TrønderEnergis hovedkontor på Lerkendal i Trondheim. Foto: TrønderEnergi

I fjor høst ble TrønderEnergi hacket av fremmede datainntrengere. Angrepet var rettet kun mot de administrative systemene, men ble en vekker for kraftselskapet.

Seint på dagen 18. september i fjor oppdaget en av de ansatte i TrønderEnergi at brukerkontoen på det administrative systemet var stengt ned, og kontaktet selskapets IT-avdeling. De kunne raskt fastslå at det var unormalt stor trafikk mot selskapets domeneservere, og alarmen gikk.

TrønderEnergis IT-direktør Svein Erik Jørgensen forteller til Energiteknikk at de rett og slett ble utsatt for et såkalt «brute force-angrep», det vil si at selskapets brukerkontoer ble utsatt for kaskader av påloggingsforsøk utenfra.

– Vi kunne se at angrepene kom fra utenfor Norden, men fra flere regioner rundt om i verden, forteller han.

Botnet

Slike angrep blir ofte utført via et såkalt botnet, det vil si tusenvis av enkeltstående PC-er og andre datamaskiner over hele verden som hackerne har tatt kontroll over uten at deres brukere er klar over det.

Da alarmen gikk hos TrønderEnergi, satte ledelsen straks ned en aksjonsgruppe bestående av selskapets egne IT-eksperter og ressurspersoner fra leverandørene av IT-systemene. I mellomtiden hadde infiltrasjonsførsøkene gjort at systemet stengte ned flere titalls andre brukerkontoer. Jørgensen forteller at hackerne likevel ikke klarte å gjøre noe vesentlig annen ugagn når de først var inne i systemet.

– Vi etablerte et «war room», og klarte å gjenvinne det vesentligste av kontrollen utpå kvelden etter 6–7 timers arbeid. Dagene etter var det en del arbeid i forbindelse med opprydding og gjenoppretting, og ikke minst informasjon til selskapets øvrige ansatte. Men vi hadde full kontroll på at angrepet kun var begrenset til de delene av våre IT-systemer som var eksponert for internett. SCADA og andre fagsystemer var helt uberørt, slik de skal være etter våre sikkerhetsforanstaltninger.

Fortgang

Jørgensen forteller at hendelsen satte fortgang i gjennomføringen av tofaktor pålogging på de administrative systemene.

– Dette hadde vi uansett på agendaen, men nå fikk dette førsteprioritet. Samtidig var vi ikke helt tatt på senga, vi hadde nettopp gjennomført en penetrasjonstest  mot SCADA og de øvrige fagsystemene. Derfor var vi ganske trygge på at situasjonen ikke ville eskalere til noe mye verre, sier han.

IT-direktøren forteller at hendelsen faktisk kan ha en viss positiv effekt.

– Hendelsen styrket bevisstheten omkring sikkerhet i hele organisasjonen. Våre rutiner ble innskjerpet, og innføringen av tofaktor innlogging ble unnagjort på kortest mulig tid.