Dagligen sker miljontals mer eller mindre allvarliga cyberangrepp mot företag i världen. Många minns säkert attacken mot elnätet i Ukraina 2015 då flera hundra tusen personer blev strömlösa strax före jul. De som genomförde attacken i Ukraina låste alla datorer och gjorde det i princip omöjligt för operatörerna att återta kontrollen. Som tur var hade landet kvar flera gamla manuella system som fortfarande gick att använda. Ingenjörer skickades ut till ställverken för att slå på alla brytare igen och redan efter några timmar var strömmen tillbaka.
– Det som hände var att operatören på elbolaget fick ett meddelande om att logga in och gjorde det. Helt plötsligt hade avsändaren tagit över operatörens inloggningsuppgifter och kunde stanna inne i systemet i flera månader för att lägga upp en attack, berättar Robert Lagerström, docent i systemarkitektur och it-säkerhet vid KTH.
Han är en av dem som medverkar i det europeiska forskningsprojektet Energy Shields, som riktar in sig på just elbolag. Under tre år kommer forskare på KTH och andra universitet, it-säkerhetsföretag och elbolag i ett tiotal EU-länder, plus Israel, tillsammans utveckla metoder och verktyg som ska hjälpa elbolagen att dels upptäcka sårbarheter, dels genomföra riskanalyser och förhindra cyberattacker. Förutom att EU satsar 80 miljoner kronor går flera av deltagarna in med egna pengar.
– Elen är bland det viktigaste vi har och det finns en rädsla för att vi digitaliserar utan att ha kvar manuella processer. Därför är det högaktuellt att vi försöker hitta bra metoder för it-säkerhet. Många tänker inte på att det hela tiden finns botar ute på nätet som försöker hitta IP-adresser där det går att komma in, säger Robert Lagerström.
Redan idag finns det produkter för it-säkerhet som elbolagen kan använda. Problemet är bara att de varken fungerar tillsammans eller är anpassade efter elbolagens förutsättningar. Syftet med Energy Shields är att integrera olika befintliga system med varandra. Istället för att elbolagen köper olika produkter från olika producenter ska de kunna få en helhetslösning.
Idag tar det tid, kostar pengar och är väldigt komplext att installera it-säkerhet. Tanken är att elbolagen ska få en skräddarsydd verktygslåda med produkter som överför information till varandra och fungerar ihop, förklarar Robert Lagerström.
Samtidigt måste man förstå att det inte går att skydda sig till hundra procent, påpekar han. Men genom att prioritera rätt kan man se till att det allra viktigaste blir så svåråtkomligt som möjligt. Då måste angriparna ta många fler steg och satsa stora resurser för att komma ända fram.
– Då kan du hoppas att de ger upp på vägen eller så hinner du upptäcka och stoppa dem i tid. Det första man alltid ska göra är att se över vilka av ens tillgångar som är mest kritiska, förklarar Robert Lagerström.
Att cyberattacker är en utmaning för branschen bekräftas av it-chefen Jan Olsson på elnätsbolaget Ellevio.
– Vi jobbar kontinuerligt och systematiskt med att upptäcka sårbarheter, genomföra riskanalyser och förbättringar i skyddet mot cyberangrepp. Det finns bra verktyg idag men de behöver ständigt anpassas, utvecklas och förbättras eftersom hotbilden ändras kontinuerligt, säger han.
Enligt Jan Olsson borde det finnas stora synergier med att utveckla verktyg och metoder som i projektet Energy Shields.
– Utmaningarna för branschen är till stor del gemensamma så att samla expertis på det här sättet inom området och fokuserat jobba tillsammans med dessa utmaningar borde ge en bra plattform att jobba vidare med, säger han och fortsätter:
– Redan idag arbetar vi nationellt i olika typer av samverkansaktiviteter i branschen, men det kan naturligtvis finnas fördelar med att göra detta med en bredare bas.
Tanken är att de färdiga produkterna i projektet ska kunna köpas genom tyska PSI Software och rumänska Siveco som levererar it-tjänster till elbolag idag. Men först ska produkterna testas. Och vad kan då vara bättre än att några elbolag frivilligt utsätter sig för hackning?
Först ut är ett mindre test mot ett elbolag i Italien. Därefter ska attackerna i ett större test riktas mot tre aktörer i Bulgarien – dels den bulgariska motsvarigheten till Svenska kraftnät, dels ett mindre distributionsbolag och en elproducent. Hackerangreppen är till för att jämföra sårbarheten i deras it-system före och efter att de nya verktygen har installerats.
– Det blir ett sätt att vetenskapligt prova om vår produkt funkar. Först hackar vi för att blottlägga bolagens sårbarheter, sedan installerar vi vår produkt och skickar in hackarna igen för att se hur mycket svårare det blev, förklarar Robert Lagerström och tillägger:
– Jag tror att elbolagen är medvetna om riskerna och många har visat intresse för vårt projekt. Vi kan inte bara fortsätta att springa på nya produkter och tjänster utan måste också se till att de uppfyller höga krav på säkerhet.
Vid årsskiftet startar KTH även Centret för forskning och utbildning inom cyberförsvar och informationssäkerhet. Här ska KTH bland annat utbilda så kallade cybersoldater tillsammans med Försvarsmakten. Till hösten 2020 rycker 30 värnpliktiga soldater in.
– Alla system som vi har byggt, från de som styr våra kraftnät till de finansiella system som kontrollerar den globala ekonomin, har gjort samhället väldigt sårbart. Digitaliseringen har gått jättefort och få kunde förutse att systemen skulle vara så svåra att säkra, säger Pontus Johnson, professor vid avdelningen för nätverk och systemteknik på KTH.
Enligt Pontus Johnson har världsbilden fullständigt förändrats. Stater lägger stora resurser på att hitta sårbarheter och exploatera dem för att få tillgång till hemlig information om andra länder. Hela cyberarméer med tusentals organiserade personer tränar och genomför operationer som kan syfta till att ta över, förstöra eller spionera på allt från kritisk infrastruktur till militära system.
– I princip alla länder utökar sina förmågor och idag handlar det inte om tonåringar som sitter i källaren och hackar. Hackningen har professionaliserats och konflikter i cyberdomänen är ett ”braingame” på ett annat sätt än krigföring med andra vapenslag, säger han.
Cybersoldatutbildningen kommer vara en spetsutbildning som ställer höga krav på förkunskaper och förmåga att lära sig nya saker snabbt. För att kunna försvara sig och sina system ska soldaterna få lära sig både defensiva och offensiva metoder.
– Att själva försöka ta sig in i system är det bästa sättet som soldaterna kan lära sig på hur angrepp kan genomföras, säger Pontus Johnson som själv ansvarar för KTH:s utbildning inom etisk hackning.
De olika momenten ska läras ut av, bland andra, åtta doktorander som rekryteras till det nya centret. Engla Ling, som är doktorand på KTH sedan i januari, utbildar redan idag KTH-studenter i hackning.
– Tittar man på ett energisystem idag så är det väldigt komplicerat. Dels har man de klassiska komponenterna som har funnits i kanske 20 år, dels har man börjat lägga in nya saker i takt med att systemen digitaliseras. Det här är farligt för när något har en ip-adress som är uppkopplad mot ett nätverk kan andra komma åt systemet. Därför är det viktigt med säkerhetslösningar i hela kedjan, från att energin skapas till den smarta mätaren i bostaden, säger hon.
Energy Shields
Energy Shields är ett treårigt forskningsprojekt med syfte att utveckla ett nytt it-verktyg för att säkra upp Europas elnät. I projektet deltar 18 aktörer från akademin och näringslivet, bland annat forskare från KTH, City University London och Atens tekniska universitet. Elbolagen som deltar är bland annat italienska Iren, ESO EAD och CEZ i Bulgarien. Medverkande it-företag är Siveco, PSI Software, Foreseeti, SI-Ga Data Security, L7 Defense, Tech Inspire med flera. Projektet har fått 80 miljoner kronor i stöd från EU.
Paula Isaksson
