EnergiWatch

Cyberangreb mod fjernvarmen er femdoblet siden Ukraine-invasion

Hackerne går nu efter at lukke energisystemer ned – og de efterforskede angreb har russisk fingeraftryk, siger udviklingschef i Dansk Fjernvarme.

"Det er ikke bare phishing-mails, men også angreb mod operationel teknologi," siger Kim Behnke. | Foto: Gregers Tycho/JPA

Siden Rusland invaderede Ukraine, har Dansk Fjernvarme oplevet en markant stigning i antallet af cyberangreb mod sektoren.

Ikke blot er antallet af angreb steget med en "faktor fem", de er også i stigende grad rettet mod den operationelle teknologi, der holder den danske varmeforsyning kørende.

"Den største stigning ligger i antallet af angreb mod tekniske installationer, som man forsøger at lukke ned og dermed skabe uro og panik her hos os, når varmeforsyningen pludselig forsvinder," siger udviklingschef i Dansk Fjernvarme, Kim Behnke.

Vi er ovre i det, der hedder asymmetrisk krigsførelse. Der er ingen krav om at få penge. Der er nogen, der forsøger at lukke os ned for at skade os.

Kim Behnke, udviklingschef, Dansk Fjernvarme


"Eller endnu værre – hvis de er i stand til at afbryde elforsyningen," tilføjer han.

Siden udbruddet af krigen i Ukraine har medlemmerne af den danske energisektor holdt ugentlige beredskabsmøder med Energistyrelsen og brancheorganet for cybersikkerhed Energicert, hvor Kim Behnke deltager.

Går efter at skade systemer

Allerede inden Ruslands invasion af Ukraine var truslen mod den danske energisektor kategoriseret som "meget høj" af Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste.

Hidtil har de fleste angreb mod den danske energisektor dog ramt mere eller mindre tilfældige virksomheder med økonomisk afpresning for øje. Dette var tilfældet for ransomwareangrebet, der ramte Vestas i november sidste år.

Er der lige pludselig usædvanligt mange IP-adresser fra Sankt Petersborg, der interesserer sig for Hjørring Fjernvarme, så er det jo ikke fordi, de vil være kunder.

Kim Behnke, udviklingschef, Dansk Fjernvarme

Men i dag er billedet et andet, siger Kim Behnke.

"Vi er ovre i det, der hedder asymmetrisk krigsførelse. Der er ingen krav om at få penge. Der er nogen, der forsøger at lukke os ned for at skade os."

Selvom det er vanskeligt at afgøre med sikkerhed, hvor angrebene kommer fra, har efterforskningen af flere forsøg vist, at de bar "russisk fingeraftryk", siger Kim Behnke.

"Det er i hvert fald IP-adresser i Rusland, der står bag. Derfor tillader vi os at antage, at angrebene kommer fra Rusland, selvom man skal passe på med sådan noget."

Hackere har fulgt krigens koreografi

En anden kendsgerning styrker sektorens formodning om, at angrebene kommer fra Rusland 

Imens Rusland i januar sendte soldater til militærøvelser ved Hvideruslands grænse til Ukraine, oplevede også den danske fjernvarmesektor stigende aktivitet.

"Det var som om hackerne også var i gang med at holde øvelser," siger han.

Idet Rusland angriber Ukraine, falder antallet af cyberangreb mod den danske energisektor i "en uges tid", fortæller Kim Behnke.

"Men så var det som om, de fik tid til at bruge kræfter på os igen, og siden er det altså steget markant."

Fjernvarme-nedbrud kan ramme hospitaler

Selvom fjernvarmesystemet ikke udgør helt så kritisk infrastruktur som elnettet, kan nedlukninger få meget alvorlige konsekvenser.

"Fjernvarme bliver også leveret til sygehuse, og hvis ikke der er varme på et sygehus, så kan du ikke have patienter der," siger Kim Behnke.

Dog har fjernvarmen i Danmark den fordel i tilfælde af cyberangreb, at den er fordelt på 370 selskaber.

"Så man skal altså virkelig stå tidligt op i Sankt Petersborg, hvis man skal nå at lukke dem alle sammen ned, inden vi opdager det," siger Kim Behnke.

Skulle det derimod lykkes hackere at ramme det danske elnet, vil konsekvenserne se helt anderledes ud.

"Afbrydelse af elforsyningen er nok det værste, der kan ske. Hvis man angriber Energinet og lukker eltransmissionssystemet ned, så går hele Danmark i sort."

Også fjernvarmen er afhængig af elektricitet for at kunne pumpe varme ud i rørnettet.

Er der indtil videre nogen steder, hvor det er lykkedes at komme igennem med angreb?

"Det er der, men heldigvis ingen steder, hvor man for alvor har lavet skader."

"Hiv ledningen ud af væggen "

Dansk Fjernvarme er for tiden i tæt kontakt med energisektorens brancheorgan for cybersikkerhed Energicert, og hele sektoren holder altså ugentlige beredskabsmøder for at dele informationer. 

Energicert overvåger om energiselskaber oplever usædvanlig aktivitet fra IP-adresser i f.eks. Rusland.

"Er der pludselig usædvanligt mange IP-adresser fra Sankt Petersborg, der interesserer sig for Hjørring Fjernvarme, så er det ikke fordi, de vil være kunder – så er det fordi, de har onde hensigter," siger Kim Behnke.

Kim Behnke | Foto: PRDansk Fjernvarme
Kim Behnke | Foto: PRDansk Fjernvarme
Går alarmen hos Energicert, kontakter de fjernvarmeselskabet med det samme og beder dem "hive ledningen ud af væggen". Derefter holder man ganske enkelt øje med, hvad der sker og sender en vejledning ud til alle andre selskaber om at være opmærksomme på de samme tekniske installationer.

"Det er desværre så operationelt, det kører i øjeblikket," siger Kim Behnke.

På opfordring fra Energistyrelsen og Center for Cybersikkerhed har organisationen bedt alle medlemmer om at installere et såkaldt geofence, der sikrer, at virksomhedernes router slet ikke kan modtage noget fra IP-adresser i Rusland, Ukraine og Hviderusland.

Energicert er også i kontakt med udenlandske aktører som det norske Kraftcert og myndighederne i Tyskland, hvor vindmøller med en samlet kapacitet på 11 GW er blevet fraskåret kontakten til en satellitforbindelse. At et cyberangreb kan være årsagen, udelukkes ikke.

EnergiWatch har forsøgt at hente kommentarer om cybersikkerhedssituationen i resten af energisektoren, men har ikke fået svar fra Energicert eller Energistyrelsen inden artiklens deadline.

Truslen fra destruktive cyberangreb mod energisektoren er "lav" – men det kan ændre sig uden varsel 

"Vi er på stikkerne": Eskaleret konflikt kan medføre risiko for cyberangreb på kritisk infrastruktur  

Hackere skyder med spredehagl mod energisektoren  

Hackere afpresser Vestas' kunder med stjålne data  

Vestas-redegørelse: Cyberkriminelle advarede selv Vestas om igangværende hackerangreb 

Myndigheder: Vestas tilbageholdt "relevante og anvendelige" informationer om cyberangreb 

Vestas blev advaret om ransomwarerisiko allerede i 2018

International hackergruppe bag Vestas-angreb 

Mere fra EnergiWatch

Shell afviser at forholde sig til sviner mod dansk raffinaderi

Crossbridge Energy undersøgte raffinaderiet fuldt ud forud for overtagelsen, siger talsperson fra Shell. Talspersonen forholder sig imidlertid ikke til, at raffinaderiet kritiseres i hårde vendinger i en intern mail sendt af en kommunikationsansat hos Shell.

Læs også

Relaterede

Seneste nyt

EnergiWatch job

Se flere jobs

Se flere jobs

Watch job

Se flere jobs

Se flere jobs