”Ville jag störa ut Sverige skulle jag välja att attackera elnätet”

2019-02-21 06:00  

Mitt i säkerhetskrisen på Svenska kraftnät står frågan om hur säker vår elförsörjning egentligen är. De senaste tre åren har hotet om cyberattacker mot elnätet blivit verklighet.

Under vintern har Dagens Nyheter i en serie avslöjanden pekat på brister i säkerhetsarbetet hos Svenska kraftnät. Myndigheten har bland annat låtit personal utan säkerhetsprövning arbeta med känsliga it-system som styr den nationella elförsörjningen.

För någon som vill sabotera eller infiltrera det svenska elnätet är det ett gyllene tillfälle – och att elnätet skulle vara en måltavla för cyberangrepp är inte längre en hypotes. Det är en realitet.

Klockan var halv fyra på eftermiddagen dagen före julafton 2015 när runt 30 ställverk i provinsen Ivano-Frankvisk i västra Ukraina slutade att fungera. 230 000 människor blev strömlösa i upp till sex timmar. Samtidigt inträffade mindre strömavbrott längre norrut kring huvudstaden Kiev och västerut i regionen Tjernivtsi.

Läs mer: FRA varnar: Cyberhotet mot Sverige ökar

Där och då trodde de drabbade förmodligen att det rörde sig om ett vanligt strömavbrott. Men senare skulle det visa sig att de hade råkat ut för den första kända cyberattacken mot ett lands elförsörjning.

En artikel i tidningen Wired beskriver hur en av operatörerna såg hur muspekaren på datorn som styrde systemen plötsligt fick eget liv. Hur han såg att någon fjärrstyrde systemet för att i tur och ordning gå in i ställverkens styrsystem för att stänga ned dem. Personalen i kontrollrummet tittade maktlöst på.

Elnätet en måltavla i cyberkriget

Attacken blev en väckarklocka för elbranschen. En tydlig indikation på att spelplanen hade ändrats, att elnätet nu var en måltavla i cyberkriget. Något som säkerhetsexperter med det ökända Stuxnet-viruset i åtanke länge varnat för, men som först nu blev ett konkret hot.

– Attackerna mot det ukrainska elsystemet har påverkat diskussionen och har fungerat som en ögonöppnare för många inom såväl elbranschen som andra operatörer av kritisk infrastruktur, säger it-säkerhetsexperten Robert Malmgren som driver konsultfirman Romab.

Att just elnätet är ett populärt mål för ett land som vill sabotera för ett annat är förstås inget förvånande. Utan el slutar merparten av vår kommunikation att fungera.

– Elnätet är en jätteviktig del av vår kritiska infrastruktur. Skulle jag vilja störa ut Sverige skulle jag välja att attackera elnätet, säger Robert Lagerström som är docent i cybersäkerhet vid KTH och medgrundare till it-säkerhetsföretaget Foreseeti.

Läs mer: ”Cyberhot kräver mer resurser på alla nivåer”

Året därpå hände det igen. En vecka före jul slocknade en femtedel av Kiev under en timme, mitt i natten. Den här gången användes ett avancerat spionprogram som kallas Industroyer eller Crashoverride. Ukraina har i båda fallen pekat ut Ryssland som angriparen.

Hotet mot elnätet kommer också i första hand från statliga aktörer.

– Hotbilden mot det svenska elnätet utgörs dels av statliga aktörer som kan tänkas vilja utöva politisk påtryckning eller förbereda ett militärt angrepp, samt dels av icke-statliga aktörer som vill utöva terrorism för att orsaka kaos, eller i utpressningssyfte från cyberkriminella organisationer, men hoten kan även utgöras av ensamagerande antagonister, skriver säkerhetsanalytikern Erik Johansson, teknisk doktor från KTH, i ett mejl till Ny Teknik.

Attackerna kan pågå länge innan de upptäcks

Ihop med Robert Malmgren anordnar han it-säkerhetsutbildningar för den svenska energisektorn. Där nämns attackerna mot Ukraina av flera skäl. Dels för att flera tekniska lösningar som användes hos de drabbade företagen i Ukraina liknar lösningar som används i Sverige. Dels för att dataintrången kunde pågå obemärkta under lång tid innan själva elnätsattacken.

– Angriparna hade varit ”inne” i verksamhetens olika system under en lång tid för att kartlägga och skaffa sig behörigheter – långt innan cyberangreppen genomfördes. Därutöver noterades att flera olika attacker kombinerades för att orsaka så stor skada som möjligt och försvåra återställandet av systemen, säger Erik Johansson.

Samtidigt som attackerna mot Ukraina pågick i det dolda har ett arbete med att infiltrera företag och organisationer i elsektorn upptäckts i flera andra länder. Gruppen bakom dataintrången har kommit att kalls för Dragonfly och avslöjades av it-säkerhetsföretaget Symantec hösten 2017. Företag i USA, Schweiz och Turkiet hade drabbats.

Då konstaterade Symantec att Dragonfly potentiellt sett skulle kunnat sabotera eller ta kontroll över it-system som används för att styra elnätet, om de bara hade velat.

”Kan ge väldigt stora konsekvenser”

Sedan tidigare finns indikationer på att det svenska elnätet också utsatts för oönskad uppmärksamhet från främmande makt. För två år sedan sa Försvarets radioanstalt, FRA, till SVT att de uppmärksammat utländskt it-spionage mot kritisk svensk infrastruktur som elnätet.

När Ny Teknik frågar FRA:s talesperson Fredrik Wallin i dag säger han så här om risken för cyberattacker mot det svenska elnätet.

– Generellt sett är elförsörjningen en väldigt viktig komponent och vi är väldigt beroende av den. Utan el fungerar inte vår it-kommunikation heller så det är klart att det är en sektor som kan ge väldigt stora konsekvenser om den slutar fungera.

Läs mer: Fem sätt hackare kan attackera med hjälp av artificiell intelligens

Fredrik Wallin vill däremot inte säga något specifikt om cyberhotet mot det svenska elnätet, utan talar i stället mer generellt om hotet mot svensk infrastruktur.

– Den trenden kan vi se även i dag. Vi ser hela tiden hur statliga angripare ägnar sig åt att kartlägga svenska mål av olika slag. Både sådana som man kan tolka som förberedelse till angrepp mot infrastruktur och sådan kartläggning som syftar till att stjäla information, säger Fredrik Wallin.

Hotet kommer i första hand från statliga angripare med väldigt tydliga mål. De kan ställas i motsats till en annan omfattande cyberattack som drabbade Ukraina, ransomwareangreppet NotPetya. Det gick ut på att ta över och radera så många datorer som möjligt. Slutresultatet blev att viruset spred sig till datorer världen över. Det slog bland annat ut verksamheten hos rederijätten Maersk och stoppade arbetet i Göteborgs hamn.

FRA varnar för kartläggning inför en attack

En attack mot elnätet kan få lika stora eller större konsekvenser i form av strömavbrott eller instabilitet i elnätet. Men själva cyberangreppet kommer förmodligen att vara mycket mer koncentrerat mot företag inom elsektorn.

FRA:s varning upprepades igen för bara några veckor sedan. I samband med konferensen Folk och försvar gjorde chefen för den militära underrättelse- och säkerhetstjänsten, Must, en sällsynt intervju.

– Internationellt pågår en kartläggning av it-system som har med elförsörjningen att göra. Det finns all anledning att tro att det även gör det i Sverige, sa Gunnar Karlson som är chef för Must.

”Ju mer du kopplar upp desto större angreppsyta”

Ett av problemen med att säkra it-systemen som styr elnätet är att de alltid måste vara i drift. Det finns ingen möjlighet att stoppa verksamheten för att installera en uppdatering, och att genomföra sårbarhetsanalyser och penetrationstester kan få allvarliga konsekvenser om något går fel.

– Det finns många metoder för att upptäcka sårbarheter och liknande som går ut på att man aktivt kammar igenom nätverken och it-systemen, men det är mycket svårare att göra med scada-system (industriella it-styrsytem, reds. anm) som styr kritiska processer. De får inte gå ur drift. Vi är beroende av att elnätet snurrar hela tiden, och kan därför inte använda samma metoder, säger Robert Lagerström.

Läs mer: Cloud Hopper är tillbaka – Så kunde Kina hacka Visma

När styrsystem blir mer digitala, uppkopplade och sammankopplade ökar både möjligheterna och riskerna. Elnätet är inget undantag.

– Ju mer du kopplar upp och ju mer du kopplar ihop, desto större angreppsyta finns det för de som vill attackera. Det finns fler ställen att börja på och fler vägar att propagera en attack via, säger Robert Lagerström på Forseeti.

I värsta fall kan ett alltför digitaliserat system bli svårare att återställa än ett mer analogt.

En anledning till att det bara tog timmar att få igång elnätet igen efter attackerna mot Ukraina är att systemen fortfarande gick att köra manuellt i stor utsträckning.

– I Ukraina kunde elbolagen relativt snabbt återställa delar av elnätet genom att köra det ”manuellt”. Frågan många ställer sig är om konsekvenserna av en liknande cyberattack mot svenska elbolag skulle kunna få allvarligare konsekvenser eftersom automatiseringsgraden är högre hos oss, säger säkerhetsanalytikern Erik Johansson.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt