Vandselskaber forsvarer sig mod cyberangreb

En række forsyningsselskaber er de seneste år blevet ramt af cyberangreb, og truslerne og trusselsbilledet ændres hele tiden. De cyberkriminelle bliver stadigt mere sofistikerede, og efterhånden som større og større dele af dagligdagen bliver digitaliseret, øges antallet af mulige trusler. Det gælder også i vandsektoren, hvor et angreb kan have store konsekvenser.

“Lykkes det for hackere at komme ind bag forsvarsværkerne, så kan det give store udfordringer for et vandselskabs økonomi og forsyningssikkerhed,” siger Carl-Emil Larsen, direktør i DANVA, i sin leder i branchemagasinet DANSKVAND, som i oktober har fokus på cybersikkerhed.

Og der er god grund til at tage truslen alvorligt. DANSKVAND har talt med to vandselskaber, som har været udsat for succesfulde angreb. Kalundborg Forsyning blev ramt af et hackerangreb for lidt over et år siden, mens Tønder Forsyning havde ubudne gæster i december 2020.

Falsk phishing-mail fik folk op af stolene

“Vi har arbejdet meget med en kulturændring for at skabe et fokus hos folk, hvor alle tænker sikkerhed ind i hverdagen. Det kræver, at folk hele tiden bliver mindet om det. Og det er altså ikke nok med et kursus en gang om måneden,” siger Kim Ottobrøker til DANSKVAND. Han har ansvaret for cybersikkerhed i Kalundborg Forsyning og holder kollegaerne til ilden ved en hver lejlighed, som da han udsendte en falsk-phishing mail.

“Signaturen lignede, at mailen kom fra mig. Men mailadressen var ikke min. Og jeg ville aldrig sende en PDF eller et link ud,” forklarer han. Enkelte klikkede på linket, men der var en udbredt sund skepsis for mailen, fortæller Kim Ottobrøker.

“Det sidder stadig i kroppen af os, at vi har været ramt. Og der er en opmærksomhed og et drive i forhold til, at det her ikke skal ske for os igen,” siger han.

Han peger på, at it-sikkerheden skal holdes ved lige med kontinuerlig opfølgning i form af

små kurser, artikler på intranettet og tips til sikker adfærd. Træning – bevidst og ubevidst – er en del af vedligeholdelsen af medarbejdernes opmærksomhed.

Flere angreb i EU

På europæisk plan er opmærksomheden også skærpet, når det kommer til digitale trusler. Senest blev et stort engelsk vandselskab hacket i august. EurEau er sammenslutningen af nationale vandsektororganisationer i europæiske lande, og de følger trusselsudviklingen i Europa.

”Mange af vores medlemmer har bemærket en stigning i antallet af angreb,” siger Oliver

Loebel, generalsekretær i EurEau. Hidtil har vandsektoren, ifølge Loebel, ikke været et specifikt mål. Men han vurderer, at dette kan ændre sig.

”Vi må desværre forvente øgede sikkerhedsrisici i de kommende år på grund af de ændrede geopolitiske forhold i Europa og globalt, og her er den russiske invasion af Ukraine et vigtigt element. Det vil også have følger for vores sektor. Vi kan ikke udelukke, at der kommer målrettede angreb,” siger Oliver Loebel til DANSKVAND.

Efter angreb: 400.000 ”besøg” om dagen

Angrebet på Tønder Forsyning har haft store konsekvenser, selv om selskabet ikke betalte løsesummen, som hackerne krævede, og på trods af, at der ikke blev lækket personfølsomme oplysninger.

John Graversgaard, der er ansvarlig for cybersikkerheden hos Tønder Forsyning, kan stadig mærke følgevirkninger af angrebet. De danske myndigheder støttede Tønder Forsyning i, at det var den helt rigtige beslutning ikke at betale løsesummen. Men samtidig gjorde de det klart, at man efter sådan et angreb ville være ekstra udsat for lignende forsøg. Og den antagelse har vist sig at være rigtig. Tønder Forsyning er for alvor blevet en skydeskive for de cyberkriminelles spredehagl.

“Jeg kan jo stadig se på vores firewall, at der er en masse hits østfra. Før havde vi 20-25.000 hits om dagen. Efter angrebet er det steget til 300-400.000 hits hver dag, og det ligger ret stabilt på det niveau,” fortæller John Graversgaard. Et ”hit” kan dække over alt muligt, og det eneste man kan sige med sikkerhed er, at der via internettet sker et forsøg på at skabe en forbindelse til Tønder Forsyning. Bag nogle af de mange besøg er formentlig automatiserede ”bots”, som John Graversgaard kalder det, der er forsøger at logge ind på systemet.

Ikke relateret til krigen i Ukraine

Den voldsomme stigning har i øvrigt ikke noget med krigen i Ukraine at gøre, for de hundredtusinder af daglige hits var allerede en realitet, inden Rusland invaderede nabolandet. John Graversgaard er en del af DANVAs netværk for IT-sikkerhed, og han hører også om store stigninger i antallet af hits mod firewall’en hos de andre vandselskaber, der har folk i netværket.

I tiden umiddelbart efter angrebet kunne alle ansatte i Tønder Forsyning mærke den ravage, hackerne havde forårsaget.

“Det krævede meget af medarbejderne, for der skulle hele tiden være folk på arbejde. Vi kørte tre-holdsskift. Det er fint at automatisere, men man skal bare huske, at man altid skal kunne styre processerne manuelt, hvis uheldet er ude. Det kunne vi, men hvis ikke, havde vi været på Herrens mark,” siger John Graversgaard.

Eksperternes 10 bedste råd

DANSKVAND har desuden bedt sikkerhedseksperterne Peter Kruse og Jacob Herbst om at komme med 10 gode råd om forebyggelse af cyberangreb. Nogle af deres tips er generelle, mens andre er specifikke for forsyningssektoren.

Derudover kan man læse mere om, hvordan forskellige danske vandselskaber arbejder med cybersikkerhed i det daglige. Både i forhold til tekniske løsninger men i endnu højere grad i forhold til at få skabt nogle gode vaner hos medarbejderne.

DANVA tiltræder aktuelt EnergiCERT, som vil bidrage til et højt sikkerhedsniveau blandt selskaberne med fokus på videndeling og sektorspecifik viden. EnergiCERT er en non-profit forening, der løfter sektorens cyber – og informationssikkerhedsniveau, og støtte sektoren i at agere professionelt mod cybertruslen. 

Læs DANSKVAND her: http://www.e-pages.dk/danva/259/