I dag ble det kjent at norske olje- og energibedrifter er utsatt for tidenes mest omfattende hacker-angrep mot norske interesser. De faktiske konsekvensene er ennå ikke kjent, men det antydes at motivet er industrispionasje, og at angriperne har gjort endel forundersøkelser for å kunne gå mest mulig målrettet til verks.
I vår gjorde vi en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedte de er på å oppdage og respondere på målrettede angrep mot kontrollsystemene sine. Våre funn tyder på at de er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen deres foreløpig.
Målrettede angrep er en økende trend, og kraftindustrien er et attraktivt mål. Spionasje eller fysiske ødeleggelser kan typisk være hensikten med slike angrep, og det ser vi et tilfelle av i dag. Konsekvensene kan bli fatale: store områder, inkludert kritisk samfunnsinfrastruktur, kan rammes av strømbrudd. Ved å forstå kjente angrep og lære fra dem, kan bransjen forbedre sine evner og muligheter til å oppdage og respondere på målrettede angrep.
Alle nettselskapene vi studerte, hadde god innsikt i hensikten med egne systemer og avhengigheter mellom ulike komponenter. Omfanget av systemene er relativt begrenset, og de er pålagt å utføre både risikovurderinger og avhengighetsanalyser. De har dessuten en god forståelse av behovet for å sikre kontrollsystemene mot generelle informasjonssikkerhetstrusler. Nettselskapene har imidlertid ikke gode verktøy for å oppdage og overvåke hendelser på innsiden av kontrollsystemene sine. Deteksjonssystemer er i bruk i begrenset omfang, og ingen har systemer for å korrelere alarmer og se sammenhenger. De har brannmurer som kan være i stand til å oppdage mistenkelig trafikk til og fra nettverket, men dersom angriper greier å komme seg forbi denne, kan han operere på innsiden uten å bli overvåket. Det er bred felles enighet om at kontrollrommet kan kobles av nett dersom de opplever angrep. Dette krever imidlertid at angrepet oppdages.
Sannsynligheten for å bli rammet av målrettede angrep anses av nettselskapene som svært lav, delvis fordi det foreløpig ikke har vært opplevd blant noen i bransjen. Sannsynligheten for fysiske angrep vurderes som høyere. Det gjenstår å se om dagens angrep vil endre risikooppfatningen i bransjen.
Kun ett av de seks nettselskapene har gjennomført beredskapsøvelse med utgangspunkt i en IT- sikkerhetshendelse.
Tre av nettselskapene bruker såkalte IPS – intrusion prevention systems. Disse er imidlertid kjent for å generere et høyt antall alarmer. Det innrømmes at det ikke finnes ressurser til jevnlig oppfølging av slike alarmer. En svakhet ved brannmurer og IPS er dessuten at de er best på å oppdage angrep som er kjent fra før. Nye angrep, for eksempel angrep som er spesialdesignet og målrettet, vil ikke kunne oppdages med slike verktøy.
På bakgrunn av våre funn, har vi utarbeidet noen anbefalinger til nettselskapene:
- Gjennomfør beredskapsøvelser med utgangspunkt i IT-angrep.
- Arbeid kontinuerlig med å øke/bevare bevissthet rundt sosial manipulering hos alle ansatte i virksomheten.
- I den grad det er mulig, ha et fysisk skille mellom administrative IT-systemer og kontrollsystemer.
- Ta i bruk avviksdeteksjon i kontrollsystemene.
Dessuten ser vi at myndighetspålagte tiltak i stor grad blir etterlevd, slik at myndighetene har et stort ansvar her for å stille riktige og tilstrekkelige krav.
Denne studien vil være tema for to foredrag de neste par ukene: for Forum for informasjonssikkerhet i kraftsektoren 3. september og på Smartgrid-konferansen 10.-11. september. Studien vil bli presentert i sin helhet på Smart Energy Grid Security Workshop 2014 i Scottsdale, Arizona, i november.
Studien er omtalt i Fri fagbevegelse, 28. august 2014.