Cyberhot mot energiföretagen och elförsörjningen – del 1

Cem Göcgören, informationssäkerhetschef och chef informations- och cybersäkerhetsenheten. Foto: SvK

Det svenska stamnätet har varit absolut säkert. Elavbrott som berott på överbelastningar har varit oerhört sällsynta. Att en stolpe i 400 kV-nätet skulle ramla har ingen någonsin hört talas om. Blixten slår ned i stamnätet ett par hundra gånger om året, men det betyder ingenting, för jordningen är ordentligt utförd.

AV JÖRGEN STÄDJE

Problemet nu är cybersäkerheten hos våra elleverantörer. Ämnet har på kort tid blivit väldigt kontroversiellt, med alla IT-attacker som utförts mot svenska myndigheter och kommuner under november-december 2022.

Man kan konstatera att hotet mot det svenska elnätet från främmande makt ökar. Sabotage, cyberattacker och ryska underrättelseoperationer utgör det tydligaste hotet idag. Sabotaget mot gasledningen Nord Stream och Rysslands attacker mot Ukrainas elnät visar hur el kan användas som maktmedel för att påverka andra länder, hävdar Henrik Häggström, senior analytiker på Försvarshögskolan.

Det hot som är tydligast i dag är underrättelseoperationer från Ryssland, alltså att man vill få reda på så mycket som möjligt om vår infrastruktur. En anledning kan också vara att man vill bygga en förmåga att störa elförsörjningen för politiska eller militära syften, säger Erik Nordman, avdelningschef för säkerhet och beredskap på Svenska kraftnät.

bild
Hoten mot det svenska elnätet är fl era och på olika nivåer, fysiska såväl som digitala.

Det kan bli värre

Se på hur det ser ut i Ukraina. 2015 kunde hackare ta sig in i IT-systemen hos tre elkraftdistributörer och temporärt stänga av strömmen till förbrukarna. 30 ställverk stängdes av och 230.000 anslutna blev av med strömmen. 2017 utfördes en jätteattack mot Ukrainas banker, kraftnät, postverk, myndigheter, medieföretag, flygplatsen i Kiev och kärnkraftverket i Tjernobyl. Efter att den ryska invasionen i Ukraina inletts 2022 har man upptäckt nya skadeprogram hos ukrainska, litauiska och lettiska myndigheter och banker, på hundratals IT-system.

I oktober 2022 förlamades Montenegros hela statsapparat av en rysk cyberattack. De statliga webbplatserna, samt bank-, el- och vattensystem drabbades.

bild
Man kan konstatera att hotet mot det svenska elnätet från främmande makt ökar. Sabotage, cyberattacker och ryska underrättelseoperationer utgör det tydligaste hotet idag.

Men inte snälla Sverige, väl?

I mars 2022 började flera rapporter än vanligt om cyberattacker hagla in hos MSB.

Norska sjökablar har på det senaste fallit offer för angrepp från tredje makt. Sverige har kablar till Finland, Litauen, Polen, Tyskland och Danmark eftersom vi är en del av det europeiska elhandelssamarbetet. Främmande makt skulle gärna vilja sabotera det.

Att spränga kraftverk syns allt för mycket i fredstid. Istället är cyberangrepp betydligt riskfriare, betydligt svårare att avvärja och kan utföras i stora antal på kort tid. Angreppen kommer tätare efter att vi ansökt om medlemskap i NATO.

bild
Svenska Kraftnäts kontrollrum. Bildskärmarna är oskarpa för säkerhets skull. Foto: SvK

Medvetande är nummer ett för SvK

Svenska Kraftnät ser hela tiden över sitt skydd. Detta bekräftas av Cem Göcgören som är informationssäkerhetschef och chef informations- och cybersäkerhetsenheten.

– Det råder ingen tvekan om att elförsörjningen är en viktig del för antagonister att ge sig på för att försvåra landets motstånd. Detta blev tydligt inte minst efter inledningen av kriget i Ukraina. Det är inget nytt för oss i den här branschen att det finns statliga aktörer som sysslar med informationsinhämtning. De finns här i landet och försöker tränga sig in hos viktiga

informationskällor. Det är heller ingen nyhet att Ryssland, Kina och Iran är de som är mest aktiva. Även de som levererar utrustning, funktioner och tjänster till SvK är intressanta för antagonisterna. Detsamma gäller de i vår personal som har anknytning till länder vars mål är att utföra påtryckningar, för att hitta insteg.

Hoten kan bestå av både cyberhot och skadegörelse mot den fysiska utrustningen, som sabotage och så vidare. Det kan till exempel vara ensamma aktörer som ger sig på utrustningen för att de vill protestera mot de höga elpriserna. Trots att det inte är SvK som sätter elpriserna kan folk få för sig något sådant och attackera en elstolpe.

Problemen är inte nya för oss som jobbar med cybersäkerhet, bara för att det pågår ett krig. Vi har känt till farorna, riskerna och sårbarheterna innan kriget och vi var oroliga då, vi är oroliga idag, och vi kommer att vara oroliga i morgon. Det är en del av arbetet med cybersäkerhet. Vad kriget har bidragit med är en medvetenhet om att det kan få konsekvenser.

Bland det värsta som kan hända är att någon klickar på en skadlig länk och så drabbas man av följderna. Men nu har personalen blivit mera medveten om att sådant pågår och får konsekvenser.

Cem Göcgören är förtegen avseende detaljer rörande Svk IT-infrastruktur, men SvK har sannolikt (minst) två datornät: kontorsnätet och driftdatanätet som används för att balansera lasten i det svenska transmissionsnätet. Driftdatanätet är separerat från kontorsnätet. SvK har utvecklats väldigt på cybersäkerhetssidan de senaste åren i och med att man gått från en organisation som enbart förvaltat transmissionsnätet, till en fri marknad, grön energiomställning, ökande kapaciteter etc. Det har inneburit att man gjort stora omställningar

Utbildning är viktig för SvK

– Personalen utbildas fortlöpande. Kompetensutvecklingen är punkt nummer ett vid alla föreläsningar, med medvetandehöjande åtgärder. Nyligen hade vi en informationssäkerhets-månad där vi bjöd in tunga föreläsare och höll interna utbildningar och föreläsningar. Utöver den utbildning som alla nyanställda får. De anställda var så intresserade att vår streamingtjänst nästan inte klarade trycket. Medvetandet är nummer ett och det fortsätter vi att satsa på.

Men vi stannar inte där utan jag, tillsammans med IT-säkerhetschefen går ut till ledningsgrupperna, varefter våra respektive organisationers experter går ut och träffar enheterna och påminner om säkerheten och pratar om beteende ur ett säkerhetsperspektiv. När man arbetar i väldigt komplexa projekt är det lätt hänt att man glömmer bort till exempel vilka konsekvenser phishing-mail kan få. Därför är det viktigt att någon kommer ut till medarbetarna och pratar med dem. Utbildning, samtal om säkerhet i kombination med kommande resa avseende ISO27000-certifiering hoppas vi ska leda till en än bättre säkerhetskultur inom Svenska kraftnät.

Jag kan inte racka ned på någon ingenjör som håller på med något komplicerat arbete kring energimarknaden när denne råkar klicka på en skadlig länk, utan det är jag som informationssäkerhetschef som har ansvaret för att kravställa att IT-systemen är så pass robusta att de ska begränsa skadan när en person råkar klicka på länken. Därför är det viktigt att vi är ute bland våra kollegor hela tiden och lär oss hur deras arbetsvardag ser ut.

bild
Sverige är spindeln i nätet för den nordiska elförsörjningen. Vi transporterar el åt Norge, lämnar el till Baltikum och 
till Finland och en hel del förs till Danmark, Polen och Tyskland. Bild: SvK

IT-avdelningen kan inte ”fixa själv”

– Att tro att IT-avdelningen ska kunna ”fixa” cybersäkerheten själv, det håller inte. Det går inte att reglera. Jag kan reglera ihjäl mig, men det kommer inte att hjälpa. Personalen måste delta aktivt. Försök tala om för vanligt folk att de måste stanna och inte får gå över gatan när

det lyser rött. Det kommer alltid att vara någon rackare som går ändå. Det gäller både för handläggare, ingenjörer, kontrollrumspersonal, skyddsvakter, ja hela kedjan.

Allt flera villor förses med solceller och kopplas upp mot marknaden, vilket kan ses som ett hot. Vi ser det som ett mycket positivt bidrag till den pågående gröna energiomställningen. Solceller är inget stort hot mot energiförsörjningen idag, men vi håller ögonen på fenomenet och funderar på vad det skulle kunna innebära om alla villor i landet skulle ha solceller på taket och koppla upp sig mot Internet med sina Internet of Things-apparater. Och vem sitter i andra änden av länken? Kina, Ryssland eller Nordkorea?

För att inte tala om tjänster i molnet. Köper man en apparat som går att koppla upp mot en molntjänst, så att man kan styra den med en app, då måste vi försöka förmå företagen som bygger sådana lösningar att också börja bygga in säkerhet i produkter som värmepumpar och solceller. Det ska inte räcka med att bara koppla upp sig och så är allt klart, utan det måste till ett medvetande även i den branschen.

Ständigt ökat medvetande

– Det viktiga är att vi är medvetna och att det inte kommer som en överraskning att ”ojdå, har vi en kinesisk elmätare” eller en solpanel som är kinesisk och styrs med en app. Istället måste vi planera motåtgärder redan nu.

Undervattensarenan är också av intresse. Vi har flera undervattenskablar som skickar ström till Baltikum, Finland och Polen. Det går inte att säkra dem mot angrepp, men vi måste hålla ögon och öron öppna. Det kommer inte att bli färre kablar i framtiden, med havsbaserad vindkraft och allt vad som är på gång. Vindkraftverk både till havs och till lands kan råka ut för sabotage.

Vi inom säkerhetsbranschen har en ständig utmaning där motståndarna hela tiden hittar nya sätt att tillskansa sig information för att planera framtida attacker. När exempelvis besökare kommer in på ett ”säkert område” får de lämna ifrån sig telefoner, paddor och bilnycklar med radiosändare. Men var står vi om tio år? Vi kommer att ha smarta kontaktlinser, chip inbyggda i kroppen etc. Hur ska man då göra vid exempel en anställningsintervju inom ett skyddat område? Ska man fråga aspiranten om denne har en inopererad chip i kroppen? Vi kan inte säga nej till all ny teknik, men vi måste vara medvetna och hänga med i utvecklingen.

bild

 

Läs mer
SvK Kontrollrummet
KTHs masterprogram i cybersäkerhet
Om cyberförsvar
Angreppen haglar
KTH-projekt kring kraftnätet
Fredrik Heiding