Advarer mot dårlig cybersikkerhet i VA

Hackere kan på et øyeblikk bryte seg inn i SCADA-systemet som driver vannforsyningen i kommunen din. Illustrasjonsbilde: Getty Images.

IT- og cybersikkerheten innen VA og vannforsyning er ikke som den burde være. Folk med skumle hensikter kommer seg lett inn, og kan gjøre mye skade på både vannforsyning og befolkning. – Det er ganske alvorlig, advarer Bjørn Tveiten i Kommune-CSIRT.

Publisert: 7 Nov 2022

Av Jørn Søderholm

– Hva er viktig for kommuner og vannverk å være klar over?

– Hvor enkelt det kan være for uvedkommende å komme seg inn i kommunenes systemer? Og hvor stor risikoen er ved det? Jeg har nylig snakket med VA-folk i kommuner som har passord med fire bokstaver for ekstern pålogging på driftssystem. Fire bokstaver! For en som vil tar det ti sekunder å bryte seg inn i det. Det er ganske alvorlig. Her er det svakheter som gjør det ganske enkelt for uvedkommende å gjøre stor skade på vannforsyning og befolkning, sier daglig leder Bjørn Tveiten i Kommune-CSIRT.

Det er en bedrift og et kunnskapsmiljø man skal være litt IT-kyndig for å skjønne hva de driver med. Men det trengs svært lite datakunnskap for å skjønne at dette er et viktig område. Livsviktig, faktisk. Her bør du derfor lese videre om du er i nærheten av å jobbe med vann og VA. Kommune-CSIRT er et interkommunalt selskap, eid av Gjøvik og Lillehammer kommuner. Det er etablert for å være en nasjonal ressurs for alle landets kommuner og fylkeskommuner.

Cybersikkerhet for kommuner
Som de sier på sin egen webside:

«Ved å være en del av den nasjonale CERT/CSIRT-strukturen med Nasjonal sikkerhetsmyndighet (NSM) sitt Nasjonalt Cybersikkerhetssenter (NCSC) som naturlig midtpunkt, bidrar Kommune-CSIRT med rådgivning og å bringe relevant og bearbeidet informasjon direkte til medlemskommunene, basert på eget arbeid og fra sentrale, nasjonale og internasjonale kilder».

Falt du av nå?

Ok, la oss si det på en annen måte – og med kulepunkter:

Kommune-CSIRT har fagfolk med solid kompetanse i cyber- og IT-sikkerhet.

De bistår kommuner, fylkeskommuner, vannselskaper og andre IKS-er med IT-sikkerhet.
De finner svakheter i kommunenes systemer og hjelper til med å tette hullene.
De driver digital trussel-etterretning, har tett kontakt med Nasjonal sikkerhetsmyndighet (NSM) og KS.
De har god oversikt over cyberdomenet, der det «renner» en jevn og stri strøm av digital kriminalitet og terrorvirksomhet. Ofte(st) utført av russiske, kinesiske, nord-koreanske eller iranske hackere.

Bjørn Tveiten snakket om cybersikkerhet til VA-folk på Vanndagene på Vestlandet. Foto: Jørn Søderholm.

Hva hackerne gjør?
Tja, de kan:

• på et øyeblikk bryte seg inn i SCADA-systemet som driver vannforsyningen i kommunen din, og stelle i stand stor skade der.

• stenge ned anlegget, låse kommunen ute av det, manipulere anlegget eller rappe informasjon.

• kreve løsepenger for den rappede informasjonen, og for å låse opp systemet.

• selge eller dele informasjonen på det mørke nettet, selv om du har betalt løsepenger.

Og det er fint lite kommunen eller vannselskapet kan gjøre med det. Bjørn Tveiten delte noe av denne kunnskapen i et innlegg på Vanndagene på Vestlandet i slutten av september.

Vann er en kritisk tjeneste
– Vannforsyning og vannverk er en kritisk tjeneste for innbyggerne. Det er det ingen tvil om. Det er også en GNF, en Grunnleggende Nasjonal Funksjon. Vannforsyning er definert som en kritisk tjeneste av EU. Og den er kommunenes ansvar. Vi registrerer ofte når vi snakker med vann- og avløpsorganisasjonen rundtomkring at det har foregått parallelle digitaliseringsløp, sa Tveiten.

Det vil si at VA i stor grad opererer på egen hånd, frikoblet fra andre deler av kommunen. Også IT.

– Vi har vært inne i kommuner der vi har sagt til VA / teknisk at de må snakke med IT. Da har vi fått til svar at "nei, IT skal ikke komme her å si hva vi skal gjøre. Og motsatt, der IT har sagt at de ikke skal eller vil ha noe med det tekniske i VA å gjøre, sier Tveiten.

Mangler automatikere
Han er fagmann innenfor digital sikkerhet. Han har jobbet i årevis i Nasjonal Sikkerhetsmyndighet (NSM). Han har sittet tett på flere av de store hendelsene her i landet av cyberangrep. Og han rister på huet av kommuner og vannselskaper som opererer med skremmende enkel tilgang for eksterne i helt sentrale systemer. Ekstern tilgang som er der med god grunn:

– Ofte mangler kommunene egne automatikere. De er det ofte leverandørene av systemene som har. De vil gjerne på kontoret hjemme hos seg og gjøre jobben på avstand. Og de får også ofte høyere rettigheter enn selv operatørene, sier han.

Ekstern pålogging største fare
Den typen ekstern tilgang er et av de største faremomentene. Ett eksempel, fra et vannforsyningsanlegg i Florida: Operatøren følger med på skjermen, og aner fred og ingen fare over kaffekoppen. Brått tok noen kontroll på skjermen. I løpet av et par sekunder hadde vedkommende økt tilsetningen av lut i vannet med 100 ganger. Årsaken? Et sted sto en PC med tilgang til systemet, med programmet Team Viewer oppkoblet. Det er et program som skal gjøre det enkelt for en ekstern supportperson å utføre arbeid på en datamaskin. Du har kanskje vært borti det...?

Vanndagene på Vestlandet fikk 355 besøkende fra 24 kommuner hørte innlegg av 15 foredragsholdere og besøkte 74 utstillere. Det er nesten all time high. Foto: Jørn Søderholm.

- Må tas på alvor
– Heldigvis fikk de stoppet det angrepet i tide. Men det var en skremmende hendelse, og den har gjort at mange har fått øynene opp for å beskytte seg bedre. Vann og avløp i Nedre Eiker opplevde et angrep med pålogging utenfra med brukernavn og passord. Angriperen krypterte den administrative delen av systemet. Selve driftsdelen virket, men alt av alarmer og sentral styring var borte. Folk måtte reise rundt fysisk for å sjekke om alt var i orden. Det var et angrep med små konsekvenser. En vannforsyning i Storbritannia ble tatt av noen som kaller seg Clop ransomware. De er spesialisert på vannverk. Den greske gassrøroperatøren Desfa ble tatt så sent som i august i år. Hver dag stoppes mange angrep. Dette MÅ tas på alvor, advarer Bjørn Tveiten.

Gemini gikk ned etter cyberangrep
I mai i fjor opplevde Volue (tild. Powel) et cyberangrep som har fått lite oppmerksomhet i VA fagmedia, men som fikk store konsekvenser for mange kommuner. Selskapet eier Gemini-plattformen, med systemer mange kommuner er opptatt av. Bjørn Tveiten og kollegaene i Kommune-CSIRT fikk mange telefoner fra fortvilte kommunalsjefer, som blant annet manglet tilgang til alt av kart med alle kommunens ledninger. Volue måtte ta et tap på 30-40 millioner kroner etter angrepet.

– VA er ingeniørdrevet, med høy faglig stolthet og integritet. Det er mye bra jobb som blir gjort. Men man har ikke den cybersikkerhetskompetansen som også kreves i styringen av vannverk, fordi det er kraftig økning av kompleksiteten og automatisering, sier Bjørn Tveiten i Kommune-CSIRT.

Viktigste mottiltak mot cyberangrep:

• Bruk flerfaktor-autorisasjon for ALL pålogging utenfra.

• Sørg for å ha reell backup, lagret uten tilkobling til systemet.

• Del opp systemet i soner med brannmurer. Pålogging, applikasjon og driftskontroll i hver sine soner. Norsk Vann har en god rapport om dette.

• Vær oppdatert i programvare og utstyr.

• Fjern utdatert utstyr fra systemet.

• Vær forberedt. Ha en plan for hva dere gjør hvis «hele skiten» går ned eller blir låst. Ha beredskap.

• Bygg og/eller anskaff kompetanse på cybersikkerhet.