Dagbladet avslører:

Russere angrep vannsystemet i Drammen

Kort tid etter at hackere forsøkte å forgifte drikkevannet til 15 000 i USA, brøt russiske hackere seg inn på vannsystemet til Drammen kommune. Da gikk alarmen.

ANGREPET: Russiske hackere angrep vannsystemet i Drammen kommune. Her er drikkevannskilden Glitre utenfor Drammen. Foto: Per Fjordvang
ANGREPET: Russiske hackere angrep vannsystemet i Drammen kommune. Her er drikkevannskilden Glitre utenfor Drammen. Foto: Per Fjordvang Vis mer
Publisert

Russiske hackere rystet Norge i slutten av juni, da de lammet en rekke offentlige nettsteder i et varslet angrep. Hackerne var i intervju med Dagbladet åpne på at angrepet var politisk motivert. Tidligere har Dagbladet avslørt at russiske hackere også angrep Hurtigruten og Amedia - to store dataaangrep der angriperne tidligere ikke har vært kjent.

I midten av februar i fjor ble Drammen kommune utsatt for et hackerangrep på en del av infrastrukturen for vann og avløp. Dagbladet og Kommunal rapport kan nå avsløre at hendelsen ble satt i sammenheng med et forsøk på å forgifte drikkevann i et område i Florida.

Angrepet skjedde nemlig kort tid etter at et vannverket i Oldsmar i Florida i USA ble utsatt for et datainnbrudd.

- Hendelsen i USA var interessant, siden det var et lite vannverk. Vi tok da en vurdering av datasikkerheten i vannverk, og konklusjonen er egentlig ikke overraskende, sier daglig leder Margrete Raaum i cyberresponsselskapet KraftCERT.

ANGREPET FØRST: Det alvorlige datainnbruddet på vannforsyningssystemet i Oldsmar i Florida kunne ha skjedd i Norge, mener norske cyberspesialister. Foto: Google Maps
ANGREPET FØRST: Det alvorlige datainnbruddet på vannforsyningssystemet i Oldsmar i Florida kunne ha skjedd i Norge, mener norske cyberspesialister. Foto: Google Maps Vis mer

Kan skje i Norge

I Florida klarte hackerne å koble seg inn på skalasystemet til vannforsyningen til 15 000 innbyggere, og de justerte opp mengden av det giftige stoffet lut i vannet til over 100 ganger normalnivået. Lut benyttes til å justere ph-verdiene i vannet.

Dette kunne ha gitt konsumentene etseskader på hud og slimhinner, i verste fall fatale følger. Ifølge CNN er det uklart hva slags konsekvenser det ville ha fått om hackingen i Florida ikke hadde blitt oppdaget raskt.

Hendelsen førte til at alarmen gikk i cyberresponsmiljøet i Norge . Datasikkerhetsspesialistene i kommunesektoren, kraft- og petroleumsbransjen, og vannbransjen vurderte om tilsvarende hendelse kunne ha skjedd i Norge. De utformet et etterretningsnotat som ble sendt ut til norske kommuner med en tydelig konklusjon.

«Tilsvarende sikkerhetsmangler vet vi at også finnes i Norge. Om ikke disse håndteres vil tilsvarende angrep sannsynligvis gjennomføres mot norske virksomheter», heter det i etterretningsnotatet utformet av KraftCert, Kommune-CSIRT og Norsk Vann.

ADVARER: Bjørn Tveiten i KommuneCSIRT advarer om datasikkerheten i vann- og avløpssystemene i kommunene. Foto: Kristian Ridder-Nielsen
ADVARER: Bjørn Tveiten i KommuneCSIRT advarer om datasikkerheten i vann- og avløpssystemene i kommunene. Foto: Kristian Ridder-Nielsen Vis mer

- Aldri noen fare

I brevet til kommunene ble angrepet mot Drammen kommune betegnet som «en pågående sikkerhetshendelse hos en norsk kommune», og kommunene ble oppfordret til å gjennomgå datasikkerheten på vann- og avløpssystemet.

- I Florida var det snakk om helt elementære brudd på sikkerheten, og vi er noe bedre rustet i Norge. Men, det er gjerne snakk om eldre systemer i vann- og avløpsetatene, og dette medfører større sårbarhet og større beskyttelsesbehov, sier Raaum.

Ifølge Drammen kommune skjedde datainnbruddet på en server uten kontakt med selve vannforsyningssystemet.

- Det var aldri noen fare for at dette dataangrepet truet vannforsyningen på noen måte, og hackerne fikk heller ikke tilgang på personinformasjon. Det var ingen stor trussel, men det skulle aldri ha skjedd, sier virksomhetsleder IKT Svein Hilding Aasen i Drammen kommune.

Kommunen engasjerte Atea IRT for å undersøke datainnbruddet, og selskapet har utformet en rapport om hendelsen. Drammen kommune har nektet Dagbladet og Kommunal Rapport innsyn i rapporten.

HACKET: I desember 2020 ble Hurtigruten angrepet av ukjente hackere. Dagbladet kan nå avsløre hvem som sto bak angrepet. Hackerne er fortsatt på frifot. Video: Britisk politi. Reporter: Marthe Tveter Gjønnes. Vis mer

Russiske aktører

Dagbladet og Kommunal Rapport kan avsløre at det var den russiske hackergruppen Avaddon som sto bak dataangrepet mot vanninfrastrukturen i Drammen. Dette bekreftes også av kilder i Drammen kommune.

Ifølge teknologinettstedet zdnet.com la hackergruppen Avaddon ned sin virksomhet i juni 2021, noen måneder etter angrepet mot Drammen. Kommunal Rapport og Dagbladet har forsøkt å spore opp medlemmer av Avaddon for å kommentere saken, men vi har ikke lykkes å komme i kontakt med gruppen.

Hackerne krypterte filene på en server driftet av vann og avløpsetaten, men gode back up-rutiner sørget for at kommunens data var sikret. Politiet mener at alt tyder på at det var et typisk løsepengeangrep.

- Vi har konkludert med at hensikten bak dataangrepet var økonomisk vinning, og ikke terror eller skade. Etterforskningen klarte ikke å identifisere angripernes IP-adresse, og saken er derfor henlagt grunnet ukjent gjerningsperson, sier politiinspektør Hans Erik Seljordslia i politidistriktet Sør-Øst.

Han ønsker ikke å kommentere opplysningene Kommunal Rapport og Dagbladet sitter på om at det var hackergruppen Avaddon som sto bak angrepet.

- Urovekkende

Undersøkelser fra Dagbladet og Kommunal Rapport viser at en rekke kommuner, fylkeskommuner og statlige etater har blitt utsatt for datainnbrudd de siste årene, og mange av angrepene er utført av russiske hackergrupper. Angrepet på Østre Toten i september i fjor er et eksempel på dette.

Cyberspesialistene i Kommune-CSIRT mener det er sikkerhetshull i kommunenes systemer for vann- og avløp.

- Vi ser at datasikkerheten i kommunenes VA-systemer ofte er hakket lavere enn det vi ser på IKT-systemene generelt. Det er urovekkende, og jeg frykter at det som skjedde i Florida også kan skje i Norge, sier leder av Kommune-CSIRT Bjørn Tveiten.

KommuneCSIRT mener at digitaliseringen av vann og avløpssystemet og IKT-tjenestene har skjedd uavhengig av hverandre i de fleste kommuner. Dette fører til datastrukturen i vann og avløpssektoren ikke nødvendigvis får like høy datasikkerhet som IKT-tjenestene.

- Hovedårsaken til denne skjevheten i datasikkerhet kan ligge i at ansatte i vann- og avløpsetatene, naturlig nok, ikke har den samme kompetansen på datasikkerhet som fagpersonene i IKT-avdelingene, sier Tveiten.

Lavere sikkerhet

- Burde ikke datasystemene for vann hatt ekstra høy sikkerhet?

- Jo, dette er en svært kritisk tjeneste, og vi er veldig engstelige for sårbarheten til vann- og avløpsstrukturen når det gjelder datasikkerhet. Dette er et område vi mener kommunene raskt bør ta tak for å øke sikkerheten, sier Tveiten.

MÅ TA TAK: - Vann og avløp er en kritisk tjeneste, påpeker Bjørn Tveiten. Foto: Kristian Ridder-Nielsen
MÅ TA TAK: - Vann og avløp er en kritisk tjeneste, påpeker Bjørn Tveiten. Foto: Kristian Ridder-Nielsen Vis mer

Som i mange andre kommuner hadde vann- og avløpsetaten i Drammen egne servere for vann og avløpssystemet. Denne serverparken ble driftet av VA-etaten alene. Etter dataangrepet har kommunen endret strategi for å styrke datasikkerheten for VA-systemet.

- Nå har vi en felles strategi, og det er en stor fordel. Å ha en profesjonell IKT-organisasjon i ryggen gir helt klart en ekstra trygghet, sier Aasen i Drammen kommune.

Flere spor fra et dataangrep mot Dagbladet, VG, NRK og norske myndigheter leder til Egentic: et selskap som ble startet i stua til en tysk adelsmann. Reporter: Torgeir Krokfjord, Video: Lars Eivind Bones / Dagbladet Vis mer

Er ikke så bekymret

Norsk Vann er den nasjonale interesseorganisasjonen for vannbransjen. Organisasjonen eies av kommunene, og totalt er 320 av landets 356 kommuner medlemmer.

Organisasjonen viser til sikkerheten for infrastrukturen for vann er høyt prioritert av kommunene, og at det skal mye til for at hackere skal ta kontroll over driftskontrollsystemet for vann.

- Hacking kan skape masse krøll og støy, og det kan muligens medføre mindre forstyrrelser i vannleveransene, sier avdelingsleder Kjetil Furuberg for vanntjenester i Norsk Vann.

At det er svakere datasikkerhet i VA-sektoren enn i IKT-sektoren mener han ikke er et gitt faktum i alle kommuner.

- Dersom det mangler riktig og tilstrekkelig datakompetanse i VA-avdelingene er det rimelig å anta at datasikkerheten er lavere for VA enn for IKT, sier Furuberg.

Han peker på at infrastrukturen for vann er nøye overvåket, og at det i kritiske situasjoner er mulig å løse eventuelle utfordringer manuelt, eller ved å benytte reservevannsforsyning.

- Det er mulig hackere kan forstyrre vannleveranse og svekke rensingen av vannet i en kortere periode, men jeg er ikke så bekymret for at innbyggerne skal få helseskadelig vann som følge av datainnbrudd, sier han. Han viser til at kommunene må ha et bevisst forhold til trusselbildet, og at IKT-tjenesten og vann- og avløpstjenesten må samarbeide. Han tror at de mellomstore kommunene kan ha vanskeligheter med å sikre seg nok kompetanse innen datasikkerhet på vann- og avløpsområdet.

Denne artikkelen er laget i et samarbeid mellom Dagbladet og Kommunal Rapport.

Vi bryr oss om ditt personvern

Dagbladet er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer