«I verste tilfelle kan liv gå tapt»

Dagbladet fant over 2500 norske styringssystemer på nett. Disse brukes blant annet i forsvar, helse, oljebransjen og kollektivtransport.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Har du noen gang tenkt over hvordan vannkraftverk og kraftstasjoner styres og kontrolleres? Eller hva med damanlegg, oljerigger og trafikklys?

Datasystemene som benyttes kalles «Scada-systemer». De ble tatt i bruk for mange år siden, koster flerfoldige millioner kroner og oppdateres sjelden.

- Dette er IT-systemer som brukes til å styre alle mulige prosesser, fra oljeutvinning og strømforsyning til busser, jagerfly og skip. Det er et slags nervesystem i samfunnet, og derfor veldig, veldig viktig, sier forsker Niklas Vilhelm ved Nasjonal sikkerhetsmyndighet (NSM) til Dagbladet.

Over 2500 på nett i Norge Derfor er det viktig at ikke uvedkommende får kloa i disse systemene. Noe som blir vanskeligere og vanskeligere å forhindre ettersom systemene stadig oftere kobles til Internett, hvor de aldri var ment å være.

BIOBRENSEL: Dette styringssystemet tilhører et norsk biobrenselanlegg.
BIOBRENSEL: Dette styringssystemet tilhører et norsk biobrenselanlegg. Vis mer

I forbindelse med artikkelserien «Null CTRL», har Dagbladet funnet over 2500 slike systemer i Norge koblet til Internett. Noen er beskyttet med brukernavn og passord, andre er like åpne som en hvilken som helst hjemmeside.

Dette gjør styringssystemene lett tilgjengelige for hackere og ondsinnede aktører.

- Sikkerheten rundt disse systemene er stort sett avhengig av at de er fysisk adskilt fra Internett. Kommer du først inn i ett av disse systemene, er de ofte ikke veldig godt sikret, og du kan gjøre stor skade, sier seniorrådgiver Vidar Sandland ved Norsk Senter for Informasjonssikring (Norsis).

- Du kan for eksempel ta kontroll over damanlegg og skape flommer, ta kontroll over trafikklys og skape trafikkaos, eller ta styring over transportsystemet. I verste tilfelle kan liv gå tapt, sier han.

Helse og forsvar Av etiske årsaker har ikke Dagbladet undersøkt hva som faktisk er mulig å gjøre med flesteparten av de systemene vi har funnet. Slike systemer skal man rett og slett ikke tukle med. Å gjøre det, kan få uante og i verste fall katastrofale konsekvenser. I mange tilfeller vet vi heller ikke hvem som er eieren. Vi kan derfor ikke utelukke at flere av systemene vi har funnet er inaktive.

Men av de over 2500 systemene vi har funnet, har vi tilsynelatende tilgang på over 500.

Dette er styringssystemer som brukes i alt fra forsvar og helse til oljebransjen og i kollektivtransport.

AMERIKANSK KREMATORIUM: Styringssystemet til en krematorieovn i USA lå åpent tilgjengelig på nettet fram til november i fjor. Her fantes også en fil som inneholdt fullstendig logg over kremeringer.
AMERIKANSK KREMATORIUM: Styringssystemet til en krematorieovn i USA lå åpent tilgjengelig på nettet fram til november i fjor. Her fantes også en fil som inneholdt fullstendig logg over kremeringer. Vis mer

Mange har i tillegg kjente sårbarheter, noe som gjør dem til fristende og enkle mål for hackere.

- Jeg tror de aller fleste ville blitt svært sjokkert over hvor dårlig beskyttet disse systemene er, sier forsker Eireann Leverett ved det internasjonale datasikkerhetsselskapet Ioactive til Dagbladet.

Kan angripe flere Leverett har selv kartlagt sikkerheten rundt slike styringssystemer internasjonalt. Resultatet skremte ham.

- Jeg var blitt fortalt gjentatte ganger at det ikke var noen problemer med sikkerheten rundt disse systemene, fordi de ikke var koblet til Internett i det hele tatt. Jeg ville vise at dette var feil, sier Leverett.

HELT UBESKYTTET: Dette styringssystemet til et britisk vannkraftverk, som lå tilgjengelig for alle, uten passordbeskyttelse.
HELT UBESKYTTET: Dette styringssystemet til et britisk vannkraftverk, som lå tilgjengelig for alle, uten passordbeskyttelse. Vis mer

Han mener et av hovedproblemene med at disse systemene er koblet til nettet, er at det er mulig å sabotere for eksempel et damanlegg uten å være fysisk til stede.

- I tillegg kan du angripe mange av disse systemene samtidig hvis du perfeksjonerer et angrep mot programvaren deres, sier han.

Lite oversikt Det vil også i mange tilfeller være farlig om disse systemene slutter å virke som de skal, supplerer Niklas Vilhelm fra NSM.

- Det største problemet med at disse systemene er koblet til nettet, er at ondsinnede mennesker kan få tilgang til dem. Dette kan være alt fra en fremmed stat til gutteromsleker som kan føre til ulykker, sier Vilhelm.

VIKTIGE SYSTEMER: Styringssystemer brukes i alle mulige prosesser, og er derfor som et slags nervesystem i samfunnet, ifølge forsker Niklas Vilhelm ved Nasjonal sikkerhetsmyndighet. Foto: Øistein Norum Monsen / Dagbladet
VIKTIGE SYSTEMER: Styringssystemer brukes i alle mulige prosesser, og er derfor som et slags nervesystem i samfunnet, ifølge forsker Niklas Vilhelm ved Nasjonal sikkerhetsmyndighet. Foto: Øistein Norum Monsen / Dagbladet Vis mer

NSM, som er den offentlige myndigheten som håndterer digitale trusler mot kritisk, norsk infrastruktur, har ingen god oversikt over hvor mange slike systemer som er koblet til nett i Norge.

- Jeg skulle ønske vi hadde veldig mye bedre oversikt, fordi veldig ofte er det private bedrifter og organisasjoner som eier infrastrukturen, som vedlikeholder den og som driver den, og som derfor sitter med oversikten over hvordan ting henger sammen. Ofte kan dette være underlagt lovverk som hindrer dem i å dele informasjon, sier Vilhelm.

Fersk problematikk Dagbladet har for en tid tilbake varslet henholdsvis eierne eller Nasjonal sikkerhetsmyndighet (NSM) om systemene vi har funnet, og som vi oppfatter potensielt kan være sårbare.

Første gang NSM ble varslet om åpne Scada-systemer i Norge, var for to år siden. Da fikk de ei liste over 38 potensielt sårbare systemer fra amerikanske sikkerhetsmyndigheter. Ikke noe av dette var nasjonal, kritisk infrastruktur.

- DÅRLIG SIKRET: - Jeg tror de aller fleste ville blitt svært sjokkert over hvor dårlig beskyttet disse systemene er, sier forsker Eireann Leverett ved det internasjonale datasikkerhetsselskapet Ioactive. Foto: Espen Sandli / Dagbladet
- DÅRLIG SIKRET: - Jeg tror de aller fleste ville blitt svært sjokkert over hvor dårlig beskyttet disse systemene er, sier forsker Eireann Leverett ved det internasjonale datasikkerhetsselskapet Ioactive. Foto: Espen Sandli / Dagbladet Vis mer

- Siden 2011 har vi fått en håndfull varsler om åpne Scada-systemer på nett i Norge. Disse varslene håndterer vi ved å ta kontakt med internettleverandør og be dem varsle kunden, sier leder Marie Moe ved NSMs operasjonssenter.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer