BRUXELLES / AARHUS – Flere dage efter, at internationale hackere lagde beslag på interne systemer hos Vestas, oplevede både danske myndigheder og energibranchen en klar tilbageholdenhed hos den danske vindmølleproducent om at dele oplysninger, som kunne hjælpe andre dele af den danske energisektor med at tilrettelægge sit forsvar.

Det fremgår af en orientering indberettet af Energistyrelsen til Klima-, Energi- og Forsyningsministeriet, som EnergiWatch har fået aktindsigt i.

Her fremgår det, at både Energistyrelsen og andre aktører i energisektorerne i angrebets indledende fase oplevede, at Vestas var "tilbageholdende med at dele relevante og anvendelige informationer" om den aktuelle "cyberhændelse".

"Manglen på information forhindrer it-sikkerhedsaktører og selskaber i energisektorerne at foretage reelle risikovurderinger af situationen, hvilket foranlediger at de i stedet agerer ud fra ’worst-case’-scenarier," skriver styrelsen i opdateringen til ministeriet, der i dag bekræftes af en central embedsmand.

Hos Vestas afviser man kritikken. Virksomheden lægger vægt på, at der er kommunikeret "tidligt og meget".

Foranstaltninger på uoplyst grundlag

Ministeriets interne notat blev forud for et møde sendt mellem Vestas, Energinet, Energistyrelsen og brancheorganet inden for cybersikkerhed, Energicert. Ifølge Energistyrelsen var det dog allerede nu nødvendigt at overveje behovet for at søge yderligere dialog med Vestas for at sikre yderligere åbenhed om det aktuelle angreb.

Det var nødvendigt, så "både myndigheder, energiselskaber og it-sikkerhedsaktører kan træffe beslutninger om it-sikkerheden ud fra et oplyst grundlag", lød Energistyrelsens argument.

Mailen er dateret 24. november 2021 og dermed fem dage efter, at den danske vindmøllegigant blev ramt af et ransomwareangreb fra den internationale hackergruppe Lockbit 2.0.

Hos Energistyrelsen bekræfter kontorchef for beredskab Malene Hein Nybroe i dag forløbet over for EnergiWatch.

"Vi havde ønsket os, at de havde delt mere, hurtigere," indleder hun.

Efter mødet måtte styrelsen ifølge kontorchefen gøre alvor af sine overvejelser om at opfordre Vestas til mere åbenhed. Et ukendt sted i forløbet fik myndighederne noget af den information, man manglede.

"Det tog noget tid, men på et tidspunkt fik sektorens eksperter, Energicert, adgang til noget information, der gjorde, at de kunne betrygge selskaberne i, at det ikke var et worst case-scenarie," siger Malene Hein Nybroe, der dog ikke kan fortælle præcis hvornår.

Ville ikke dele angrebsplan

Hos Energistyrelsen lægger Malene Hein Nybroe vægt på, at danske myndigheder ofte kan stå i situationer, hvor der er et ønske om at få flere oplysninger om en konkret hændelse, end virksomheden kan eller vil udlevere af enten egne eller lavpraktiske hensyn.

Ifølge kontorchefen ville Vestas dog i forbindelse med hackerangrebet heller ikke oplyse de såkaldte "indicators of compromise", der kort fortalt udgør de indledende fund i forbindelse med et hackerangreb.

Oplysningerne ville ifølge kontorchefen have muliggjort for andre selskaber i sektoren at undersøge, om de var ramt af samme angreb.

"Det kan være alt fra hvilke IP-adresser, angrebet kommer fra, til hvilke metoder, hackerne har brugt," siger Malene Hein Nybroe.

Når Energistyrelsen taler om "andre aktører" på det danske energimarked, menes der primært ejere af vindmøller, der på grund af manglen på oplysninger har måttet lukke ned for alle forbindelser til Vestas, uddyber hun.

Manglen på oplysninger "kunne i sidste ende have fået den konsekvens, at de var blevet nødt til at stoppe energiproduktionen fra Vestas’ vindmøller," siger Malene Hein Nybroe.

International gruppe på skandinavisk krigssti

Som tidligere beskrevet af EnergiWatch har risikoen for hacker- og ransomwareangreb længe haft særligt virksomheder i forsyningssektoren i kikkerten. Blandt de mest kendte finder man angrebet mod f.eks. den amerikanske olieledning Colonial Pipeline, der i fjor påvirkede energiforsyningen og langs USA’s østkyst.

Hackergruppen bag kan ifølge rapporter fra Forsvarets Efterretningstjenestes cyberenhed, Center for Cybersikkerhed, angiveligt også have tråde til gruppen, som 19. november lagde beslag på Vestas’ interne IT-systemer.

Omfanget af hacket er endnu uklart, men som tidligere beskrevet af branchemediet Version2 er dele af hacket i dag tilgængeligt. Ifølge mediet har angrebet omfattet mere end 7.000 filer om både kunder og forhandlere for perioden 2018-2021.

Vestas har dog tilsyneladende ikke været ukendte med risikoen for at skulle håndtere et forestående angreb.

Efterretningstjeneste: Vestas-hackere kan have bånd til angreb på amerikansk olieledning

Tidligere advaret

Selvom den danske energisektor overordnet står uden hackerangreb i samme størrelsesorden som Vestas, har emnet allerede været på tale hos den danske vindmølleproducent.

Som tidligere beskrevet af EnergiWatch advarede Energinet allerede i 2018 Vestas om den udsatte risiko for cyberangreb.

"Der er nogle typer af virksomheder, som vi er opmærksomme på, kan udgøre en trussel for sektoren, selvom de ikke er omfattet af reguleringen. Dem har vi en mere uformel dialog med, og det har vi også haft for nogle år tilbage med Vestas," sagde kontorchef for beredskab hos Energistyrelsen Malene Hein Nybroe i december til EnergiWatch.

Hun understregede på daværende tidspunkt, at det ikke har været muligt at sige, hvilke hackergrupper dialogen handlede om.

Ifølge Center for Cybersikkerhed har den danske efterretningsarm dog løbende beskrevet bl.a. Lockbit-hackergruppen, som slog til mod Vestas, over for den danske energibranche.

Vestas: Vi har kommunikeret tidligt og hurtigt

Hos Vestas lægger kommunikationschef Anders Riis vægt på, at forløbet har været præget af retmæssig og nødvendig dialog med de relevante parter.

"Vi mener, at vi har kommunikeret tidligt, vi har kommunikeret meget, og det har vi gjort for at prøve at imødekomme alle interessenters behov efter bedste evne, herunder også i overensstemmelse med de love og bekendtgørelser, der er på området," siger kommunikationschefen, der generelt ikke kan genkende styrelsens udlægning.

"Vi mener, at vi har været rigtig åbne i forbindelse med cyberangrebet," siger Anders Riis.

Ifølge kommunikationschefen har åbenheden bl.a. været synlig i, at Vestas udsendte en indledende selskabsmeddelelse om hændelsen 15 timer efter, de blev bekendt med angrebet, der blev fulgt op af yderligere en meddelelse tre dage senere.

"Allerede her (i den anden meddelelse, red.) siger vi, at vi ikke har nogen indikationer på, at angrebet skulle omfatte andet end Vestas’ interne systemer," siger Anders Riis.

I har kommunikeret, at det handler om interne aspekter – men vi kan se, at myndighederne samme dag mener, at de mangler information, så de mener jo fortsat, at der mangler noget?

"Som jeg sagde indledningsvist: Vi har kommunikeret hurtigt, vi har kommunikeret meget, og vi har kommunikeret i overensstemmelse med de love og bekendtgørelser, der foreligger. Hvis en myndighed vurderer, at de har brug for yderligere information, så er det deres vurdering," svarer Anders Riis og tilføjer:

"Vi har ikke nogen interesse i at holde fakta tilbage over for myndighederne, hvis vi mener, det er sikkert at dele."

Ifølge Energistyrelsen har I ikke villet dele grundlæggende indicators of compromise. Hvordan kan det være?

"Vi har delt indicators of compromise med alle relevante interessenter på det tidspunkt, hvor vi har haft mulighed for det. Det kan selvfølgelig være, der er nogle, der mener, de skulle have haft dem før – men vi har gjort vores bedste for at informere vores interessenter retmæssigt."

Hvordan mener I selv, kommunikationen har været. Har I haft løbende kommunikation med styrelsen?

"Ja, vi har da inviteret styrelsen til møder. Derudover har de mødtes med forskellige eksperter i Vestas om angrebet, hvor vi har delt de fakta og informationer, som vi havde mulighed for på det pågældende tidspunkt," siger Anders Riis.

Vestas blev advaret om ransomwarerisiko allerede i 2018

Vestas om it-indbrud: Der er stjålet lønaftaler, pas- og bankoplysninger og ansættelseskontrakter

Hacket Vestas-data er blevet offentliggjort på nettet

Hackere skyder med spredehagl mod energisektoren