Russiske hackere angrep vannsystemet i Drammen

Denne artikkelen er laget i et samarbeid mellom Kommunal Rapport og Dagbladet.

– Hendelsen i USA var interessant, siden det var et lite vannverk. Vi tok da en vurdering av datasikkerheten i vannverk, og konklusjonen er egentlig ikke overraskende, sier daglig leder Margrete Raaum i cyberresponsselskapet KraftCERT.

Russiske hackere rystet Norge i slutten av juni, da de lammet en rekke offentlige nettsteder i et varslet angrep. Hackerne var i intervju med Kommunal Rapport og Dagbladet åpne på at angrepet var politisk motivert. Tidligere har Kommunal Rapport og Dagbladet avslørt at russiske hackere også angrep Hurtigruten og Amedia – to store dataangrep der angriperne tidligere ikke har vært kjent.

I midten av februar i fjor ble Drammen kommune utsatt for et hackerangrep på en del av infrastrukturen for vann og avløp. Angrepet skjedde kort tid etter at et vannverket i Oldsmar i Florida i USA utsatt for et datainnbrudd.

Kan skje i Norge

I Florida klarte hackerne å koble seg inn på skalasystemet til vannforsyningen til 15.000 innbyggere, og de justerte opp mengden av det giftige stoffet lut i vannet til over 100 ganger normalnivået. Lut benyttes til å justere pH-verdiene i vannet.

Dette kunne ha gitt konsumentene etseskader på hud og slimhinner, i verste fall fatale følger. Ifølge CNN er det uklart hva slags konsekvenser det ville ha fått om hackingen i Florida ikke hadde blitt oppdaget raskt.

Hendelsen førte til at alarmen gikk i cyberresponsmiljøet i Norge. Datasikkerhetsspesialistene i kommunebransjen, kraft- og petroleumsbransjen, og vannbransjen vurderte om tilsvarende hendelse kunne ha skjedd i Norge. De utformet et etterretningsnotat som ble sendt ut til norske kommuner med en tydelig konklusjon.

«Tilsvarende sikkerhetsmangler vet vi at også finnes i Norge. Om ikke disse håndteres vil tilsvarende angrep sannsynligvis gjennomføres mot norske virksomheter», heter det i etterretningsnotatet utformet av KraftCert, Kommune-CSIRT og Norsk Vann.

– Aldri noen fare

I brevet til kommunene ble angrepet mot Drammen kommune betegnet som «en pågående sikkerhetshendelse hos en norsk kommune», og kommunene ble oppfordret til å gjennomgå datasikkerheten på vann- og avløpssystemet.

– I Florida var det snakk om helt elementære brudd på sikkerheten, og vi er noe bedre rustet i Norge. Men, det er gjerne snakk om eldre systemer i vann- og avløpsetatene, og dette medfører større sårbarhet og større beskyttelsesbehov, sier Raaum.

Ifølge Drammen kommune skjedde datainnbruddet på en server uten kontakt med selve vannforsyningssystemet.

– Det var aldri noen fare for at dette dataangrepet truet vannforsyningen på noen måte, og hackerne fikk heller ikke tilgang på personinformasjon. Det var ingen stor trussel, men det skulle aldri ha skjedd, sier virksomhetsleder IKT Svein Hilding Aasen i Drammen kommune.

Kommunen engasjerte Atea IRT for å undersøke datainnbruddet, og selskapet har utformet en rapport om hendelsen. Drammen kommune har kun gitt Kommunal Rapport og Dagbladet delvis innsyn i rapporten.

Russiske aktører

Kommunal Rapport og Dagbladet kan avsløre at det var den russiske hackergruppen Avaddon som sto bak dataangrepet mot vanninfrastrukturen i Drammen. Dette bekreftes også av kilder i Drammen kommune.

Hackerne krypterte filene på en server driftet av vann- og avløpsetaten, men gode back-up-rutiner sørget for at kommunens data var sikret. Politiet mener at alt tyder på at det var et typisk løsepengeangrep.

– Vi har konkludert med at hensikten bak dataangrepet var økonomisk vinning, og ikke terror eller skade. Etterforskningen klarte ikke å identifisere angripernes IP-adresse, og saken er derfor henlagt grunnet ukjent gjerningsperson, sier politiinspektør Hans Erik Seljordslia i politidistriktet Sør-Øst.

Han ønsker ikke å kommentere opplysningene Kommunal Rapport og Dagbladet sitter på om at det var hackergruppen Avaddon som sto bak angrepet.

Ifølge teknologinettstedet zdnet.com la hackergruppen Avaddon ned sin virksomhet i juni 2021, noen måneder etter angrepet mot Drammen.

Kommunal Rapport og Dagbladet har forsøkt å spore opp medlemmer av Avaddon for å kommentere saken, men vi har ikke lykkes å komme i kontakt med gruppen.

– Urovekkende

Undersøkelser fra Kommunal Rapport og Dagbladet viser at en rekke kommuner, fylkeskommuner og statlige etater har blitt utsatt for datainnbrudd de siste årene, og mange av angrepene er utført av russiske hackergrupper. Angrepet på Østre Toten i september i fjor er et eksempel på dette.

Cyberspesialistene i Kommune-CSIRT mener det er sikkerhetshull i kommunenes systemer for vann- og avløp.

– Vi ser at datasikkerheten i kommunenes VA-systemer ofte er hakket lavere enn det vi ser på IKT-systemene generelt. Det er urovekkende, og jeg frykter at det som skjedde i Florida også kan skje i Norge, sier leder av Kommune-CSIRT Bjørn Tveiten.

Kommune-CSIRT mener at digitaliseringen av vann og avløpssystemet og IKT-tjenestene har skjedd uavhengig av hverandre i de fleste kommuner. Dette fører til at datastrukturen i vann- og avløpssektoren ikke nødvendigvis får like høy datasikkerhet som IKT-tjenestene.

– Hovedårsaken til denne skjevheten i datasikkerhet kan ligge i at ansatte i vann- og avløpsetatene, naturlig nok, ikke har den samme kompetansen på datasikkerhet som fagpersonene i IKT-avdelingene, sier Tveiten.

Lavere sikkerhet

– Burde ikke datasystemene for vann hatt ekstra høy sikkerhet?

– Jo, dette er en svært kritisk tjeneste, og vi er veldig engstelige for sårbarheten til vann- og avløpsstrukturen når det gjelder datasikkerhet. Dette er et område vi mener kommunene raskt bør ta tak for å øke sikkerheten, sier Tveiten.

Som i mange andre kommuner hadde vann- og avløpsetaten i Drammen egne servere for vann og avløpssystemet. Denne serverparken ble driftet av VA-etaten alene. Etter dataangrepet har kommunen endret strategi for å styrke datasikkerheten for VA-systemet.

– Nå har vi en felles strategi, og det er en stor fordel. Å ha en profesjonell IKT-organisasjon i ryggen gir helt klart en ekstra trygghet, sier Aasen i Drammen kommune.

Er ikke så bekymret

Norsk Vann er den nasjonale interesseorganisasjonen for vannbransjen. Organisasjonen eies av kommunene, og totalt er 320 av landets 356 kommuner medlemmer. Organisasjonen viser til sikkerheten for infrastrukturen for vann er høyt prioritert av kommunene, og at det skal mye til for at hackere skal ta kontroll over driftskontrollsystemet for vann.

– Hacking kan skape masse krøll og støy, og det kan muligens medføre mindre forstyrrelser i vannleveransene, sier avdelingsleder Kjetil Furuberg for vanntjenester i Norsk Vann.

At det er svakere datasikkerhet i VA-sektoren enn i IKT-sektoren mener han ikke er et gitt faktum i alle kommuner.

– I de tilfellene datasikkerheten driftes alene av VA-avdelingene i mellomstore og mindre kommuner, kan det være riktig at datasikkerheten er lavere for VA-sektoren enn i IKT-sektoren, sier Furuberg.

Kompetanse er kritisk

Han peker på at infrastrukturen for vann er nøye overvåket, og at det i kritiske situasjoner er mulig å løse eventuelle utfordringer manuelt, eller ved å benytte reservevannforsyning.

– Det er mulig hackere kan forstyrre vannleveranse og svekke rensingen av vannet i en kortere periode, men jeg er ikke så bekymret for at innbyggerne skal få helseskadelig vann som følge av datainnbrudd, sier han.

Han viser til at kommunene må ha et bevisst forhold til trusselbildet, og at IKT-tjenesten og vann- og avløpstjenesten må samarbeide. Han tror at de mellomstore kommunene kan ha vanskeligheter med å sikre seg nok kompetanse innen datasikkerhet på vann- og avløpsområdet.