Cyberangreb mod fjernvarmen er femdoblet siden Ukraine-invasion
!["Det er ikke bare phishing-mails, men også angreb mod operationel teknologi," siger Kim Behnke. | Foto: Gregers Tycho/JPA](https://photos.watchmedier.dk/watchmedier/resize:fill:3840:0:0/plain/https://photos.watchmedier.dk/Images/article12677336.ece/ALTERNATES/schema-16_9/doc7dzfotz4gk6485kmm71.jpg)
Siden Rusland invaderede Ukraine, har Dansk Fjernvarme oplevet en markant stigning i antallet af cyberangreb mod sektoren.
Ikke blot er antallet af angreb steget med en "faktor fem", de er også i stigende grad rettet mod den operationelle teknologi, der holder den danske varmeforsyning kørende.
"Den største stigning ligger i antallet af angreb mod tekniske installationer, som man forsøger at lukke ned og dermed skabe uro og panik her hos os, når varmeforsyningen pludselig forsvinder," siger udviklingschef i Dansk Fjernvarme Kim Behnke.
"Eller endnu værre – hvis de er i stand til at afbryde elforsyningen," tilføjer han.
Siden udbruddet af krigen i Ukraine har medlemmerne af den danske energisektor holdt ugentlige beredskabsmøder med Energistyrelsen og brancheorganet for cybersikkerhed Energicert, hvor Kim Behnke deltager.
Går efter at skade systemer
Allerede inden Ruslands invasion af Ukraine var truslen mod den danske energisektor kategoriseret som "meget høj" af Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste.
Hidtil har de fleste angreb mod den danske energisektor dog ramt mere eller mindre tilfældige virksomheder med økonomisk afpresning for øje. Dette var tilfældet for ransomware-angrebet, der ramte Vestas i november sidste år.
Men i dag er billedet et andet, siger Kim Behnke.
"Vi er ovre i det, der hedder asymmetrisk krigsførelse. Der er ingen krav om at få penge. Der er nogen, der forsøger at lukke os ned for at skade os."
Selv om det er vanskeligt at afgøre med sikkerhed, hvor angrebene kommer fra, har efterforskningen af flere forsøg vist, at de bar "russisk fingeraftryk", siger Kim Behnke.
"Det er i hvert fald IP-adresser i Rusland, der står bag. Derfor tillader vi os at antage, at angrebene kommer fra Rusland, selv om man skal passe på med sådan noget."
Hackere har fulgt krigens koreografi
En anden kendsgerning styrker sektorens formodning om, at angrebene kommer fra Rusland
Imens Rusland i januar sendte soldater til militærøvelser ved Hvideruslands grænse til Ukraine, oplevede også den danske fjernvarmesektor stigende aktivitet.
"Det var som om hackerne også var i gang med at holde øvelser," siger han.
Idet Rusland angriber Ukraine, falder antallet af cyberangreb mod den danske energisektor i "en uges tid", fortæller Kim Behnke.
"Men så var det som om, de fik tid til at bruge kræfter på os igen, og siden er det altså steget markant."
Fjernvarme-nedbrud kan ramme hospitaler
Selv om fjernvarmesystemet ikke udgør helt så kritisk infrastruktur som elnettet, kan nedlukninger få meget alvorlige konsekvenser.
"Fjernvarme bliver også leveret til sygehuse, og hvis ikke der er varme på et sygehus, så kan du ikke have patienter der," siger Kim Behnke.
Dog har fjernvarmen i Danmark den fordel i tilfælde af cyberangreb, at den er fordelt på 370 selskaber.
"Så man skal altså virkelig stå tidligt op i Sankt Petersborg, hvis man skal nå at lukke dem alle sammen ned, inden vi opdager det," siger Kim Behnke.
Skulle det derimod lykkes hackere at ramme det danske elnet, vil konsekvenserne se helt anderledes ud.
"Afbrydelse af elforsyningen er nok det værste, der kan ske. Hvis man angriber Energinet og lukker eltransmissionssystemet ned, så går hele Danmark i sort."
Også fjernvarmen er afhængig af elektricitet for at kunne pumpe varme ud i rørnettet.
Er der indtil videre nogen steder, hvor det er lykkedes at komme igennem med angreb?
"Det er der, men heldigvis ingen steder, hvor man for alvor har lavet skader."
"Hiv ledningen ud af væggen "
Dansk Fjernvarme er for tiden i tæt kontakt med energisektorens brancheorgan for cybersikkerhed Energicert, og hele sektoren holder altså ugentlige beredskabsmøder for at dele informationer.
Energicert overvåger om energiselskaber oplever usædvanlig aktivitet fra IP-adresser i f.eks. Rusland.
"Er der pludselig usædvanligt mange IP-adresser fra Sankt Petersborg, der interesserer sig for Hjørring Fjernvarme, så er det ikke, fordi de vil være kunder – så er det, fordi de har onde hensigter," siger Kim Behnke.
![Kim Behnke | Foto: PRDansk Fjernvarme](https://photos.watchmedier.dk/2j4Wdjvq68MWh01nVTcuXy_5h78N6ZggIX71DbeYPww/resize:fill:960:0:0/plain/https%3A%2F%2Fphotos.watchmedier.dk%2FImages%2Farticle12322343.ece%2FALTERNATES%2Fschema-16_9%2Fdoc7br40vg0m08ar6uidhe.jpg)
"Det er desværre så operationelt, det kører i øjeblikket," siger Kim Behnke.
På opfordring fra Energistyrelsen og Center for Cybersikkerhed har organisationen bedt alle medlemmer om at installere et såkaldt geofence, der sikrer, at virksomhedernes router slet ikke kan modtage noget fra IP-adresser i Rusland, Ukraine og Hviderusland.
Energicert er også i kontakt med udenlandske aktører som det norske Kraftcert og myndighederne i Tyskland, hvor vindmøller med en samlet kapacitet på 11 GW er blevet fraskåret kontakten til en satellitforbindelse. At et cyberangreb kan være årsagen, udelukkes ikke.
EnergiWatch har forsøgt at hente kommentarer om cybersikkerhedssituationen i resten af energisektoren, men har ikke fået svar fra Energicert eller Energistyrelsen inden artiklens deadline.
Truslen fra destruktive cyberangreb mod energisektoren er "lav" – men det kan ændre sig uden varsel
"Vi er på stikkerne": Eskaleret konflikt kan medføre risiko for cyberangreb på kritisk infrastruktur
Hackere skyder med spredehagl mod energisektoren
Hackere afpresser Vestas' kunder med stjålne data
Vestas-redegørelse: Cyberkriminelle advarede selv Vestas om igangværende hackerangreb
Myndigheder: Vestas tilbageholdt "relevante og anvendelige" informationer om cyberangreb