DIGITALISERING OG OFFENTLIG IT

Tog over hele Danmark stod i timevis: Hackere hadde installert kryptominer på serverne

I slutten av oktober stod tog over hele Danmark etter at det ble oppdaget en feil på et sikkerhetskritisk tredjepartssystem som benyttes av lokførerne til togselskapet DSB.

Lørdag 29. oktober stod tog fra DSB stille i et par–tre timer etter problemer med «Den Digitale Rygsæk 2».
Lørdag 29. oktober stod tog fra DSB stille i et par–tre timer etter problemer med «Den Digitale Rygsæk 2». Illustrasjonsfoto: Bahnfrend

Senere viste det seg at nedbruddet skyldtes et angrep på systemleverandøren Supeo.

Lørdag 29. oktober stod tog fra DSB stille i et par–tre timer etter problemer med «Den Digitale Rygsæk 2». IT–systemet benyttes for å distribuere kritisk informasjon om hastighetsbegrensninger og vedlikeholdsarbeid langs jernbanenettet til togførerne.

– Vi er veldig nysgjerrige på hva sikkerhetsbristen innebærer, men vi kjenner simpelthen ikke svaret på det. Dette er en sak vi skal dykke inn i, sa informasjonssjef Tony Bispeskov i DSB – tidligere Danske statsbaner – til den danske rikskringkasteren DR da problemene først ble kjent.

– Veldig merkelig

Det danske togselskapet fikk mye kritikk fra ulike hold. Blant annet fra professor i digitalisering Jan Pries-Heje ved Roskilde universitet fordi de ikke har på plass skikkelige backupløsninger.

– Det er veldig merkelig at man blir nødt til å stanse all togtrafikken i Danmark fordi man ikke har backupsystemer. Det er rett og slett ikke godt nok, konstaterte han til Version2.

Les også

Først fire dager etter togstansen var DSB klare til å stille til intervju om hendelsen.

Angrepet skyltes et hackerangrep på underleverandør Supeo, viste det seg. Hackerne hadde tatt seg inn i selskapets testmiljø, og siden underleverandøren ikke var sikre på om også produksjonsmiljøet var påvirket, valgte selskapet å ta ned begge deler.

Offlinemodus funket ikke

Sikkerhetssjef Carsten Dam Sønderbo-Jacobsen i DSB forteller til Version2 at det i utgangspunktet ikke burde vært et problem.

Systemet skal nemlig fungere i offline modus, men denne gangen skapte nedstengingen følgefeil også hos IT–driftsmiljøet til DSB, noe som gjorde at backupløsningen ikke fungerte som den skulle.

Siden nødprosedyrene ikke fungerte, måtte også togdriften innstilles.

– Så snart Supeo fant ut at produksjonsmiljøet ikke var kompromittert, åpnet vi opp for normal drift igjen, sier sikkerhetssjefen til den danske nettavisen.

Installerte kryptominer

Tilsynelatende var ikke angriperne ute etter å ta ned den danske jernbanen.

Undersøkelser viste nemlig at de hadde benyttet seg av en usikker port og installert programvare for å utvinne kryptovaluta i testmiljøet til den danske underløverandøren

DSB er imidlertid ikke helt fortrolige med den forklaringen, og er i gang med en grundig analyse for å komme til kjernen av problemet.

Det danske togselskapet lover at de med tiden skal få på plass bedre backupløsninger som sørger for at lignende problemer ikke oppstår igjen.

– Vi føler oss overbevist om at det ikke var tale om sabotasje eller spionasje, men snakk om økonomisk kriminalitet, sier sikkerhetssjef Dam Sønderbo-Jacobsen.

 

Dårlig sikkerhet hos tredjeparter

I Norge har Nasjonal sikkerhetsmyndighet (NSM) i lengre tid advart mot angrep mot leverandørkjeden. En kartlegging utført av DNV i mai i år visste at leverandørkjeden er mer eller mindre glemt av norske selskaper.

Det skyldes i hovedsak at det i stor grad inngås langtidskontrakter med små underleverandører.

DNV ser et stort etterslep på den innebygde sikkerheten fordi utviklingen i interkonnektiviteten globalt har gått raskere enn beskyttelseskravene som stilles, fortalte sikkerhetsdirektør Boye Tranum i DNV da vi snakket med ham sist.

NSM-direktør Sofie Nystrøm under Sikkerhetsfestivalen 2022.
NSM-direktør Sofie Nystrøm under Sikkerhetsfestivalen 2022. Foto: Harald Brombach

– De fleste virksomheter som har samfunnsviktige funksjoner, stiller interne krav til forsvarlig sikkerhet. Så der har vi kommet ganske langt. Men de avhengigheter som vi har til andre virksomheter, ofte private, blir glemt, for eksempel IT-leverandører og konsulenter, sa NSM-direktør Sofie Nystrøm under Sikkerhetsfestivalen 2022 og fortsatte:

– Ofte ser vi at virksomheter lenger ned i verdikjedene oftere rammes av cyberhendelser.  Derfor er det utrolig viktig å ha en helhetlig oversikt over verdiene sine, helt til strømforsyningen. Min formaning til dere som styrer dette er: Still krav, og følg opp og bruk penger på det. Det er mye billigere enn å rydde opp.

Flere togselskaper tar grep

Angrepet på DSB i slutten av oktober har nå fått de andre danske jernbaneselskapene Arriva Tog, Movia og Nordjyske Jernbaner til å gjennomgå egne beredskapsplaner.

– Hendelsen hos Supeo og DSB gjør at vi må ta en runde og kikke på sikkerheten hos våre egne underleverandører, sier administrerende direktør Martin Sort Mikkelsen i Nordjyske Jernbaner til ITWatch.

Les også

Kommentarer:

Vi har byttet system for artikkelkommentarer. For å opprette brukerkonto, registrerer du deg med BankID.