De største cybertruslene mot energisektoren

Redaksjonen Cegal ønsker å bygge et nestegenerasjons teknologiselskap som gjør en bærekraftig framtid mulig. Vi former den digitale framtiden, og snur komplekse IT-utfordringer til digitale suksesshistorier.

11/01/2023 |

Krigen i Ukraina og kamp om å få tilgang til ny teknologi, er de største cybertruslene mot den norske energibransjen. DNVs sikkerhetsekspert Boye Tranum advarer mot sikkerhetstruslene fra cyberkrigføring og mot lange verdikjeder.

– De som ønsker å få digital tilgang til systemene i aktørene i norsk energibransje jobber veldig langsiktig. De kjenner systemene som brukes i norsk energiproduksjon minst like godt som man selv gjør. De leter etter de enkleste veiene inn. En måte er å prøve å få tak i påloggingsinformasjon ved å sende ut en phishingmail til alle ansatte i selskapet. En annen er å komme seg inn til hovedsystemene via bakdører som kan finnes i løsninger fra underleverandører eller teknikere, starter Boye Tranum, direktør for Cyber Security Services i DNV.

De som ønsker å få digital tilgang til systemene i norsk energibransje, kjenner systemene som brukes minst like godt som virksomhetene selv.

Boye Tranum, DNV

Stuxnet-viruset er et godt eksempel på cybertruslene energibransjen står overfor. Dataormen ble utviklet spesielt for å angripe systemer for overordnet styring, kontroll og datainnsamling (SCADA). Viruset ble først oppdaget i 2010 etter at det rammet det iranske atomprogrammet og ødela anslagsvis 20 prosent av Irans uransentrifuger.

SCADA faller inn i sekkebegrepet operativ teknologi (OT) og brukes til å styre, kontrollere og overvåke industrielle prosesser. Stuxnet omprogrammerte de iranske uransentrifugene slik at kjølesystemet ble satt ut av drift. Dermed krasjet de på grunn av overoppheting. Senere etterretning tyder på at Israel og USA sto bak viruset, som var programmert til å slette seg selv den 24. juni 2012. Dataormen utnyttet såkalt zero day vulnerability, 0-dags sårbarhet. Det er kjente sikkerhetshull i programvare og systemer som ennå ikke er rettet.

Les også: Sikkerhet er en del av alt Cegal leverer.

Kan sprenge en oljeplattform

– Hva skjer hvis et virus får en strømgenerator på en oljeplattform til å løpe løpsk? spør Boye Tranum og svarer selv:
– Etter en stund vil det komme gnister. Hvis man samtidig greier å skape en gasslekkasje, ved å åpne noen kraner, får man en eksplosjon. Da har man satt oljeplattformen ut av spill for lang, lang tid. Dette er bare en av mange måter å nøytralisere en oljeplattform på.

Boye Tranum er en av Norges fremste eksperter på cybersikkerhet i energibransjen. Han har i en årrekke hjulpet virksomheter med sikkerhetsforbedringer, spesielt innen cybersikkerhet. Han har også ledet flere uavhengige beredskapsvurderinger for olje- og gassoperatører. I tillegg har han jobbet med cybersikkerhet for Petroleumstilsynet og er medansvarlig for en rekke av DNVs cybersikkerhetsrapporter, blant annet: Cyber Priority 2023.

Stadig flere digitale trusler

Norske virksomheter opplever i økende grad digitale sikkerhetstrusler. Det er krevende å få oversikt over egen sikkerhetsstatus, om man er beskyttet mot angrep og hvordan man kan øke det digitale sikkerhetsnivået. Energibransjen, med kraftprodusenter, nettselskaper, olje- og gasselskaper, er ekstra utsatt. Mange aktører, både kriminelle nettverk og nasjoner, ønsker å stjele teknologi. I tillegg står energibransjen bak kritiske deler av landets infrastruktur og er dermed et ekstra utsatt mål for cyberangrep.

Russland, Kina, Nord-Korea og Iran, er blant annet landene Nasjonal Sikkerhetsmyndighet (NSM) advarer mot. Russland har i en årrekke hatt aktiviteter mot energi- og forsvarssektoren. I dag konsentrerer Russland sine cyberaktiviteter mot Ukraina. NSM advarer mot cyberaktiviter knyttet til økonomisk vinning, spionasje og sabotasje.

Boye Tranum advarer mot lange verdikjeder og at det vanligvis er mange leverandører involvert i ulike prosjekter. Han sier at uoppdagede sårbarheter langs forsyningskjeden kan fullstendig undergrave et selskaps interne cybersikkerhetsinnsats.

I sluttfasen av et prosjekt, når alt skal settes sammen og man skal sette i gang produksjonen, er man særlig utsatt for sikkerhetshendelser.
– Da er det veldig lite kontroll over alt som skjer. Da kan det være enkelt å få inn skadevare, sier Tranum og fortsetter:

Små og mellomstore bedrifter er også utsatte for hackerangrep. Noen av dem leverer små og spesialiserte systemer som kan være en bakdør inn i hovedsystemene som styrer kritiske komponenter.

Boye Tranum, DNV

Forskjell på “safety” og “security”

Tranum trekker også frem forskjellen mellom trygghetskultur (safety) og sikkerhetskultur (security):
– I energibransjen er det en god safety-kultur, men jeg er usikker på om sikkerhetskulturen er like god.
Han trekker frem et eksempel fra oljeplattformene i Nordsjøen, som er designet etter trygghetsprinsipper. Man har to ventiler for redundans og for å sikre at man ikke får lekkasje, men begge ventilene styres av samme system og samme datamaskin.

– En stor mengde sikkerhetsmekanismer i energisektoren er styrt av IT som kan kompromitteres. Dermed kan utenforstående ta kontroll over sikkerhetsbarrierene. Det er en alvorlig designsvakhet.

DNVs sikkerhetsdirektør trekker også frem forskjellen på IT (informasjonsteknologi) og OT (operativ teknologi; systemer som styrer maskiner, installasjoner o.l.). Mens det er relativt enkelt og risikofritt å oppdatere IT med siste sikkerhetsprogramvare, er det krevende og ofte kostbart å få på plass siste sikkerhetspatcher innen OT.

– Skal man oppdatere en OT-løsning må man slå av systemet og stoppe produksjonen. Det er mye mer arbeid og kostbart å oppdatere OT. Derfor går det lang tid mellom hver oppdatering, sier Tranum.

Ble selv angrepet av ransomware

DNV ble selv hacket i januar 2023. Ransomwareangrepet låste serverne til ShipManager, et flåtestyringssystem. 70 kunder med til sammen rundt 1000 skip ble rammet.
– Det er ikke flaut å bli hacket. Det blir veldig mange. Det viktige er at man har systemer som håndterer at man blir hacket, at man har backup og kan gjenopprette systemene raskt, sier Tranum.

Tranum har følgende sikkerhetsråd til virksomheter i energibransjen.
– Skap en vedvarende sikkerhetskultur med regler og rutiner rundt alt som kan påvirke sikkerheten. Skal en tekniker inn og oppgradere et system, skal ikke personen gå fritt rundt. Man må ha regler for hvordan det skal gjøres. Man kan ikke bare låse opp døren og slippe personen inn, slutter Boye Tranum, direktør for Cyber Security Services i DNV.