”Avgörande sårbarhet inom energibranschen”

”Avgörande sårbarhet inom energibranschen”

DEBATT
I Danmark utsattes 22 danska energiföretag av en koordinerad, omfattande och med stor sannolikt statligt backad it-attack. En avgörande sårbarhet inom energibranschen är äldre teknik och system. Det skriver Jens Olav Nordanger, Nordisk account manager på Hexagon Asset Lifecycle Intelligence Division.

Säkerhetshoten mot energiförsörjningen ökar och Sverige är inget undantag, särskilt sedan kriget i Ukraina och Sveriges inträde i Nato. I augusti initierade fem stora svenska energiaktörer organisationen Energi-CERT med syfte att ge riktat stöd för att hantera cyberattacker och flera av höstens energi-konferenser tar upp den nya EU-säkerhetsföreskriften NIS2.

Vi behöver bara gå till Danmark för ett konkret exempel på vad som kan hända. I maj 2023 utsattes 22 danska energiföretag av en koordinerad, omfattande och med stor sannolikt statligt backad attack. Attacken utnyttjade sårbarheter i brandväggar från taiwanesiska företaget Zyxel, vars produkt används för att skydda viktig infrastruktur i Danmark. En liknande attack i Sverige skulle kunna slå ut ett stort antal energibolag samtidigt och leda till omfattande effekter för hela samhället.

Även om energibolag är vana vid cyberattacker är en koordinerad attack som backas av främmande makt något annat. De är ofta är mycket mer välplanerade, långsiktiga och sofistikerade. En attack som den i Danmark kräver omfattande och dyra förberedelser. Det kan röra sig om att utveckla särskild malware, eller att i tysthet utnyttja en sårbarhet för att infiltrera många aktörer, ibland under flera år, och sedan slå till överallt samtidigt.

En avgörande sårbarhet inom energibranschen är äldre teknik och system som är kopplade till en stor mängd industrikontroll-system (ICS). Dessa är svåra att kartlägga, inventera och skydda. Statliga aktörer är kända för att utveckla specifik malware för just den här typen av system. Rysk-backade CHERNOVITE-gruppen är känd för att använda ett ICS malware-ramverk inriktat på kraft- och naturgassektorerna. Ryssland använde exempelvis malware upprepade gånger för att försöka slå ut Ukrainas energiförsörjning, Industroyer  (2015) och  Industroyer 2 (2022).

Ryssland är inte den enda stat som har kapacitet till sådana omfattande attacker. Kinesiska Volt Typhoon, har sedan 2021 siktat in sig på viktiga branscher i västvärlden och har hittats i mer än 50 kraftverk bara i USA. De har ofta lyckats undgå upptäckt under lång tid, vilket i teorin innebär att de fortfarande skulle kunna påverka verksamheten inom samhällsviktiga områden som energi.

Utnyttjar brister i OT-systemen
Cyberkriminella siktar nu in sig på OT-systemen (operational technology) dvs hård- och mjukvaran som kontrollerar och övervakar industriutrustning och processer. Målet är att orsaka så stor fysisk oreda som möjligt genom att bland annat trigga utrustningsfel, avaktivera kontrollsystem eller överbelasta viktig infrastruktur. Cybersäkerhetsföretaget Palo Alto rapporterade i mars 2024 att 3 av 4 organisationer utsatts för cyberattacker på OT-miljön, och att det för de flesta handlar om upprepade attacker.

Attackerna utnyttjar det faktum att OT-systemen genomgående är mindre säkra. De är ofta inte utvecklade med cybersäkerhet i åtanke, eftersom de historiskt inte varit uppkopplade mot IT-nät och internet. Industriutrustning saknar dessutom ofta grundläggande säkerhet och kontroller som lösenord och flerfaktors-autentisering.

Allt fler företag kopplar nu upp sina OT-system mot verksamhetens IT-nät. Syftet är integration med andra verksamhetslösningar för att bättre kunna optimera industritillgångar, använda prediktivt underhåll och genomföra avancerade analyser. Men utan en genomtänkt strategi med fokus på cybersäkerhet, leder tyvärr uppkopplingarna ofta till ökad sårbarhet för hela verksamheten.

Ökad komplexitet
I takt med att antalet enheter och terminaler ökat har också komplexiteten ökat. Medarbetare kopplar upp sig via fler terminaler och industrianläggningar kan idag bestå av tusentals sensorer och uppkopplade enheter. Företag har ofta svårt att hålla reda på alla enheter och de inbyggda programvaror och mjukvaror som används.

Utan en detaljerad inventarieförteckning och total överblick över all utrustning som finns i verksamheten, inklusive terminaler och sensorer, öppnar integrationen upp för ökad risk. Hackare får många fler ställen de kan ta sig in på och väl inne har de fritt fram och kan enkelt och oupptäckta röra sig runt i näten och nå viktig utrustning.

En annan komplikation är patchning, vilket inte är den mest effektiva kontrollen för OT-miljöer, men som ofta används som en säkerhetsåtgärd. Tyvärr är processen ineffektiv på grund av dålig överblick och det krävs även godkännande av leverantörer, vilket fördröjer processen.

86% av energibolag inom EU kan bara se patchningen i mindre än hälften av sina tillgångar, och för två tredjedelar (64%) tar det mer än en månad att patcha en känd sårbarhet.

Bättre försvar mot cyberhot
Nationer i västvärlden ställer nu ökade krav på bättre cybersäkerhetsåtgärder. Inom EU införs NIS2-direktivet, med strikta cybersäkerhetskrav inom 18 samhällsviktiga branscher däribland energi. Företag måste bland annat använda sig av toppmoderna säkerhetsmetoder, genomföra riskhantering, snabb incidentrapportering samt regelbundna säkerhetsbedömningar.

Men förordningarna beskriver bara slutmålet. Det är upp till företagen själva som måste vidta åtgärder för att skydda sin operativa teknik.

En effektiv strategi för riskhantering bör inkludera områden som synlighet och överblick över alla tillgångar, hantering av sårbarheter och konfigureringshantering.

Utan en tydlig bild av OT-tillgångarna inom organisationen – hur de är anslutna och kommunicerar – är det omöjligt att bedöma attackytan, utveckla adekvat sårbarhetshantering eller försvara sig mot sofistikerade attacker. Ökad synlighet gör det möjligt att genomföra två avgörande åtgärder: att automatisera inventeringsprocesser och därmed eliminera blinda fläckar och minska risken genom att granska tillgängliga tillgångar och korsreferera dem med sårbarhetsdatabaser, till exempel NISTs National Vulnerability Database. Ingen databas är perfekt men dessa källor är värdefulla verktyg för att kunna prioritera insatser för att minska riskerna.

En robust cybersäkerhetsstrategi måste gå längre än att upptäcka intrång och hitta skadlig kod. Statsbackade aktörer använder ofta legitima verktyg som kan undgå upptäckt i flera år. De utnyttjar också ofta insiders, även medarbetare. Att upptäcka konfigurationsändringar är ett viktigt sätt att minska dessa risker. Breda åtgärder, som konfigurationshantering, policy-efterlevnad och regelbundna revisioner, kan därför bidra till att fånga upp hoten innan de kan utnyttjas av skadliga aktörer.

 

Av Jens Olav Nordanger
Hexagon Asset Lifecycle Intelligence Division
Profil Second Opinion drivs på uppdrag av Energiföretagen Sverige. Läs mer

Vid publicering av en kommentar gäller följande regler:

– vi vill att alla som kommenterar ska vara identifierbara personer och vi vill därför för- och efternamn anges av den som kommenterar

– vi vill att diskussionen på Second Opinion ska hålla en god och respektfull ton och publicerar inte kränkande omdömen om enskilda personer.

Second Opinion förbehåller sig rätten att radera texter som bryter mot våra villkor och regler.

Kommentera

Obligatoriska fält är markerade med *

Avbryt svar

Prenumerera på artiklar


De senaste kommentarerna

Senaste artiklarna

Skriv på Second Opinion

Alla är välkomna att skriva på Second Opinion. Vi publicerar dels artiklar som fördjupar kunskaper om energifrågor dels aktuella debattartiklar.
Skicka in din text
Vara-amnen

Ur arkivet

Copyright © Second Opinion Nyheter AB