Den senaste månaderna har it-säkerhetsexperter med intresse för industriell styrning haft anledning att höja på ögonbrynen flera gånger. Strax före jul publicerade Wall Street Journal en artikel om hur iranska hackare sägs ha angripit en elkraftdamm i New York under 2013. Tätt därpå publicerade nyhetsbyrån ap en artikel om hur hackare från Iran skulle ha kommit över omfattande teknisk dokumentation från en större nordamerikansk elproducent.
Men det mest uppseendeväckande skedde precis före julafton. Då inträffade ett omfattande avbrott i det ukrainska elnätet. Sju 110-kilovolts substationer och 23 substationer på 35 kV var involverade i störningen, som totalt drabbade runt 80 000 abonnenter. (Ukraina har som jämförelse cirka 45 miljoner invånare.)Nu börjar bilden klarna. Det tycks handla om en noggrant iscensatt hackerattack mot styrfunktioner i ett europeiskt högspänningsnät, och händelsen får betraktas som ett mindre bombnedslag bland dem som intresserar sig för scada-säkerhet. Naturligtvis går det inte att peka ut någon statsaktör bakom angreppet, men den aktuella hackergruppen, som fått namnet Sandworm, uppges agera under proryska förtecken och har även attackerat medieföretag. Somliga i it-säkerhetsbranschen har redan kallat händelsen för ett nytt Stuxnet, och pekat på hur ett cybervapen nu för första gången använts i en pågående konflikt.
Oavsett hur man etiketterar angreppet, så är tillvägagångssättet intressant. Angreppet grundlades av allt att döma med hjälp av skadlig kod, en infektion som av vissa kallas Black Energy och som varit i omlopp rätt länge. Det verkar dock inte ha rört sig om någon autonom, självförflyttande kod i stil med Stuxnet. Istället har datorer och arbetsstationer infekterats och använts för att hämta information och förbereda mer omfattande intrång. I samband med själva elavbrottet skedde intrång hos ett antal regionala eldistributionsföretag. Man lyckades bland annat få frånskiljare på ett flertal substationer att bryta och det verkar som om angriparna även försökt störa återställningsarbetet genom att radera innehållet i många datorsystem.Angriparna tycks också ha grumlat eller förblindat systemoperatörernas lägesuppfattning, en uppmärksammad risk i Scada-sammanhang. Det verkar ha skett både genom att påverka information i övervakningssystemen och genom att avlossa blockeringsattacker mot kundtjänsternas televäxlar, vilket fick till följd att elföretagen inte fick in några kundrapporter om avbrottet.
Nu klarade elnätdistributörerna till sist att hantera situationen och avbrottet kunde hävas efter några timmar. Det berodde bland annat på att man snabbt kunde skifta över till manuell drift när det framgick att man tappat kontrollen över substationerna.
Här infinner sig förstås den riktigt kritiska frågan: hur god är vår egen beredskap? I Ukraina verkar det fortfarande ha funnits personal att skicka ut dagen före julafton för att göra nödvändiga omkopplingar på plats. Men hur ser situationen ut i andra länder, till exempel här i Sverige?
Svante Nygren
