På en sikkerhetskonferanse i New Orleans fredag, i regi av SANS Institute, advarte senioranalytiker i CIA, Tom Donahue, at det har vært minst ett tilfelle der hackere har angrepet elektriske anlegg over Internett, med den følgen at byer er blitt mørkelagt.
Donahue uttrykte seg slik, i et innlegg som ble lest av forskningsdirektør Alan Paller i SANS Institute:
– Vi har informasjon, fra flere områder utenfor USA, om kyberinnbrudd mot elektriske anlegg, som så er fulgt opp av forsøk på utpressing. Vi har ubekreftet mistanke om at noen av disse angriperne hadde kunnskapen fra innsiden. Vi har informasjon om at kyberangrep er brukt til å avbryte strømforsyningen i flere områder utenfor USA. I minst ett tilfelle førte avbruddet til strømstans i flere byer. Vi vet ikke hvem som gjennomførte disse angrepene eller hvorfor, men alle dreide seg om innbrudd over Internett.
I etterkant har flere medier forsøkt å få en utdypning fra CIA, blant annet for å få vite hvilke byer det dreier seg om, og når angrepene skjedde. De fikk denne kommentaren fra CIAs talsperson George Little:
– Vi har gitt den informasjonen som det er mulig å gi offentlig. Hensikten med kommentarene var bare å understreke overfor tilhørerne hva slags utfordringer mulige datainnbrudd stiller.
De siste årene har amerikanske myndigheter ivret for større sikkerhet i såkalte SCADA-systemer – «Supervisory Control And Data Acquisition» – det vil si systemer som styrer kritisk infrastruktur som strømforsyning, trafikksignaler i land og lufttransport, demninger og så videre.
Disse er i stadig større utstrekning blitt underlagt allmenne operativsystemer som Windows og Linux, med fjernstyring over Internett, gjerne over trådløse forbindelser. 85 prosent av USAs SCADA-systemer er i privat sektor.
Seminaret der CIA-analytikerens kommentar ble lest opp, handlet nettopp om sikring av SCADA-systemer.
Flere land, blant dem USA, Storbritannia og Tyskland, har de siste månedene opplevd kyberangrep mot datasystemer som kontrollerer kritisk infrastruktur. Angrepene stammer ikke fra terrorister, men fra myndigheter eller militære organer i andre land, mener man. Særlig Kina er kommet i søkelyset.
Les også:
- [04.09.2007] Folkehæren hacket seg inn i Pentagon
- [27.08.2007] Kina tappet info fra tyske regjerings-PC-er
_logo.svg.png){kind=logo}
På en kongresshøring i juni i fjor, om nye trusler og kybersikkerhet, advarte sjefsteknologi Keith Rhodes ved den amerikanske riksrevisjonen Government Accountability Office (GAO), at hacking mot strømforsyningen er en alvorlig trussel.
Da hadde eksperter tilknyttet USAs sikkerhetsdepartement, Department of Homeland Security, påvist en kritisk sårbarhet i et SCADA-system i bruk hos flere amerikanske strømleverandører.
I mars laget de en demonstrasjon der de viste hvordan et anlegg gikk opp i røyk og ble sprengt i filler som følge av et fingert hackerangrep. Demonstrasjonen, «Aurora Generator Test», ble filmet.
Filmen ble brukt til å overbevise myndigheter og bransjen om at det er behov for strenge IT-sikkerhetstiltak rundt SCADA-systemer. I juni i fjor la et offentlig organ, North American Electric Reliability Corp. (NERC), fram et utkast til åtte nye sikkerhetsstandarder fra SCADA-systemer. I forrige uke, dagen før konferansen til SANS Institute, ble en innstrammet utgave av disse standardene vedtatt av oppsynsorganet Federal Energy Regulatory Commission (FERC). De trer offisielt i kraft i løpet av 60 dager.
Standardene innebærer pålegg innen hvordan ressurser identifiseres, hvordan drift skal kontrolleres, opplæring, fysisk sikring, rapportering og katastrofeberedskap.
Ifølge uttalelser fra FERC, innhentet av SCMagazineUS.com, gjelder standardene alle som arbeider innen strømforsyning. En viktig justering som FERC gjorde, var å frata leverandører retten til å «sunn forretningssans» («reasonable business judgement») som påskudd til å la være å holde seg til standardene og retningslinjene som de innebærer.
FERC har også fått aksept for at leverandører som ikke følger påleggene i sine SCADA-systemer, kan bøtelegges med opptil en million dollar per dag og per tilfelle.
