tatt doktorgraden på sikkerhetsstyring av kraftnett.

Du synes kanskje det høres ut som et scenario i en urealistisk katastrofefilm. Den gang ei, ifølge Skotnes.

– Vi må forberede oss på at det usannsynlige kan skje, og trusselbildet mot norske kraftdistributører er i høyeste grad reelt.

Det viser rapporter fra blant andre Nasjonal sikkerhetsmyndighet, fra Politiets sikkerhetstjeneste og regjeringens Nasjonal strategi for informasjonssikkerhet fra 2012.

– Alt tyder på at vi må forvente flere angrep mot driftskontrollsystemer som styrer industrielle prosesser og kritisk infrastruktur framover, sier Skotnes.

Sårbart for angrep

Bruken av informasjons- og kommunikasjonsteknologi (IKT) i distribusjonen av kraft har økt betydelig de siste tiårene. Mens det tidligere var ansatte på hvert større kraftforsyningsanlegg som overvåket og betjente installasjonene, fjernstyres nå anleggene fra et fåtall driftssentraler.

 Tidligere var dette lukkede systemer som var blokkert fra omverdenen, men i dag er systemene også tilknyttet kontorstøtteverktøy og internett. Det gjør systemene sårbare for angrep i tillegg til teknisk svikt.

Skotnes ble derfor overrasket da hun fant ut at nettselskapene selv opplever trusselen mot egne systemer som relativt lav. Dette til tross for at mange av selskapene hadde opplevd forsøk på inntrengning i sine driftskontrollsystem. Noen kunne faktisk fortelle om daglige angrep utenfra.

– Mange har en overdreven tro på eget system og tar for gitt at angrepene ikke kan trenge gjennom. Det står i sterk kontrast til hva forskning og myndighetenes egne rapporter forteller om, sier Skotnes.

Dataorm mot atomprogram

En annen årsak kan være at det er vanskelig å se for seg noe som ikke har skjedd. I Norge har vi hittil vært forskånet for cyberangrep som har gjort skade på kritisk infrastruktur. Men det finnes flere eksempler internasjonalt.

Det mest kjente, Stuxnet, ble oppdaget i 2010. Det er den første kjente dataormen som spionerer på og omprogrammerer industrielle systemer. Stuxnet skal blant annet ha blitt satt inn mot det iranske atomprogrammet og gjort skade der.

Både flyangrepene mot tvillingtårnene i New York og bomben mot regjeringskvartalet og det påfølgende angrepet på Utøya 22. juli 2011 har lært oss at det utenkelige kan skje.

– Vi bør være mer forberedt på angrep på infrastruktur enn det vi er i Norge i dag, sier Skotnes.

Engasjert ledelse

Så hvordan kan nettselskapene sikre seg mot cyberangrep? Oppdatering av systemer og virusprogrammer er viktige elementer, men årvåkne ansatte og engasjert ledelse er vel så viktig, ifølge Skotnes. 

Da 50 selskaper i olje- og energibransjen i fjor ble utsatt for det største hackerangrepet mot norske interesser noensinne, var det for Statnetts del nettopp en årvåken ansatt som oppdaget forsøket. Det førte til at selskapet klarte å hindre at skadelig programvare ble installert eller kjørt på datamaskiner inne i bedriften.

Ruth Østgaard Skotnes, forsker ved International Research Institute of Stavanger (IRIS) og Senter for risikostyring og samfunnssikkerhet ved Universitetet i Stavanger. (Foto: UiS)

– Min studie viser en sterk sammenheng mellom ledelsesengasjement og innføring av bevisstgjørings- og opplæringstiltak for å øke sikkerheten i nettselskapene. Jeg fikk høre at det var vanskelig å gjennomføre tiltak hvis ikke ledelsen var engasjert, sier Skotnes.

Ansatte som blir involvert i utvikling eller innføring av sikkerhetsstyringssystemer, får bedre forståelse av hvor viktig dette er. Dermed er det lettere å godta at man må forholde seg til sikkerhetstiltak som kan være i konflikt med jobben som skal utføres.

Subkultur

Avhandlingen viser nemlig at man kan snakke om minst to ulike subkulturer i dagens nettselskap; de med bakgrunn fra IKT-bransjen og de som kommer fra elbransjen. Sistnevnte gruppe er mer opptatt av forsyningssikkerhet enn IKT-sikkerhet. Nedetid er ikke akseptert og det viktigste for denne gruppen er konstant levering.

– Forsyningssikkerhet er viktig, men tankegangen må endres slik at alle forstår hvor avgjørende IKT-sikkerhet er, sier Skotnes.

Kritisk punkt

Produksjonen av strøm i Norge er vanskeligere å ramme. Skotnes valgte å konsentrere seg om distribusjonen av strøm fordi den anses å være mest kritisk for samfunnssikkerheten.

Hun samlet inn data til avhandlingen ved å sende ut en spørreundersøkelse til de rundt 137 nettselskapene i drift i Norge i 2012. Skotnes har dessuten gjennomført intervjuer med myndighetene, ved beredskapsavdelingen i Norges vassdrags- og energidirektorat (NVE) som er tilsynsmyndighet for nettselskapene.

Alle norske hjem får i årene fram mot 2019 innført smarte strømmålere, kalt AMS. Strømmålerne skal gi forbrukerne flere fordeler, men slike tiltak øker også sårbarheten for hackerangrep. 

– Sårbarheten i samfunnet vil øke fordi angrepspunktene stadig blir flere. Derfor er vi som samfunn nødt til å ta trusselen på alvor, sier Skotnes.

Referanse:

R. Ø. Skotnes: Challenges for safety and security management of network companies due to increased use of ICT in the electric power supply sector. Doktoravhandling, Universitetet i Stavanger 2015.

Powered by Labrador CMS