Abonner
DIGITALISERING OG OFFENTLIG IT

Tog over hele Danmark stod i timevis: Hackere hadde installert kryptominer på serverne

I slutten av oktober stod tog over hele Danmark etter at det ble oppdaget en feil på et sikkerhetskritisk tredjepartssystem som benyttes av lokførerne til togselskapet DSB.

Lørdag 29. oktober stod tog fra DSB stille i et par–tre timer etter problemer med «Den Digitale Rygsæk 2».
Lørdag 29. oktober stod tog fra DSB stille i et par–tre timer etter problemer med «Den Digitale Rygsæk 2». Illustrasjonsfoto: Bahnfrend
Del
Kommenter
Martin Braathen Røise
17. nov. 2022 - 10:00

Senere viste det seg at nedbruddet skyldtes et angrep på systemleverandøren Supeo.

Lørdag 29. oktober stod tog fra DSB stille i et par–tre timer etter problemer med «Den Digitale Rygsæk 2». IT–systemet benyttes for å distribuere kritisk informasjon om hastighetsbegrensninger og vedlikeholdsarbeid langs jernbanenettet til togførerne.

– Vi er veldig nysgjerrige på hva sikkerhetsbristen innebærer, men vi kjenner simpelthen ikke svaret på det. Dette er en sak vi skal dykke inn i, sa informasjonssjef Tony Bispeskov i DSB – tidligere Danske statsbaner – til den danske rikskringkasteren DR da problemene først ble kjent.

– Veldig merkelig

Det danske togselskapet fikk mye kritikk fra ulike hold. Blant annet fra professor i digitalisering Jan Pries-Heje ved Roskilde universitet fordi de ikke har på plass skikkelige backupløsninger.

– Det er veldig merkelig at man blir nødt til å stanse all togtrafikken i Danmark fordi man ikke har backupsystemer. Det er rett og slett ikke godt nok, konstaterte han til Version2.

– Jeg ser fram til denne perioden og til å bidra til NSMs evne til å levere på sitt svært viktige samfunnsoppdrag, sier de Lars Christian Aamodt, påtroppende midlertidig direktør i Nasjonal sikkerhetsmyndighet (NSM).
Les også

Blir midlertidig NSM-sjef

Først fire dager etter togstansen var DSB klare til å stille til intervju om hendelsen.

Angrepet skyltes et hackerangrep på underleverandør Supeo, viste det seg. Hackerne hadde tatt seg inn i selskapets testmiljø, og siden underleverandøren ikke var sikre på om også produksjonsmiljøet var påvirket, valgte selskapet å ta ned begge deler.

Offlinemodus funket ikke

Sikkerhetssjef Carsten Dam Sønderbo-Jacobsen i DSB forteller til Version2 at det i utgangspunktet ikke burde vært et problem.

Artikkelen fortsetter etter annonsen
annonsørinnhold
PwC
– Vi har vår egen ChatPwC som kjører lokalt. Vi deler derfor ingen informasjon ut av huset

Systemet skal nemlig fungere i offline modus, men denne gangen skapte nedstengingen følgefeil også hos IT–driftsmiljøet til DSB, noe som gjorde at backupløsningen ikke fungerte som den skulle.

Siden nødprosedyrene ikke fungerte, måtte også togdriften innstilles.

– Så snart Supeo fant ut at produksjonsmiljøet ikke var kompromittert, åpnet vi opp for normal drift igjen, sier sikkerhetssjefen til den danske nettavisen.

Installerte kryptominer

Tilsynelatende var ikke angriperne ute etter å ta ned den danske jernbanen.

Undersøkelser viste nemlig at de hadde benyttet seg av en usikker port og installert programvare for å utvinne kryptovaluta i testmiljøet til den danske underløverandøren

DSB er imidlertid ikke helt fortrolige med den forklaringen, og er i gang med en grundig analyse for å komme til kjernen av problemet.

Det danske togselskapet lover at de med tiden skal få på plass bedre backupløsninger som sørger for at lignende problemer ikke oppstår igjen.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess

– Vi føler oss overbevist om at det ikke var tale om sabotasje eller spionasje, men snakk om økonomisk kriminalitet, sier sikkerhetssjef Dam Sønderbo-Jacobsen.

 

Dårlig sikkerhet hos tredjeparter

I Norge har Nasjonal sikkerhetsmyndighet (NSM) i lengre tid advart mot angrep mot leverandørkjeden. En kartlegging utført av DNV i mai i år visste at leverandørkjeden er mer eller mindre glemt av norske selskaper.

Det skyldes i hovedsak at det i stor grad inngås langtidskontrakter med små underleverandører.

DNV ser et stort etterslep på den innebygde sikkerheten fordi utviklingen i interkonnektiviteten globalt har gått raskere enn beskyttelseskravene som stilles, fortalte sikkerhetsdirektør Boye Tranum i DNV da vi snakket med ham sist.

NSM-direktør Sofie Nystrøm under Sikkerhetsfestivalen 2022. <i>Foto:  Harald Brombach</i>
NSM-direktør Sofie Nystrøm under Sikkerhetsfestivalen 2022. Foto:  Harald Brombach

– De fleste virksomheter som har samfunnsviktige funksjoner, stiller interne krav til forsvarlig sikkerhet. Så der har vi kommet ganske langt. Men de avhengigheter som vi har til andre virksomheter, ofte private, blir glemt, for eksempel IT-leverandører og konsulenter, sa NSM-direktør Sofie Nystrøm under Sikkerhetsfestivalen 2022 og fortsatte:

– Ofte ser vi at virksomheter lenger ned i verdikjedene oftere rammes av cyberhendelser.  Derfor er det utrolig viktig å ha en helhetlig oversikt over verdiene sine, helt til strømforsyningen. Min formaning til dere som styrer dette er: Still krav, og følg opp og bruk penger på det. Det er mye billigere enn å rydde opp.

Flere togselskaper tar grep

Angrepet på DSB i slutten av oktober har nå fått de andre danske jernbaneselskapene Arriva Tog, Movia og Nordjyske Jernbaner til å gjennomgå egne beredskapsplaner.

– Hendelsen hos Supeo og DSB gjør at vi må ta en runde og kikke på sikkerheten hos våre egne underleverandører, sier administrerende direktør Martin Sort Mikkelsen i Nordjyske Jernbaner til ITWatch.

OSLO 20240212 NSM-sjef Lars Christian Aamodt under fremleggelsen av de årlige risikovurderingene. Foto: Arash A. Nejad
Les også

Profiltung søkerliste til jobben som NSM-direktør

Les mer om:
DIGITALISERING OG OFFENTLIG ITSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Kreditorforeningen
Senior IT-konsulent
Kreditorforeningen
Bergen
30. apr.
    En tjeneste fra