Alt henger sammen med alt i den nye krafthverdagen

after-seminar-publikum16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.

Kraftsystemet er i endring, og den nye virkeligheten med større avhengigheter av IKT-systemer betinger at kraft- og IKT-miljøer i større grad jobber sammen. Seminaret kunne friste med ulike aktører i kraftbransjen som presenterte hvordan de jobber med forsyningssikkerhet, tatt i betraktning de nye mulighetene og risikoene som kommer med økt bruk av IKT.

Oversikt

Seminaret ble initiert som en avsluttende aktivitet i EU-prosjektet AFTER, der både SINTEF Energi og SINTEF IKT har vært involvert. Gerd Kjølle fra SINTEF Energi innledet derfor seminaret med å presentere metodikk for risikohåndtering i det kombinerte kraft- og IKT-systemet utviklet i AFTER. Videre fikk deltagerne presentert svært interessante foredrag fra sentrale aktører i bransjen. Kjell Anders Tutvedt presenterte Hafslunds metoder og tanker for feil og avbruddshåndtering i distribusjonsnett vha. smartgrid-teknologi. Stig Løvlund presenterte Statnetts syn på smart nettdrift og løsninger for automatisering i kraftsystemet; for mange var det spesielt interessant å høre om Statnetts tanker rundt bryterfunksjonalitet/struping. Eivind Gramme presenterte Skagerak Energis bruk av sårbarhetsindikatorer for tidlig avdekking av faktorer som påvirker forsyningssikkerheten. Martin Gilje Jaatun fra SINTEF IKT diskuterte cyber security i kraftbransjen med utgangspunkt i senere tids hendelser. Steinar Torsvik presenterte beredskapsøvelser som gjøres i BKK, inkludert øvelser relatert til IKT. Dette førte til en diskusjon rundt hvordan man kan gjennomføre effektive IKT-øvelser, f.eks. ved hjelp av simuleringsverktøy.

Cyber security

Det er naturlig å bruke litt spalteplass til å gå nærmere inn på innholdet i foredraget undertegnede holdt om sikkerhet. Trusselbildet er i stadig endring, men det er stort sett ikke de dramatiske forskjellene vi ser fra dag til dag. Imidlertid er det en rekke velkjente trusler som fortsatt ikke tas helt alvorlig i mange bransjer.

Bakteppet for dette foredraget er selvfølgelig sikkerhetsarbeidet vi har gjort i AFTER, men også et knippe andre aktiviteter i nyere tid:

blackoutNettselskapene vi har intervjuet later til å være enige i at det verst tenkelige scenarioet er et angripere får full kontroll over distribusjonssystemet, slik at de f.eks. har mulighet til å slå av strømmen i et stort område over lengre tid. På bakgrunn av dette er det overraskende at ingen av de nettselskapene vi intervjuet gjennomførte beredskapsøvelser spesifikt på IKT sikkerhetshendelser. Imidlertid virker det som om det av og til hjelper å stille spørsmål, ettersom flere nettselskaper i ettertid har begynt å ta med IKT-hendelser i sine beredskapsøvelser.

Det var kanskje en vekker for mange i kraftbransjen da det i fjor sommer ble kjent at 50 norske bedrifter i olje- og energibransjen hadde vært utsatt for dataangrep. En av de omtalte bedriftene var Statnett, og det ble etter hvert klart at angrepet i realiteten var en mer eller mindre målrettet phishing-kampanje, som ble avdekket uten at den hadde lykkes med å infiltrere målet.

Aktører i energisektoren har tidligere argumentert for at fysisk skille mellom prosesskontrollnettverk og åpne nettverk gjør at trusselen er mindre relevant, men det klassiske Stuxnet-angrepet var basert på smitte via USB-minnepinner, og var helt uavhengig av en direkte tilkobling. I tillegg kan det anføres at det framover sannsynligvis vil være økt behov for informasjonsutveksling mellom prosesskontrollsystemer og kontornettet, noe som medfører en større angrepsflate.

Stuxnet var åpenbart ingen enslig svale, vi har senere fått hødragonflyre om Flame, Duqu,  og nå nylig Dragonfly. Sistnevnte later til å stamme fra 2010 eller 2011, men fikk ikke oppmerksomhet fra energisektoren før juni 2014, da F-Secure påpekte at dette viruset “viste en spesiell interesse” for nettopp energisektoren.

På overflaten fremstår ikke Dragonfly som spesielt nyskapende eller farlig; den legger inn en bakdør på den infiserte maskinen og scanner lokalnettet for tilknyttede OPC-tjenere, og ser slik ut til primært å drive informasjonsinnhenting. Imidlertid ser det ut til at det ville være svært enkelt å endre oppførselen til å gjøre noe mer drastisk (slik som Stuxnet); bakdøren vil kunne gi angriperen full tilgang til systemet, og da er det jo bare fantasien som setter grenser.

Det som er mest interessant med Dragonfly er at den tar i bruk en hittil ikke observert spredningsmetode: Angriperne har brutt seg inn på hjemmesider til leverandører av kontrollsystemer, og byttet ut legitime installasjonsprogrammer (drivere etc.) med “trojanized” programvare. Intetanende kunder har så gått inn på leverandørens sider og installert det de trodde var offisielle oppdateringer, men i stedet pådratt seg en stygg infeksjon. Dette er et godt argument for å signere kode du distribuerer, også når den ligger lagret på din egen webserver!

Avslutning

Seminaret ble avsluttet med en kort plenumsdebatt om samarbeid mellom kraft- og IKT-miljøer i nettselskapene, der Hans Olav Ween fra Energi Norge ga en interessant introduksjon og ledet debatten.

Vi er i ferd med å ferdigstille en vitenskapelig artikkel som fokuserer på gjensidige avhengigheter mellom kraft og IKT, så vi kommer nok tilbake med mer detaljer om dette temaet om ikke så lenge.

Foto og tekstbidrag fra Jørn Foros, SINTEF Energi
Dragonfly illustrasjon fra Belden Security