Trusselsbilledet er alvorligt: Elselskaberne opruster for at kunne stå i mod
Risikoen for destruktive cyberangreb mod Danmark er steget i 2024. Her er ikke mindst den kritiske infrastruktur truet. Men også den fysiske sikkerhed er i fokus. Det har givet nye udfordringer for energisektoren, som Green Power Denmark også har fokus på, siger teknologidirektør Jørgen S. Christensen.
Selskaberne skal opruste på den fysiske sikker. Men Jørgen S. Christensen, der er teknologidirektør i Green Power Denmark efterlyser en trusselsvurdering fra myndighederne om, hvad det konkret er for trusler, selskaberne skal beskytte sig i mod.. Foto: Green Power Denmark
Ruslands krig mod Ukraine har øget truslen for hybrid angreb mod vestlige lande, herunder Danmark, der siden krigens start har stået last og brast med Ukraine.
Center for Cybersikkerhed fastslår i sin årlige rapport om cybertruslen mod Danmark:
”Det er sandsynligt, at statslige russiske hackere udfører cyberspionage mod dansk kritisk infrastruktur for at forberede sig på at kunne udføre destruktive cyberangreb i fremtiden.”
Men truslerne kommer ikke alene fra cyberspace.
”Det vi ser nu som følge af krigen i Ukraine, er, at myndighederne varsler en stigende trussel fra fysisk sabotage. Det er ikke overraskende, men det er nyt, at myndighederne melder ud, at der er en stigende trussel,” fastslår Jørgen S. Christensen, der er teknologidirektør i Green Power Denmark.
”Vi har i en årrække opgraderet it-sikkerheds delen. Og det kom os til gode, da krigen kom. Vi havde heldigvis været ude i god tid var var godt forberedte i energisektoren. Nu sker der så det, at myndighederne også annoncerer, at der kan være et stigende trusselsniveau i forhold til fysisk sabotage, og det reagerer vi nu på” siger han.
Energiselskaberne har gennem mange år lavet fysisk sikring af deres anlæg, men det har mere været rettet mod tyveri og personsikkerhed. Nu er spørgsmålet så, hvilken type angreb, virksomhederne skal beskytte sig i mod.
”Stærk bekymring”
Det fyldes i branchen, hvor 55 pct. i en rundspørge, som Green Power Denmark har foretaget blandt sine medlemmer, er ”stærkt bekymret” for den fysiske sikkerhed.
”Vi er i dialog med myndighederne om den fysiske sikkerhed. Men vi efterspørger som branche nogle lidt klarere trusselsvurderinger. For hvad er det, vi skal beskytte os i mod? Er det mod sabotører og specialstyrker eller er det imod droner? Vi savner mere trusselsvurderingen end konkrete anvisninger på, hvad vi skal gøre. Så kan vi efterfølgende gå i dialog med myndighederne om de mulige løsninger. Men lige nu er trusselsvurderingerne ikke specielt skarpe,” siger Jørgen S. Christensen.
Det er de til gengæld i forhold til cybersikkerhedstruslerne.
”På det område får vi nogle meget sektorspecifikke trusselsvurderinger om risikoen for angreb fra kriminelle eller fra statsaktører, og så kan vi på den baggrund tage vores forholdsregler. Det er noget lignende vi ønsker på det fysiske område”.
Hvordan vil du betegne den overordnede situation for branchen i forhold til beredskabet mod cyberangreb? 72 pct. af jeres medlemmer er ”stærkt bekymret” for brud på cybersikkerheden, viser jeres egen rundspørge.
”Det viser grundlæggende, at medlemsvirksomhederne tager dette meget alvorligt. Cybersikkerhed har vi investeret rigtigt meget igennem flere år. Investeringer i cybersikkerhed har den udfordring at modsat fysisk sikkerhed, hvor man f.eks. med opsættelsen af et hegn lavet en permanent varig opgradering af sikkerheden. Så må man med cybersikkerhed må man bare sige, at det, der var et godt sikkerhedsniveau i 2024, med garanti ikke er godt nok i 2025, fordi der sker en voldsom løbende udvikling i teknik og metoder.
Derfor er cybersikkerhed mere dynamisk. Det bliver man aldrig færdig med. Det er nok noget af det, der er årsagen til bekymringen blandt medlemmerne,” siger Jørgen S. Christensen.
Angrebne selskaber fik øjenåbner
At det kan gå galt, stod klart i maj 2023, da Danmark oplevede det hidtil mest omfangsrige, cyberrelaterede angreb på kritisk infrastruktur nogensinde.
22 selskaber, der driver dele af den danske energiinfrastruktur – de fleste var små kraftvarmeselvskaber - blev kompromitteret i et koordineret angreb, hvor det lykkedes angriberne at få adgang til selskabernes infrastruktur.
Angrebet blev opdaget af SektorCERT, der er en nonprofit forening ejet og finansieret af danske selskaber indenfor kritisk infrastruktur og hjælper selskaberne med cybersikkerhed.
Det stod hurtig klart, at der var tale om et grundigt forberedt angreb – muligvis med involvering af en ”statslig aktør”, der meget vel kunne være Rusland.
Resultatet var ifølge SektorCERT, at angriberne opnåede adgang til nogle af selskabernes industrielle kontrolsystemer og flere selskaber måtte gå i ø-drift og afkoble de ramte systemer fra internettet.
”Der er ingen tvivl om, at der var nogen af de ramte selskaber, der fik sig en øjenåbner i forhold til at prioritere området højere. Der var nogle af selskaberne, der ikke havde opdateret deres systemer rettidigt,” siger Jørgen S. Christensen.
Hvilke selskaber, der blev ramt, er ikke blevet offentliggjort. Men Egtved Varmeværk med knap 1.000 andelshavere var ét af dem, fortalte værkets formand efterfølgende til fagbladet Ingeniøren. Og han erkendte, at de skal tage cybersikkerheden mere alvorligt.
”Det er klart, at et meget lille selskab med 3-4 ansatte bliver nødt til at søge noget ekstern hjælp og prioritere området højere end man havde gjort i de pågældende selskaber,” siger Jørgen S. Christensen.
Men alle selskaber – store som små - er lige udsatte for cyberangreb.
”Det er overvejende sandsynligt, at en aktør med meget stor kapacitet, ville starte med at angribe de mindre selskaber, ud fra en betragtning om, at de nok ikke er lige så opmærksomme, som de større. Hvis man finder nogle sårbarheder dér, vil man kigge på, om de store har samme sårbarheder.
Og hvis man ser på de angreb, der fandt sted sidste år, så var der ikke noget, der indikerede, at man forsøgte at slukke for den energi, de producerer. Men man skabte sig muligheden for at gøre det på et senere tidspunkt. Det kunne vi se på den måde, de angreb på. Angriberne tjekkede, om de man havde adgang til systemerne og gjorde sig stor umage for ikke at blive opdaget,” siger Jørgen S. Christensen.
Skruer op for investeringer i sikkerhed
Angriberne, der fortsat er ukendte, men formodes at være russiske statsaktører, var med andre ord på en rekognosceringstur for at finde svagheder, der senere kunne udnyttes mod større selskaber.
Og det forhøjede trusselsniveau har da også fået de fleste af Green Power Denmarks medlemmer til at investere mere i cybersikkerhed, mens 45 pct. oplyser i rundspørgen, at de har øget udgifterne til sikkerhed på den fysiske infrastruktur og/eller anlæg.
Danmarks største elnetselskab N1 med omkring 800.000 tilsluttede husstande oplyser således, at investeringer i cybersikkerhed og fysisk sikkerhed udgør ca. 10 pct. af investeringsbudgettet på 1,15 mia. kr.
Det Norlys-ejede N1 sidder på omkring 35 pct. af netinfrastrukturen i Danmark, så hvis de øvrige investerer på samme niveau, vil der årligt blive investeret omkring 350 mio. kr. i sikkerhed i den del af elsektoren.
Spørgsmålet er så, om det er nok:
”Cybertruslen er jo indiskutabelt steget over de sidste fem år. Men vi har så også investeret rigtig meget i modforsvar til den trussel. Så på spørgsmålet om, hvorvidt risikoen for, at der skulle ske noget ubehageligt med vores energisystem er steget i perioden, er svaret nej. Det oplever jeg ikke. Jeg oplever, at sektoren gør, hvad den kan for løbende at imødegå de trusler, der hele tiden kommer,” fastslår teknologidirektøren i Green Power Denmark.
