I et omfattende cyberangreb sidte år kortlagde professionelle hackere fra hackergruppen ‘Dragonfly’ sårbarheder i hundredvis af energivirksomheder i Europa og det nordlige Amerika. I flere tilfælde var hackerne i stand til at trække stikket til elforsyningen.
Angreb som dette understreger vigtigheden af, at virksomheder og organisationer opprioriterer sikkerheden på de CTS-anlæg, der styrer de helt centrale systemer og installationer i bygningerne – for eksempel ventilation, varme og elforsyning.
Vi mener, at der er tale om reelle trusler, som bygningsejerne og brugerne skal være særskilt opmærksomme på.
Business Development Manager Søren Eriksen Trend Control Systems
Mange på nettet
Langt de fleste CTS-anlæg er i dag koblet til bygningens intranet. I mange tilfælde er anlæggene dermed også koblet på selve internettet.
Det betyder i praksis, at CTS-anlægget og de forskellige systemer og installationer, som CTS-anlægget regulerer og overvåger, i princippet kan blive udsat for hacking.
Umiddelbart kan man mene, at risikoen for hacking er lille. For hvem er interesseret i at tilegne sig adgang til data for en bygnings eller områdes energiforbrug og -forsyning? Er hackere ikke snarere interesserede i personfølsomme oplysninger, økonomidata, bankoplysninger, transaktionsoplysninger samt produktions- eller forskningsrelaterede data?
Ikke alle, hvilket hackerangrebet fra ‘Dragonfly’ viste. Ifølge Center for Cybersikkerhed, som er en del af Forsvarets Efterretningstjeneste under Forsvarsministeriet, vil fremtidige professionelle hackerangreb i høj grad sigte mod at ramme de systemer, der blandt andet varetager vores strøm-, vand- og varmeforsyning.
Reelle trusler
Derudover går en meget stor andel af de ‘ikke-professionelle’ hackeres aktiviteter ud på at ødelægge data og datastrukturer samt slet og ret at lægge systemer ned simpelthen fordi de kan.
– Vi mener, at der er tale om reelle trusler, som bygningsejerne og brugerne skal være særskilt opmærksomme på. Man kunne i princippet forestille sig risikoscenarier, hvor kølingen af serverrum i virksomheder lægges ned, og serverne dermed brænder sammen. Det kunne også være store supermarkeder og fødevarelagre, hvor køleanlæggene sættes ud af funktion. Eller det kunne være hospitaler, hvor hele afsnit afskæres fra energiforsyning. Konsekvenserne – både menneskelige og økonomiske – vil i sagens natur være store, siger Søren Eriksen, der er Business Development Manager hos Trend Control Systems, som er en af de førende leverandører af CTS-anlæg.
Forholdsregler
Først og fremmest bør alle CTS-driftsejere sikre, at der udarbejdes en detaljeret security policy for CTS-anlægget og de systemer og installationer, som anlægget regulerer. Det indbefatter også, at der bør vælges CTS-anlæg, der kan indstilles efter individuelle IT-sikkerhedskriterier, således at CTS-anlæg indgår som en integreret del af driftsejers IT-security policy.
– Cyber security er en central del af vores strategi. Men vi så meget gerne, at branchen generelt havde større fokus på problemstillingen. Vi har netop lanceret en ny version af vores systemsoftware, Trend 963 v3.71, der i særlig grad har fokus på cyber security. Produktet har bl.a. funktioner, der gør, at Trend CTS-anlæg kan indstilles efter individuelle IT-sikkerhedskriterier, har udvidet audit log funktioner samt anvender digitale sikkerhedscertifikater og krypteret datatransmission, fortæller Søren Eriksen.
Firewall og VPN
Sørg desuden altid for, at undercentralerne er forsynet med den seneste firmware fra leverandøren, og at der er god password-beskyttelse og password-politik også for disse.
Såfremt dit CTS-anlæg omfatter en eller flere undercentraler som er direkte tilgængelige via Internet browsere, bør du overveje hvorledes du kan beskytte dem mod indtrængen udefra. En god beskyttelse opnås f.eks. at anbringe dem bag en Firewall og tilgå dem via en VPN forbindelse.
Cyber security har hidtil ikke haft den store fokus, når det gjaldt CTS-anlæg og bygningsautomation, men da systemerne bliver stadig mere avancerede og indeholder større og større mængder af driftsdata, kan et hackerangreb få store konsekvenser for en bygnings driftsomkostninger og for genopbygning af CTS-anlægget og dets data.
Anbefalingen fra Trend Control Systems lyder, at bygningsejere uanset CTS-anlæggets fabrikat bør få foretaget en samlet risikovurdering af deres CTS-anlæg og på baggrund heraf få udarbejdet en IT-security policy for anlægget.
