Nyt samarbejde skal forebygge hacking af vandværker

Det er sket for vandværker i Sønderjylland, i Vestjylland og to andre steder. Det er sågar sket for Danske Vandværkers egen hjemmeside. Og det er blot de kendte eksempler.

Hackerangreb bliver stadig mere almindelige for små og mellemstore virksomheder, herunder vandværker, og konsekvenserne kan være store: Et af angrebene kostede et tocifret millionbeløb, og der er også en sundhedsmæssig risiko – om end man næppe risikerer forgiftning af vandet, som hackere har forsøgt i bl.a. USA.

»I værste fald kan det betyde, at det drikkevand, der ledes ud til forbrugerne, indeholder uønskede stoffer som for eksempel jern, mangan eller er forurenet, hvis det kommer fra et vandværk, der har videregående vandbehandling,« påpeger Susan Münster, direktør i Danske Vandværker.

Danske Vandværker er en af parterne bag et pilotprojekt for 15 vandværker om it-sikkerhed, der er støttet af Industriens Fond – og organisationen er med til at afholde et event om ’Samarbejdende Cybersikkerhed’ for små og mellemstore virksomheder (SMV’er).

»Som i mange andre SMV’er har fagfolkene på vandværkerne og deres bestyrelser typisk ingen interesse for it-sikkerhed. Med dette samarbejde får de mulighed for trygt at fokusere på deres vand-ekspertise,« siger Michael Lentge Andersen, partner i it-sikkerhedsfirmaet Derant.

Susan Münster supplerer:

»Det kan være svært for det enkelte vandværk at have ressourcerne til at sikre sig mod hackere, men på denne måde bliver det overkommeligt, fordi vi laver en løsning på brancheniveau.«

Uden it-system i næsten to måneder

Hacker-angrebet i Sønderjylland var værst. 10. december 2020 ringede IT-chefen hjemmefra til sine kolleger på Tønder Forsyning og bad dem om at hive alle stik til servere og pc’er ud. Forsyningen havde fået en såkaldt Mouse-locker, der i et zeroday attack slettede 50 tera-byte data på mindre end ét minut.

Hackerne der opererede fra IP-adresser i Litauen, Schweiz og Frankrig, var kommet ind gennem telefonomstillingssystemet og derfra over på terminalservere. De krævede løsesum i bitcoins. Det betalte forsyningen ikke – dermed fulgte man sikkerhedseksperternes råd, for en betaling følges som regel op af nye krav.

Prisen var dog, at man var uden it-system i næsten to måneder, både det administrative og SRO-anlæggene. Forbrugerne kunne ikke få oplysninger om f.eks. deres forbrug, og alt måtte køres manuelt.

Mange hackere går efter mindre virksomheder

Cyberangrebet har kostet Tønder Forsyning et tocifret millionbeløb. Forsikringen har betalt en del af det.

»Men forsikringen forsikrer jo ikke mod selve angrebet, og dets betydning for forbrugernes tillid til forsyningen. Desuden bliver disse forsikringer dyrere, efterhånden som cybertruslen stiger,« siger Susan Münster.

Hun tilføjer, at hun blandt nogle af Danske Vandværkers 2.000 små og mellemstore medlemmer ofte oplever en tro på – eller et håb om - at hackere stort set altid vil gå efter større vandværker.

»Men her er erfaringen altså, at nogle hackere tænker, at de store har mere styr på it-sikkerheden – og netop derfor går efter de mindre.«

Den opfattelse bekræftes af Michael Lentge Andersen fra Derant og adm. dir. Jakob Brandt fra SMVdanmark – hovederhvervsorganisationen for de små og mellemstore virksomheder.

»Hackerne går også efter de mindre, både fordi det kan være lettere at trænge igennem deres it-systemer, og fordi de mindre nogle gange er underleverandører og på den måde kan have en direkte it-adgang via leverandørsystemer til større og mere interessante firmaer,« siger Jakob Brandt.

Server kunne tilgås fra Kina

Eksemplet fra Vestjylland stammer fra Oxby & Ho vandværk, hvor hackere var på vej ind i systemerne, men ikke nåede så langt med deres virus. Det har dog kostet over 100.000 kroner at få fjernet truslen, og ført til flere ændringer i proceduren, bl.a. adskillelse af privat- og arbejdscomputer, samt større fokus på it-sikkerhed i bestyrelsen.

»Vi gør meget for at gøre vandværkernes bestyrelser opmærksomme på, at de er nødt til at tage it-sikkerhed meget alvorligt. Det går ikke længere at tænke  at andre nok tager sig af det med it-sikkerhed,« siger Susan Münster.

Et tredje eksempel på svigt i sikkerheden var, da en af deltagerne i pilotprojektet om ’Samarbejdende Cybersikkerhed’ oplevede, at nogle koder var forkerte efter en opdatering.

»Efter et skift i DNS Firewall kunne serveren pludselig også tilgås fra et sted til Kina. Det er et ret typisk eksempel. Man køber ny firewall, og tror så, at man kan spare abonnementet på automatisk opdatering. Det kan man ikke,« understreger Susan Münster.

Din it-sikkerhed er måske ikke, hvad du tror

Og hendes egen organisation er altså også blevet udsat for angreb. Det var i marts i år, hvor nogle hackere fik lagt hjemmesiden danskevv.dk ned, fordi nogle porte ikke var blevet opdateret.

»Hjemmesiden er en daglig vidensbank, både for os og vores medlemmer. Der er mange, der går ind og tjekker, hvad man f.eks. skal gøre, hvis man får et ledningsbrud eller en forurening. Det tog os mere end to uger – og kostede godt 150.000 kroner - at få hjemmesiden op og køre optimalt igen,« fortæller Susan Münster, som gerne så, at der generelt kommer større åbenhed omkring hacking:

»Det er vigtigt, at vi taler om det her, for når vi deler vores erfaringer, bliver vi også klogere.«

I forbindelse med angrebet på hjemmesiden var den vigtigste læring, at Danske Vandværker ikke fik, hvad man troede hos en af sine it-samarbejdspartnere.

»Det er vigtigt, at man er helt skarp på, hvad man har købt med af service i  et it-samarbejde. Og det er endnu en grund til, at en brancheløsning, som vi har været med til at udarbejde og kvalitetssikre, ofte vil være bedre end individuelle aftaler.«