"Digisikker 2012" som PDF - RFSITS
"Digisikker 2012" som PDF - RFSITS
"Digisikker 2012" som PDF - RFSITS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
FAKTA<br />
SÅDAN ANGRIBES<br />
INDUSTRI COMPUTERE<br />
PLC´ERE SIDDER I DAG i næsten alle<br />
automatiserede industrisystemer. Det vil<br />
sige i alt fra vaskehallen nede på tanken<br />
og landbrugets malkemaskiner til bilfabrikker<br />
og atomkraftanlæg. De PLC´ere, der<br />
i dag installeres, baserer sig på teknologi,<br />
der blev udviklet i begyndelsen af<br />
1980´erne. Systemerne er løbende blevet<br />
udbygget med basis i den oprindelige<br />
kerne. Det betyder, at det grundlæggende<br />
design i de chips, <strong>som</strong> benyttes, er fra en<br />
tid, hvor it-sikkerhed ikke var en integreret<br />
del af arkitekturen. De former for<br />
sikkerhed, der findes, er lappeløsninger,<br />
<strong>som</strong> er kommet til efterfølgende. Det gør<br />
PLC´ere særligt udsatte for de såkaldte<br />
zero day-angreb, det vil sige angreb via<br />
sikkerhedshuller, <strong>som</strong> ikke tidligere har<br />
været kendt, netop <strong>som</strong><br />
det var tilfældet med<br />
Stuxnet-ormen. Det<br />
er et kapløb, hvor<br />
udviklerne hele tiden<br />
er bagud i forhold til<br />
sikkerhedstruslerne.<br />
PLC-bokse af denne<br />
type sidder i næsten<br />
alle automatiserede<br />
industrisystemer.<br />
ELMÅLERNE KAN BLIVE<br />
NÆSTE HACKER-MÅL<br />
INTELLIGENTE ELMÅLERE er installeret<br />
i flere hundredetusinde danske hjem.<br />
De gør det muligt at overvåge og styre<br />
forbruget. Målerne er koblet sammen i et<br />
stort netværk, hvor data om elpriser og<br />
forbrug løbende udveksles. Med tiden vil<br />
det blive muligt at tænde og slukke hjemmets<br />
el-apparater automatisk via målerne.<br />
Målerne kan også tilgås fra computere og<br />
smartphones. Det skaber helt nye muligheder<br />
for at anrette virusangreb mod de<br />
private hjem. Elmålerne er nemlig baseret<br />
på de samme, gamle teknologier, der er<br />
sårbare over for vira af samme type <strong>som</strong><br />
Flame og Stuxnet.<br />
STUXNET OG FLAME –<br />
DE ONDE FÆTRE<br />
STUXNET VAR IKKE blot en enkeltstående<br />
orm. It-sikkerhedseksperter fra<br />
blandt andet Kaspersky har afdækket<br />
en nær familierelation mellem Stuxnet<br />
og Flame, der blev opdaget i 2012. Da<br />
Stuxnet blev opdaget i 2010, viste det<br />
sig, at der var tre versioner i omløb, og<br />
at de havde huseret siden 2009. Man<br />
har indtil for nylig troet, at der var tale<br />
om én isoleret kode. Nu viser det sig, at<br />
den nyligt opdagede Flame-orm faktisk er<br />
ældre, og at Stuxnet til dels er baseret på<br />
Flame-platformen.<br />
Modelfoto: flickr/teleradiogroup CC BY-ND<br />
STUXNET ÆNDREDE ALT:<br />
Da industrien fik<br />
taget sin uskyld<br />
Millioner af små computere, <strong>som</strong> holder<br />
essentielle produktionsanlæg kørende,<br />
kan meget vel blive de næste store mål for<br />
hackere og terrorister. Det står klart, efter<br />
computerormen Stuxnet i 2010 blev opdaget.<br />
Den havde spredt sig via Microsoft<br />
Windows, og dens mål var en helt bestemt<br />
type industricomputer på iranske atomanlæg.<br />
Ormen var så avanceret, at der i dag<br />
er bred enighed om, at USA og Israel har<br />
stået bag. Alt tyder på, at den ikke skulle<br />
have været sluppet løs på internettet –<br />
men nu er det sket, og hackere kan bruge<br />
koden til at lave nye varianter.<br />
INDUSTRIENS COMPUTERSYSTEMER holder samfundet<br />
kørende. I alle produktionssystemer sidder der små computere<br />
og styrer robotter, opsamler data eller justerer hastighed<br />
på transportbånd. Traditionelt har disse småcomputere, der<br />
baseres på PLC´ere (Programmable Logic Controller), været<br />
lukkede systemer. PLC´erne bliver dog i disse år integreret<br />
i større produktionsstyringsløsninger, de såkaldte SCADA-<br />
systemer. Forkortelsen SCADA står for Supervisory Control<br />
And Data Acquisition, det vil sige overvågning og datafangst.<br />
Systemerne er afgørende for, at de mange små computere kan<br />
give virk<strong>som</strong>heden værdifulde oplysninger om produktionen.<br />
SCADA-systemerne kobles i stigende grad sammen med<br />
virk<strong>som</strong>hedernes økonomistyringssystemer, og det ses også<br />
stadig oftere, at SCADA-systemer og -komponenter kan monitoreres<br />
og serviceres via internettet.<br />
Det gør livet lettere for virk<strong>som</strong>hederne, men det giver også<br />
en række indgange for hackerangreb – netop det <strong>som</strong> skete<br />
ved Stuxnet- og igen i 2012 med Flame-angrebene.<br />
STUXNET-ORMEN BLIVER NU fanget af de fleste sikkerhedsløsninger,<br />
men der er sket et fundamentalt skift. Det<br />
krævede indsats fra to stater at udvikle den avancerede kode,<br />
<strong>som</strong> Stuxnet benyttede, og <strong>som</strong> anvendtes <strong>som</strong> virtuelt våben<br />
mod Iraks atomanlæg. Nu findes denne kode frit tilgængelig på<br />
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
Iranske teknikere arbejder på Bushehr atomkraftværket i den sydlige del af landet. Iran har bekræftet at Stuxnet inficerede adskillige af de ansattes<br />
bærbare computere, men har også ladet forstå at selve anlægget ikke blev påvirket.<br />
internettet, og nye varianter, <strong>som</strong> benytter samme, avancerede<br />
teknik, vil være nemme at udvikle.<br />
Det har Yaniv Miron gjort for at vise, hvor sårbare virk<strong>som</strong>hederne<br />
er. Han er sikkerhedskonsulent i virk<strong>som</strong>heden FortConsult,<br />
og han har en fortid hos blandt andet Israels militær, Israel<br />
Defence Forces. Han forsøger at oplyse om den potentielle risiko,<br />
de meget udbredte SCADA- og PLC-baserede systemer<br />
udgør for erhvervslivet og også for staters sikkerhed.<br />
”TRUSLEN MOD VORES industrisystemer er reel. Når der<br />
skal bores olie, eller når der skal etableres nye produktionssystemer,<br />
så handler det for virk<strong>som</strong>hederne først og fremmest<br />
om at få produktionen op i omdrejninger. It-sikkerhed er<br />
man måske nok bevidst om, men ude i virk<strong>som</strong>hederne anses<br />
industrisystemerne for kun at udgøre en lille risiko. Det skyldes,<br />
at angrebene er sjældne, men risikoen stiger, i takt med at der<br />
ikke tages hånd om problemet,” siger Yaniv Miron.<br />
Virk<strong>som</strong>hedernes mangel på opmærk<strong>som</strong>hed betyder, at der<br />
oppustes en boble af sårbarheder: Virk<strong>som</strong>hederne udbygger<br />
konstant industrianlæg med usikker teknologi, samtidig med at<br />
redskaberne til at kompromittere sikkerheden bliver mere og<br />
mere tilgængelige.<br />
”Det er ikke science fiction længere. Jeg har personligt hacket<br />
mig ind i PLC´ere og SCADA-systemer, og værktøjer til at gøre<br />
dette kan frit downloades fra internettet. Set fra et sikkerhedssynspunkt<br />
er det en uholdbar situation,” fortæller Yaniv Miron.<br />
SIKKERHEDSSTRATEG KIM AARENSTRUP fra IBM er<br />
enig i den betragtning. Orme <strong>som</strong> Stuxnet og Flame har taget<br />
industriens uskyld, og han mener, at virk<strong>som</strong>hedernes ledelser<br />
i højere grad bør tage deres it-sikkerhedsfolk med på råd:<br />
”Der er en tendens til, at sikkerhedsfolkene skal slås rigtig<br />
hårdt for deres berettigelse. I forbindelse med finanskrisen er<br />
sikkerheden forsvundet fra ledelses-radaren, i takt med at der<br />
har været travlt med at kæmpe for forretningens økonomi.”<br />
Han påpeger desuden, at en nylig IBM-undersøgelse af itsikkerheden<br />
fordelt på lande verden over viser, at danske virk<strong>som</strong>heder<br />
de seneste år er sakket agterud i forhold til andre<br />
lande. Kim Aarenstrup anbefaler derfor, at man på ledelsesniveau<br />
i danske virk<strong>som</strong>heder tager skridt til at hæve it-sikkerheden<br />
fra et brandslukningsniveau til et strategisk niveau.<br />
”Det er vigtigt at forstå, at it er en komponent i forretningen<br />
og ikke kun noget, der vedrører it-afdelingen. Den forståelse<br />
mangler i mange danske virk<strong>som</strong>heder,” siger Kim Aarenstrup.<br />
Rådet For Større IT-Sikkerhed 13