Lille julaften 2015 svartnet det bokstavelig talt for mange ukrainere. Nærmere en kvart million var plutselig uten strøm, og mange fikk ikke strømmen tilbake på seks timer eller mer. Selv i et land hvor oppvarming hovedsakelig skjer med gass, er det ikke særlig trivelig å være strømløs midt på vinteren.
Det som hadde skjedd, var at hackere hadde lyktes med å infisere kontornettverket til Ukrainske nettselskaper med BLACKENERGY 3 skadevare, og hadde brukt disse nettverkene for å få tilgang til nettselskapenes Distribution Management System (DMS), som så ble brukt for å koble minst 27 nettstasjoner av nettet. RTUer ble gjort om til dørstoppere (“bricked”) av ondartede oppdateringer, og “KillDisk”-funksjonalitet slettet Windows MMIer. Uten tilgang til SCADA infrastruktur var evnen til automatisk kontroll tapt for opptil ett år enkelte steder. Gjenopprettelse var kun mulig via manuell intervensjon; hver enkelt RTU måtte resettes forhånd.
Året etterpå var det – for å sitere Jan Eggum – “påan igjen”. Denne gangen ble deler av Kiev mørklagt i en time fra rett før midnatt 17. desember. Det viste seg at det var transmisjons-transformatorstasjonen Pivnichna i Kiev som hadde vært utsatt for et angrep som på mange måter lignet angrepet året før, men det var ting som tydet på at det var en ny type skadevare (malware) som var brukt.
Det korte tidsrommet strømmen var borte har fått enkelte til å spekulere om det hele var et gjennomførbarhetsbevis (proof-of-concept), noe som ble ytterligere sannsynliggjort i juni i år, da sikkerhetsfirmaet ESET kunne presentere analyser av den såkalte Win32/Industroyer skadevaren, hvor de viste til at skadevaren kun utføre nettopp et slikt angrep som i Kiev. ESET kaller Industroyer for den farligste skadevaren siden Stuxnet, og det er kanskje fordi den er i stand til å manipulere brytere i transformatorstasjoner direkte. Koden som ESET analyserte hadde støtte for protokollstandardene IEC 60870-5-101, IEC 60870-5-104 og IEC 61850, og støtter også OLE for Process Control Data Access (OPC DA).
En annen urovekkende ting med Industroyer er at den later til å være modulbasert, noe som gjør det relativt enkelt å bygge skadevaren om til å snakke nye protokoller. De nevnte protokollene over er vanligst i Europa, men ifølge sikkerhetsfirmaet Dragos skal det lite til for å modifisere skadevaren for å kunne angripe DNP3 og andre protokoller mer vanlige i USA. Selv om ingen later til å mene at Industroyer har samme opphav som skadevaren Havex (kjent fra kampanjen referert til som Dragonfly eller Energetic Bear) er det visse likhetspunkter i hvordan den sprer seg. Havex var i utgangspunktet kun et etterretningsverktøy, men hadde en komponent som gjorde det mulig å oppdatere koden i ettertid, noe som gir et frampek til den modulbaserte tilnærmingen til Industroyer.
Kunne det samme skje i Norge? Vi liker å tro at vi er langt framme teknologisk i det norske kraftnettet, og snart finnes det smarte strømmålere i hvert hjem. NVE laget for noen år siden en veileder til (cyber-)sikkerhet i Avanserte Måle- og Styresystemer (AMS), hvor nettselskaper får gode råd på veien til den nye, smarte, målerhverdagen.
Veilederen gir råd om blant annet:
- Overordnet sikkerhetsarbeid rundt AMS
- Herunder gjennomføring av Risiko- og sårbarhetsanalyse
- Kontroll med tilgang til system og utstyr
- Overvåking og håndtering av hendelser
- Endrings- og versjonskontroll
- Fjerntilgang til AMS-løsningen
- Bryte- og strupefunksjonalitet
Smarte målere og AMS gir også muligheter utover automatisk strømavlesning, både på innsiden og utsiden av måleren. Nettselskapet kan bruke smarte målere til å detektere feil og uregelmessigheter mellom måleren og nettstasjonen, og har visse muligheter til fjernstyring av måleren. Her kan det være lokale forskjeller, men det er klart at enhver mulighet til direkte manipulasjon av måleren kan få dramatiske følger dersom uvedkommende får tilgang til slik funksjonalitet. I ytterste konsekvens kan en angriper oppnå det samme som i Kiev, dersom et stort antall husstander kan kobles av nettet via bryterfunksjonalitet i måleren. Derfor er det særdeles viktig at alle former for fjernstyring av måleren er gjenstand for en grundig sikkerhetsanalyse – og selv om nettselskapet har tjenesteutsatt selve anskaffelsen og driften av AMS, går det ikke an å delegere ansvar: Nettselskapet må sørge for å innhente nødvendig informasjon (og kompetanse) til å gjennomføre slike analyser.
Nettselskapene kan også gjøre “smarte” ting andre steder i nettet. I forskningsprosjektet Flexnett har vi bl.a. sett på hvordan man kan bruke såkalt selvheling (Fault Location, Isolation and System Restoration – FLISR) til å begrense konsekvensene av feil på linjene, slik at man raskt kan identifisere hvor feilen er, og automatisk koble ut segment med feil samtidig som man kobler inn igjen segmenter uten feil. Den mest fleksible varianten kaller vi sentralisert FLISR, og her vil DMS aktivt kunne manipulere SCADA bryterinnstillinger. Imidlertid blir det da slik at hvis DMS kompromitteres, kompromitteres også SCADA. Denne løsningen forutsetter at man foretar daglig import av NIS/GIS-data for å sikre at man har oppdatert oversikt over den fysiske topologien i nettet, og dette kan representere en “vei inn” i SCADA-nettet for en angriper.
For å få til sentralisert FLISR på en sikker måte, må vi ha nye sikkerhetsmekanismer implementert i SCADA-nettet. Noe av dette kan vi gjøre i dag; det finnes forskjellige kommersielle systemer for deteksjon av angrep mot SCADA (IDS) med maskinlæring for å skille ønskede fra uønskede handlinger, man kan foreta hvitlisting av kommandoer mot bestemte delsystemer, og man kan tvinge gjennom ratebegrensing av endringer slik at (uønskede) ting ikke kan skje for raskt. Imidlertid representerer ingen av disse en endelig løsning, og de bidrar dessuten til at SCADA-systemet blir enda mer komplisert enn det er i dag. Vi trenger derfor sikkerhetsmekanismer som er mer gjennomførte og helhetlige, noe som garantert blir et område for videre forskning i årene som kommer.
Teksten er tidligere publisert i bladet Energiteknikk