Oljeindustrien skal hackes av Anonymous

Hackergruppen Anonymous har planer om å angripe den internasjonale oljeindustrien 20. juni. Norske bedrifter er ikke nevnt, men sikkerhetseksperter er bekymret.

I en operasjon kalt OpPetrol sier hackergruppen Anonymous at de vil aksjonere mot oljeindustrien i land som Kina, USA, Storbritannia, Israel, Italia, Canada, Frankrike, Tyskland, Russland og Tyskland. Målet skal være å forstyrre og lamme oljeindustrien i en rekke land samtidig. Landene som er utpekt som mål, har alle investert mye i oljeutvinning og produksjon i land i Midtøsten. Kuwait, Saudi Arabia og Qatar er også nevnt som ål for aksjonen. Aksjonen er offentliggjort på nettstedet Pastebin.

Overbelastning

Maria B. Line forsker på informasjonssikkerhet og håndtering av sikkerhetshendelser.

Maria B. Line forsker på informasjonssikkerhet og håndtering av sikkerhetshendelser.

Maria B. Line er stipendiat på NTNU og forsker på informasjonssikkerhet og håndtering av sikkerhetshendelser. Hun mener det er mest sannsynlig at hackere vil velge angrepsformer som gir dem stor synlighet med en gang, men som ikke nødvendigvis er det som skaper størst konsekvenser.

– Det er nok mest sannsynlig at Anonymous vil bruke et såkalt tjenestenekt-angrep (DDoS) mot oljeindustrien, og eventuelt de regjeringene som nevnes, sier hun.

– Det som da skjer er en ren overbelastning av bedriftenes websider og andre tjenester som er på Internett. Hvorvidt dette får store konsekvenser for bedriftene og deres omdømme, handler mest om hvordan bedriftene håndterer dette overfor mediene og kundene. Dette skaper egentlig mest støy.

Mange scenarioer

Det er likevel flere mulige angrepsformer som kan være aktuelle, forklarer forskeren.

– Jeg vet jo ikke hvilken kompetanse som sitter i hackernettverket, men hvis de har de rette folkene med den rette kompetansen, er det mulig å gå inn i epostsystemene til bedriftene, eller styringssystemene til for eksempel oljeinstallasjoner. Da står vi overfor en rekke mulige scenarioer, forteller Line.

– Epost er en usikret kanal som de fleste bruker som om den er sikker. Mange ledere sender fortrolige dokumenter via epost. Hvis hackere bruker informasjon herfra i spionasje eller utpressingsøyemed, kan det gå ut over bedriftene på mange måter. Informasjon om kontrakter kan brukes som pressmiddel, konkurransevridning og slikt. Det er enorme verdier det er snakk om innen oljebransjen. Informasjon eller trussel om at man har sensitiv informasjon kan forskyve maktposisjoner.

Stor sikkerhetsrisiko

– Hvis hackere går inn i driftssystemer, er det en annen sak. Da kan de justere nesten hva som helst og gjøre alt fra å bremse oljeutvinning til å forårsake utblåsninger eller eksplosjoner. Det er selvsagt en stor sikkerhetsrisiko.

– De kan også overstyre sikkerhetssystemene slik at det tilsynelatende ikke har skjedd et angrep, men ved neste korsvei der sikkerhetssystemene skal varsle om feil eller problemer i systemene, så virker ikke sikkerhetsvarslene. Dette kan være nærmest umulig å oppdage før det er for seint. Ved slike angrep er det umulig å spå noe om når skaden vil skje. Det blir en «accident waiting to happen».

Line sier at denne typen angrep av styringssystemer er mindre sannsynlig, men innebærer en vesentlig mye større risiko fordi konsekvensene kan bli så alvorlige.

Styringssystemer hett mål

Nettopp sikkerhet i styringssystemer er et hett tema for tiden på konferanser og seminarer innen sikkerhetsbransjen.

– Vi snakker om anlegg som gjerne har spesialutviklet programvare og et avgrenset formål, sier Lars Strømmen. Han er sikkerhets- og beredskapsleder på NTNU.

– Sentrale driftskontrollanlegg er selve hjernen i mange industrianlegg. Dette er anlegg som ivaretar alt fra enkle systemer for temperaturstyring, ventilasjon og adgangskontroll til avanserte prosesskontrollsystemer for høyteknologiske installasjoner.

Systemene kan gjerne sammenkobles, og utveksle data fra et system til et annet, sier han.

Som en åpen dør for hackere

Strømmen mener de systemansvarlige for slike anlegg, må vurdere verdien av det systemet anlegget kontrollerer

– Dersom det er snakk om et virksomhetskritisk anlegg må beskyttelsestiltakene være i samsvar med dette, sier han.

– Det syndes dessverre mye, og enkle feil kan gi store konsekvenser. Typiske tabber er eksempelvis at leverandørens «standardpassord» ikke fjernes ved installasjon. Og anskaffelser innebærer ofte en serviceavtale. Leverandører kan for eksempel utføre mye service og vedlikehold via fjerndrift. Det er billigere for kunden, men også et sikkerhetshull.

I slike tilfeller må man sørge for at «tjenestekanalen» som servicetekniker benytter for fjernpålogging er en sikker forbindelse. Da er det også viktig å passe på at dersom man åpner opp en port i en brannmur så bør man vite hva man holder på med, slik at «døra ikke blir stående åpen», advarer Strømmen.

Strømmen forklarer at det er svært viktig å ikke la anlegget stå åpent opp mot internett. Et system som er sikkert til å begynne med, kan slutte å være det ved neste oppgradering.

– Det finnes flere tekniske løsninger for dette, selvsagt, men det beste rådet som kan gis er å vurdere nødvendigheten av å koble sentrale driftsanlegg og styringssystemer mot internett, avslutter han.