– Vi ser at behovet for trusseletterretning i kraftsektoren øker, sier Margrete Raaum, daglig leder i KraftCERT, til Energi.

KraftCERT ble stiftet for fem år siden av Statnett, Statkraft og Hafslund etter initiativ fra NorCERT og NVE.

Fokus den gang var å avdekke sårbarhet, overvåkning og hjelp til å takle cyberangrep. Nå handler det mer om å forutse trusler.

– Det kan være å se hvilke type skade-programvare angriperne bruker, og følge med på trendene – som å finne ut hva som blir de største sikkerhetsutfordringene neste år og de neste fem årene, sier Raaum.

Løsepengevirus-trusselen

En av mest aktuelle truslene hun ser nå er såkalt løsepengevirus (ransomware), skadebringende programvare som kan nekte det angrepne selskapet adgangen til egne sentrale systemer. De som blir angrepet blir gjerne avkrevd penger for at inntrengerne skal åpne systemene igjen. Og selv om selskapet punger ut så er det ikke alltid at systemene åpnes igjen.

Det var det som skjedde hos Hydro i vår.

– Hydro lot seg ikke presse til å betale. Det var modent av dem. I stedet valgte de selv å begynne med å jobbe med å få systemene opp igjen, sier Raaum.

Hydros IT-sjef Jo de Vliegher uttalte til Dagens Næringsliv 9. september at de fortsatt ikke vet hvem som står bak angrepet. Men de har funnet ut at angriperne kom seg inn via et tilsynelatende uskyldig epost-vedlegg som ble åpnet. Angriperne var inne i Hydros systemer i over tre måneder før det massive angrepet kom.

– Beveger seg sidelengs

Raaum påpeker at inntrengerne ofte klarer å snike seg usett gjennom brannmuren. De finner ferske sårbarheter og gjør i første omgang bare en liten endring som er vanskelig å oppdage.

Ofte er de inne i systemene i uker og måneder og snoker før angrepet settes inn.

– De beveger seg forsiktig sidelengs inn i systemene. De gjør lite, utløser ikke alarmen, men driver aktiv lytting hvor de prøver å fange opp passord og lignende. Og de går gjerne etter spesifikke ansatte, sier Raaum.

Kan finne info på Linkedin

Her er ikke minst teknisk ansvarlige for anlegg, controllere og økonomisjefer utsatt. Og dekan man ofte finne på nettet – enten på selskapets nettsider eller på den ansattes LinkedIn-profil. Raaum advarer mot å legge ut denne typen informasjon offentlig på nett.

– Når angriperne vet hvem som har teknisk ansvar, kan de sende en epost og utgi seg for å være en annen enn de er og spørre etter tekniske opplysninger som gjør det lettere å finne ut hvordan de skal angripe. For eksempel kan man utgi seg for å være fra en leverandør, kun for å prøve å lure ut av selskapet hvilken versjon de benytter av forskjellige systemer. Slike rekognoseringer per epost og telefon er noe vi ser mer og mer av.

Hydro deler erfaringer etter angrep

Hydro har delt bevismateriale med norske sikkerhetsmyndigheter. Det førte til at man klarte å identifisere de samme hackerne hos flere andre selskaper. Det gjorde at disse angrepene ble stoppet i tide.

– Det som er spesielt i denne saken er at Hydro i motsetning til mange andre bedrifter har vært villig til å fortelle om det som skjedde med dem. Det gjør at man får tilgang på opplysninger man ellers ikke ville hatt, sier politiadvokat Knut Jostein Sætnan i Kripos til Dagens Næringsliv.

Raaum roser Hydros åpenhet og er glad for at det generelt blir mer og mer åpenhet om cyberangrep.

– Det gjør at andre kan dra nytte av Hydros og andres erfaringer. Dette er store fremskritt, men man må selvsagt fortsatt passe vel på hvem man faktisk har tillit til på nettet.

– Usikkerhet verre enn strømbrudd

Raaum påpeker at strømbrudd ikke nødvendigvis er det verste som kan skje i kraftsektoren.

– Det skumleste er når man ikke lenger stoler på systemene sine. Man ser at målingene ikke er riktige og at det umulig å styre. Man får mistanke om at noen har kompromittert kontrollsystemet, og man ikke vet hva som vil skje. Den usikkerheten man føler da er det verste, sier hun.

Hun peker også på at det er viktig å holde kaldt, ikke bli paranoid.

– Noen ganger skyldes feil forhold som vær og vind, eller ren teknisk svikt. Men man bør alltid huske på muligheten av at problemer kan skyldes et cyberangrep, og håndtere det deretter.

Hun mener det er lurt å ha en grunnleggende skepsis i bunn når man bygger opp egne systemer. Hennes råd er å ha sikkerheten med i hele utviklingsprosessen og stille krav underveis, og ikke begynne å tenke på det først når man er ferdig.

Hun påpeker også at det kan være nyttig å søke råd hos en uavhengig aktør som KraftCERT i stedet for å stole blindt på en kommersiell leverandør som gjerne har en agenda – et system de selv selger.

Det skumleste er når man ikke lenger stoler på systemene sine.

Margrete Raaum, KraftCERT

Hydro lot seg ikke presse til å betale. Det var modent av dem.

Margrete Raaum, KraftCERT