I morgon, den 23 december 2016, är det ett år sedan stora delar av elnätet i Ukraina slogs ut. Jag tror att det är den hitintills mest skadliga cyberattacken, i alla fall mot ett IoT-system. Myndigheterna i USA har konstaterat att samma sak skulle kunna hända där. Det kanske till och med skulle kunna hända här.
I takt med att vi använder IoT allt mer ökar risken för en attack. Även om konsekvenserna inte behöver bli lika förödande som vid ett utslaget elnät, så kan effekterna av ett intrång ha långtgående och kostsamma följder för exempelvis ett drabbat företag. Det är därför viktigt att förstå hur attacken kunde hända och hur vi kan skydda oss.
Det började med ett mejl, ett så kallat ”spear phishing” mejl. Det räckte med att en anställd föll för mejlet, så var hackarna inne i elbolagets administrativa system.
Väl på insidan installerade hackarna malware för att lyssna av nätet. På det sättet fick de tag på behörighet till styrsystemen för elnätet. Hackarna kunde genomföra en eskaleringsattack, eftersom näten var hopkopplade och vissa användare hade samma lösenord i båda systemen.
När hackarna nått så här långt installerade de en ny och elak version av styrsystemet i elnätets brytare. Till en början gjorde den nya programvaran ingen skada. Det hade funnits gott om tid att åtgärda problemet.
Den 23 december skickade hackarna ut en aktiveringssignal. Samtliga infekterade brytare öppnades så att strömmen bröts. Brytarna vägrade att svara på order från kontrollrummet för att släppa fram strömmen igen. Operatörerna var tvungna att skicka ut elektriker för att göra arbetet manuellt, men samtidigt som elnätet slogs ut aktiverade hackarna kontrollrummens telefoner genom en överbelastningsattack. En robot ringde hundratals samtal samtidigt till alla kända telefonnummer. Det blev därför omöjligt för operatörerna att skicka arbetsorder till fältarbetarna, och utan arbetsorder kunde inte de utföra farligt arbete.
Hackarna i Ukraina är rimligen ganska nöjda med sin insats. Förmodligen har de och deras många kollegor fått blodad tand. Det är omöjligt att veta hur många elnät eller andra kritiska system som redan är infekterade och klara att slås ut. Det vi säkert kan veta är att det är dags att på riktigt se över sitt skydd. Här är några sätt att skydda sig för just de svagheter som utnyttjades i Ukraina:
- Känsliga uppgifter och system behöver ett starkare inloggningsskydd. Det räcker inte med användarnamn och lösenord.
- Det är viktigt att alltid veta den verkliga konfigurationen på enheterna i nätet. Ändras programvaran – till en malware – behöver man veta det.
- IoT och SCADA enheter har ofta ett alltför rudimentärt skydd. Säker kommunikation och signerade order behövs för att undvika att obehöriga tar över kontrollen.
- Samhällskritiska digitala system behöver en analog backup. Hade man haft tillgång till radio kunde man ha återstartat elnätet mycket snabbare.
- Alla anställda och deras konton, även de som inte har direkt tillgång till känsliga uppgifter och system, behöver skyddas. Det behövs både utbildning och tekniskt skydd. Det räcker med att en enda anställd öppnar ett mail…
Ett år har gått. Attacker mot IoT-system kommer bara att bli vanligare i framtiden. Attackerna kan vara motiverade av missriktat intresse eller brottslighet. Vi kommer också att se fler attacker som är en del av asymmetrisk krigsföring – vare sig det är nationalstater eller terrorister som ligger bakom. Det är dags att ännu en gång ta en ordentlig titt på säkerheten i systemen.