Ekspert: Forsyningsselskaber sårbare over for IT-angreb

Størstedelen af forsyningsvirksomhedernes driftssystemer til vand-, varme- og elforsyning er usikre og alt for lette at bryde ind i, vurderer ekspert.

Senior sikkerhedskonsulent Yaniv Miron,fra IT-sikkerhedsvirksomheden Fortconsult i København, demonstrerede ved Dansk IT’s sikkerhedskonference, hvor nemt han kunne hacke sig ind i et forsyningsselskabs driftssystem og ændre på indstillingerne.

Det kan få alvorlige konsekvenser for systemet og forsyningssikkerheden, skriver dagbladet Børsen.

- De væsentligste årsager til, at det i dag er så let at bryde ind i disse systemer, er dels, at de oprindeligt ikke er udviklet med det fornødne sikkerhedsaspekt tænkt ind i systemet, dels at størstedelen af styresystemerne i dag er forbundet til forsyningsvirksomhedernes øvrige IT-systemer, og dermed også til internettet, hvorfra uvedkommende kan skaffe sig vej til systemerne, siger Yaniv Miron avisen.

Forsyningsvirksomheder med adskilte drifts- og administrationssystemer kan dog heller ikke vide sig sikre. F.eks var Scada-systemer for et par år siden særligt udsatte på grund af computervirusset Stuxnet, der hærgerede hos industrivirksomheder, blot aktiveret via usb.

Virus via usb
Virusset Stuxnet var oprindeligt udviklet mod et atomoparbejdningsanlæg i Iran, men da anlæggets styresystem ikke var forbundet med internettet, var virusset udviklet til at kunne aktiveres via usb-nøgle. Og i følge Miron er det ikke nogen uoverkommelig udfordring at få smuglet en usb-nøgle ind på et atomoparbejdningsanlæg eller hos en forsyningsvirksomhed.

- Man kan f.eks. “tabe” en usb-nøgle med f.eks. påskriften “Salaries 2011” uden for det forsyningsanlæg, man vil ramme. Så er der en god sandsynlighed for, at én eller anden medarbejder vil samle den op, og er så tilpas nysgerrig, at han eller hun sætter den i en af anlæggets computere, siger han.

Godt råd fra Yaniv Miron
De forsyningsvirksomheder, der benytter de aldrende driftsystemer eller Scada-systemerne, opfordres af Yaniv Miron til at udskifte de angrebsmæssigt skrøbelige systemer.

- Det er naturligvis omkostningstungt og vil uvægerligt komme til at vare en del år, så indtil det bliver gennemført, er min opfordring til alle de virksomheder, hvis driftsystemer er koblet til internettet, at de totalt adskiller deres driftsystemer fra deres øvrige IT-systemer – og så i øvrigt forhindrer brug af ikke autoriserede usb-nøgler i deres sårbare produktionssystemer, siger han.

I Danmark ligger ansvaret for IT-sikkerheden hos de enkelte forsyningsvirksomheder.