Gassprodusenten AGA Industrigasser har hatt sine interne styringssystemer liggende åpent på nettet. – Et gjentagende problem at disse systemene har dårlig sikkerhet, sier NSM.
Industrianlegg benytter seg av spesielle styringssystemer, og operasjonssikkerheten rundt disse har vært diskutert mye i media de siste årene.
Vi fikk tidligere i uken inn et tips på vår krypterte kanal, hvor tipseren hevdet at flere av AGAs systemer lå åpent på nettet.
Systemene vi i dag omtaler, er installert på AGAs gasstasjoner i Norge. Flere av stasjonene leverer gass til busstrafikk, blant annet til Unibuss i Oslo-området.
Med noen enkle tastetrykk kunne utenforstående logge seg på AGA sine interne systemer, endre verdier og skru av og på gassproduksjonen. Systemene lå åpent på nett, sikret med produsentens standardpassord.
– Svært uheldig
Mens store deler av disse systemene brukes til å overvåke operasjonskritiske verdier, har man også anledning til å endre på mange innstillinger.
Fagmiljøet innen elektro ved Høgskolen i Gjøvik mener det er svært alvorlig at disse systemene lå åpent på nettet:
– Hvis dette er et anlegg som ligger åpent uten noen form for sikkerhet i pålogging, er det svært uheldig, sier seksjonsleder for faggruppen, Halgeir Leiknes.
Noen skjermer gir operatørene informasjon om trykknivåer og annen informasjon som er relevant for driften, mens andre lar deg skru av og på funksjonalitet – eller i verste fall hele produksjonsanlegget:
– Dette ser ut til at man også kan starte og stoppe anlegget. Det vil si start og stopp for produksjon av LNG (flytende gass), sier Halvard Leiknes ved Høgskolen i Gjøvik.
AGA endrer sine rutiner
NRKbeta konfronterte AGA Industrigasser med disse detaljene i går, som tar problemet alvorlig.
– Det er beklagelig at dette har skjedd, og vi tar det selvfølgelig alvorlig, sier John Melby, som har ansvaret for naturgass i AGA Industrigasser.
AGA benytter seg av styringssystemer fra Siemens Simatic, som flere ganger har fått kritikk for dårlige sikkerhetsrutiner. Også statlige etterretningstjenester er mistenkt for å angripe systemene.
Processkontroll GT leverer flere av AGAs tekniske løsninger. Teknikkansvarlig Torbjörn Karlsson tror det finnes mange slike systemer ute på nettet:
– Om alle er like slappe på bytte av passord som oss, må det finnes mange sånne systemer ute på nettet, sier Torbjörn Karlsson.
Dagbladet hadde i fjor en artikkel om norske styringssystemer som lå ute på nettet. Totalt fant de over 2000 slike, men det er usikkert hvor mange som var offentlig tilgjengelig.
Som et resultat av denne avdekkingen, vil AGA Industrigasser gå gjennom sine sikkerhetsrutiner:
– Vi har nå endret passord på alle våre stasjoner, og kommer til å innføre et sikkerhetsregime med unike passord per stasjon, og som endres regelmessig, sier Melby til NRKbeta.
På spørsmål om hvorvidt AGA ser på det som prinsipielt problematisk at de lå ute med standardpassord, hevder John Melby at det ikke er kritisk:
– Dette er absolutt en skrape, men det er ikke så alvorlig at det går utover den operasjonelle sikkerheten, sier han til NRKbeta.
John Melby var ikke klar over at deres systemer benyttet seg av produsentens standardpassord.
Ved å logge på systemene, har man anledning til å starte og stoppe anlegget, samt endre på bartrykkverdier. Teknikkansvarlig Torbjörn Karlsson hevder likevel at det ikke forringer sikkerheten, siden systemet har sikkerhetsventiler:
– Det finnes to lag over dette systemet, blant annet med sikkerhetsventiler som forhindrer at man kan gjøre noe virkelig farlig, sier Karlsson til NRKbeta.
Også John Melby i AGA Industrigasser hevder at deres øvrige sikkerhet er god.
– Et gjentagende problem
Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og er det nasjonale fagmiljøet for IKT-sikkerhet.
Informasjonssjef i NSM, Kjetil Berg Veire, er godt kjent med problematikken:
– Det er virksomheten selv som har ansvaret for god nok sikkerhet her, sier han til NRKbeta.
På generell basis mener NSM at dette kommer til å bli et problem vi vil se mer av fremover, siden flere og flere apparater kobles til nettet:
– Dårlig sikrede styringssystemer som kobles til internett er et gjentakende problem og en stor utfordring, det har vi påpekt i flere rapporter. Det krever bevissthet og ansvarlighet fra eierne av slike systemer, sier Kjetil Berg Veire til NRKbeta.
Selv om jeg skjønner behovet for å gjøre den krypterte kanalen kjent synes jeg ikke det er lurt å fortelle at tipset kom gjennom nettopp denne kanalen.
Hvorfor ikke?
Fordi det.gjør det lettere å spore gjennom bruk av Tor. Men i denne saken kan dette være kjent av hvem som helst, så antall ‘mistenkte’ gjør slik sporing umulig såvidt jeg kan skjønne.
Bruker nrk TOR? 🙂
Hei, Ben!
NRK bruker TOR-nettverket til både research og innhenting av tips. Vi har vårt eget tipsmottak som du kan lese mer om på nrkbeta.no/tips. 🙂
Bedrifter som ikke beskytter sine styresystemer der manipulering av disse kan få samfunnsmessige negative konsekvenser, burde bøtelegges.
Selv har jeg jobbet i en større bedrift som ga fullstendig blanke i sikkerheten.
Selv om at jeg advarte om dette gang på gang, og foreslo løsninger ble jeg hele tiden avvist.
Det endret seg en del etter at en kunde eksploderte da han hadde såpass innsikt at han skjønte hvor landet lå.
Da jeg også advarte ledelsen mot Stuxnet, ble jeg bortimot idioterklært. Det tok nesten fire måneder før de innså at jeg hadde rett. Og da først etter at bedriften sine systemer ble eksponert i pressen.
Jeg har alltid forundret meg over hvor mange udugelige mennesker som sitter i lederposisjoner.
Noen burde forske på årsaken til dette.
Noen HAR forsket på det: The Peter Principle…
(People get promoted to their level of incompetence…)
Man kan kanskje også peke på Dunning-Kruger-effekten.
Ut frå skjermbilda er ikkje dette produksjon av LNG, men trykksetting og fordamping av LNG til fylling på buss og flasker.