Annons EndressHauser 2024 EndressHauser 2024

Nya regler om IT-incidenter kommer att omfatta VA-verksamheter. FOTO: Pixhill

IT-intrång inte längre en hemlighet

Cirkulation 5/16

Hackers och kriminella samarbetar i globala nätverk för att göra intrång i dator­system, antingen för att sabotera eller för att tjäna pengar. VA-verksamheter och kommuner är inte förskonade. Nya regler om krav på att myndigheter rapporterar IT-incidenter är första steget till ett svenskt nätverk där offren kan samarbeta.

Text/Tomas Carlsson

IT-attackerna på offentliga och privata verksamheter kommer allt tätare och blir dessutom allt mer allvarliga. De visar gång på gång att beredskapen är undermålig. Verksamheter har kunnat sättas ur spel kortare eller längre perioder, även om det inte ens är helt nya metoder för attackerna som använts.

Kraven på IT-säkerhet i svenska VA-verksamheter kommer definitivt att successivt öka kraftigt. Det är det så kallade NIS-direktivet från EU som medför skyldigheter för stater att skaffa en nationell strategi för höjd IT-säkerhet. Det gäller också att särskilt definiera och ta med sårbara verksamheter vars funktion är viktig för samhällets säkerhet. Produktion och distribution av dricksvatten är därför särskilt definierat att vara i fokus för de nationella strategierna.

Medan detta utreds har det redan nu blivit ett krav att statliga myndigheter ska rapportera IT-incidenter. Det kommer med all sannolikhet längre fram även att omfatta kommunala verksamheter och VA. Men redan nu kan kommuner välja att rapportera på samma sätt som statliga myndigheter gör. Det är när offren samarbetar som de negativa konsekvenserna kan minska för sam­hället.

– Äntligen har det kommit på plats. Det föreslogs rapporteringsplikt första gången i slutet av 1990-talet. Jag hoppas det kommer att leda till större öppenhet och bättre samarbete mellan myndigheter. Jag hoppas att vi kommit förbi att drabbade låter blir att berätta om vad de råkat ut för, säger Leif Nixon, IT-säkerhetsexpert i Linköping.

Han har genom åren hittat exempel på samhälls­viktiga verksamheter som har sina styrsystem öppet mot internet, ibland bara med ett enkelt lösenord som skydd. Det har handlat om både vattenverk och reningsverk.

– Bara lösenord är inte tillräckligt för viktiga anläggningar. Trafiken får inte passera öppet via internet, utan det ska vara krypterat. Annars går det att komma in så fort det blir känt med ett säkerhetshål i produkten, säger Leif Nixon.

Han tror att motståndet mot att göra polisanmälning nu också blir mindre, när incidenten redan rapporterats.

–Myndigheter har varit motsträviga till att göra polisanmälan. Men nu kommer det att gå att se likheter och samband och bättre kartlägga förövarna, säger han.

Det är MSB, Myndigheten för samhällsskydd och beredskap, som ska få in rapporter när en myndighet drabbats av ett intrång eller en attack.

– Rapporterna ska användas för det förebyggande arbetet. Vi kommer att kunna hjälpa myndigheterna att analysera, men också varna andra myndigheter när något nytt dyker upp, säger Ann-Marie Alverås-Lovén, chef på enheten för operativ cybersäkerhet och it-incidenthantering hos MSB.

Reglerna började gälla 1 april och fram till nästa år arbetar MSB med att bygga upp fler och fler funktioner. Redan nu förs statistik och registrering av drabbade sektorer. En säker webbportal ska vara klar vid årsskiftet. Funktioner för att förebygga attacker ska finnas klart nästa år.
MSB har information om vem på olika myndigheter som är ansvariga för att rapportera, så att ingen obehörig skickar in rapporter och komprometterar systemet.

– Det är vitalt för oss att veta vilka som har rätt att rapportera. Ännu har ingen försökt bluffa in rapporter, men vi tror att det kommer att förekomma, säger Anne-Marie.

Eftersom det är allmänna handlingar kommer det varje vecka begäran om att lämna ut handlingarna, men MSB sekretessprövar varje uppgift innan den lämnas ut. Det är hittills främst medier som bevakar vad som händer hos en myndighet, men även andra som vill kartlägga sårbarheter kan vara intresserade av att titta på rapporterna. Ett fall angående utlämning av handlingar är också uppe i kammarrätten för prövning.

– Vi hoppas slippa lämna information som innebär att man avslöjar myndigheters sårbarheter, säger MSB-chefen.

Annons Abonnemangspaket Abonnemangspaket

MSB-enheten är samtidigt också svenska Cert.se, Computer Emergency Response Team, där det internationella samarbetet sker.
Sammantaget bildar nationella och internationella samarbeten det nätverk bland drabbade som ska kunna matcha de omfattande internationella kriminella nätverken som idag bedriver de storskaliga attackerna. Tidiga varningar begränsar omfattning, samarbete ger snabbare återställningsmetoder och många ledtrådar ökar möjligheten att ta fast förövarna.

Ett exempel på en incident som slog mot VA-verksamhet är när Ludvika som en bland många kommuner som drabbades av utpressarviruset Cryptolocker. Fyra av fem vattenverk, samt fem av sex reningsverk drabbades. Snabbt agerande av personalen räddade de sista verken.

Någon inom Ludvika kommun fick tidigare i år ett mejl som såg ut att komma från Postnord om att ett paket var på ingående. En länk erbjöd paketspårning för att se var paketet befann sig.

I samma ögonblick som länken klickades, installerades den skadliga programvaran Cryptolocker omärkligt i bakgrunden. Den letar upp alla utdelade mappar med dokument och krypterar dessa sakta men säkert, med start längst ut i närverksstrukturen. Efter ett tag är det omöjligt att öppna ett enda dokument. Det kommer istället instruktioner för hur betalning ska gå till för att få lösenordet som låser upp dokumenten igen.

– Vår drifttekniker skulle i våras uppdatera några processbilder i styrsystemet för ett av våra vattenverk, men det var omöjligt att göra. Istället hittade han en anteckningsfil som berättade att filerna var krypterade och vad det skulle kosta att låsa upp dem, berättar Tommy Brolin, dåvarande VA-chef i Ludvika, numera VA-strateg i nybildade VA-bolaget WBAB.

Händelseförloppet är identiskt med det många kommuner och andra myndigheter råkat ut för, liksom många privata företag.

– Någon i kommunen hade tryckt på länken i Postnord-mailet, så den datorn lokaliserade IT-folket och stängde ned. De verken som klarade sig hann vi varna så att de ryckte ut nätverkssladden innan krypteringen hade hunnit komma dit, berättar Tommy Brolin.

Ludvika VA klarade sig ifrån att betala tack vare att det fanns bra fungerande backuper, så det var bara att slänga ut viruset och alla krypterade filer, samt skriva tillbaka de okrypterade filerna från backupen till servern. Stoppet blev bara ett par timmar och driften påverkades ytterst lite i det här fallet.

– Arbetet att skärma av processdatorerna från kommunens nät har påbörjats, men dragit ut på tiden. Det kommer hela tiden sådana mail och det finns instruktioner om att inte klicka på länkar i dem, men vi är 2 500 anställda i kommunen och en del mail är så luriga att det är lätt att råka klicka, säger Tommy Brolin, som själv var på vippen att klicka i ett mail från Telia efter att de fått nya telefonnummer i nya VA-bolaget.

Cryptolocker och dess otaliga varianter är något av det mest lönsamma för organiserade brottslighet just nu. Det handlar om intäkter på hundratals miljoner kronor. Och brotten går inte att utreda i Sverige.

Tusentals myndigheter, företag och privatpersoner i Sverige har drabbats av att få sina filer på datorn krypterade och blivit utpressade att betala en lösensumma för att få tillgång till filerna igen, så som hände i bland annat Ludvika.

Men det hade lika gärna kunnat röra sig om en trojan som tagit över driftsystemet för en anläggning. Sådana finns i omlopp även om de ännu inte drabbat VA-Sverige.

De som klarat sig lindrigast undan är de som haft en aktuell säkerhetskopia som dessutom inte funnits tillgänglig på nätverket. De har sluppit betala tusenlappar till skurkarna, utan har bara kunnat radera allt krypterat och istället återinstallera filerna.

Det finns rapporter om sjukhus, universitet och till och med polisorganisationer runt om i världen som drabbats och tvingats betala för att få tillbaka sina ovärderliga data.

Trots så många drabbade och otaliga polisanmälningar, pågår ingen polisutredning. Det är helt enkelt omöjligt att komma åt skurkarna genom polisarbete bara i Sverige. Phishingmailen som användaren luras att klicka i kommer från utländska servrar. Betalningarna går inte heller att spåra. De sker via valutan bitcoin och går snirkliga och krypterade vägar genom internet innan de når betalningsmottagaren.

Några spår pekar mot servrar i Ryssland och Ukraina, men även om de lokaliseras kan de i sin tur tillhöra några som fått sina datorer infekterade så att de ändå bara är mellanstationer.

– Vi har tittat på Postnordmailet och spårat bakåt men det blir tvärnit. Det här är internationell brottslighet och vi måste samarbeta med andra länder, säger Jan Olsson, förundersökningsledare på Nationellt bedrägericenter i Stockholm.

Nationellt IT-brottscentrum sköter de internationella kontakterna i dessa ärenden. Alla uppgifter som kommer in om den här typen av intrång skickas vidare till Europol i Haag.

– De har haft en del framgångar, men det här är organiserad brottslighet på hög nivå som kostar en hel del pengar att bedriva, flera miljoner, säger Björn Andersson, verksamhetsspecialist på Nationellt IT-brottscentrum.

Utredningarna är långa och besvärliga, så ofta hinner brottslingarna kamma hem pengarna och försvinna innan de hinner spåras och gripas.

Annons Wateraid