Het is een nachtmerrie voor Europese energiemanagers.
Henriette Borgund weet dat aanvallers zwakke plekken kunnen vinden in de verdediging van een groot duurzaam energiebedrijf - ze heeft ze zelf gevonden. Afgelopen april trad ze in dienst bij het Noorse Hydro als een "ethische hacker", waarbij ze haar jarenlange ervaring in militaire cyberverdediging inzette in een tijd van oorlog in Europa en chaos op de energiemarkten.
"Ik weet niet zeker of ik iets wil zeggen over hoe vaak we gaten in ons systeem vinden. Maar wat ik wel kan zeggen is dat we gaten in ons systeem hebben gevonden," vertelde ze Reuters op het hoofdkantoor van Hydro in Oslo, waarbij ze om veiligheidsredenen weigerde om details te geven over de aard van de kwetsbaarheden.
Hydro is een van de grote energieproducenten die hun cyberdefensie versterken, wat voor een groot deel te wijten is aan de Russische invasie in Oekraïne, die naar hun zeggen de dreiging van aanvallen door hackers op hun activiteiten heeft vergroot, volgens interviews van Reuters met een dozijn leidinggevenden van zeven van de grootste spelers in Europa.
"We hebben vorig jaar, na het begin van de oorlog in Oekraïne, vastgesteld dat het risico van cybersabotage is toegenomen," zei Michael Ebner, hoofd informatiebeveiliging bij het Duitse nutsbedrijf EnBW , dat zijn 200-koppige cyberbeveiligingsteam aan het uitbreiden is om activiteiten te beschermen die variëren van wind- en zonne-energie tot netwerken.
Alle leidinggevenden zeiden dat de geraffineerdheid van de Russische cyberaanvallen tegen Oekraïne een waarschuwing waren voor de kwetsbaarheid van gedigitaliseerde en onderling verbonden elektriciteitssystemen voor aanvallers. Ze houden nerveus een hybride oorlog in de gaten waarin fysieke energie-infrastructuur al het doelwit is geweest, van de Nord Stream-gaspijpleidingen tot de Kakhovka-dam.
"De cybercampagnes die Rusland tegen Oekraïne voert, zijn zeer gericht op Oekraïne. Maar we hebben het kunnen observeren en ervan kunnen leren," zegt Torstein Gimnes Are, hoofd cyberbeveiliging bij Hydro, een aluminiumproducent en de op drie na grootste energieproducent van Noorwegen.
Gimnes Are zei dat hij vreesde dat een nationale staat met hackersgroepen zou kunnen samenwerken om een netwerk met kwaadaardige software te infecteren - maar net als de andere leidinggevenden weigerde hij details over specifieke aanvallen of bedreigingen te onthullen, vanwege de vertrouwelijkheid van het bedrijf.
De Oekraïense veiligheidsdienst SBU vertelde Reuters dat Rusland gemiddeld meer dan 10 cyberaanvallen per dag uitvoerde, waarbij de Oekraïense energiesector een prioritair doelwit was. De dienst zei dat Rusland had geprobeerd digitale netwerken te vernietigen en stroomonderbrekingen te veroorzaken, en dat raketaanvallen op faciliteiten vaak gepaard gingen met cyberaanvallen.
Russische functionarissen hebben gezegd dat het Westen Moskou herhaaldelijk beschuldigt van cyberaanvallen zonder bewijs te leveren en dat de Verenigde Staten en hun bondgenoten offensieve cyberoperaties tegen het land uitvoeren. Het Russische ministerie van Buitenlandse Zaken reageerde niet onmiddellijk op een verzoek om commentaar op de standpunten van de energiebedrijven of de beweringen van de Oekraïense SBU.
De Europese energiebedrijven en een half dozijn onafhankelijke technische beveiligingsexperts benadrukten dat de gedigitaliseerde en onderling verbonden technologie van de duizenden duurzame activa en energienetwerken die overal in Europa opduiken, een grote - en groeiende - kwetsbaarheid voor infiltratie vormen.
"De nieuwe energiewereld is gedecentraliseerd. Dit betekent dat we veel kleine eenheden hebben - zoals wind- en zonnecentrales, maar ook slimme meters - die op een digitale manier met elkaar verbonden zijn," zei Swantje Westpfahl, directeur bij het Duitse Instituut voor Veiligheid en Zekerheid.
"Dit netwerken verhoogt de risico's omdat er aanzienlijk meer mogelijke toegangspunten voor aanvallen zijn, met een veel grotere potentiële impact."
TRITON VIRUS SLUIT FABRIEK
De mogelijke gevolgen van een cyberaanval variëren van het buitmaken van gevoelige gegevens en stroomuitval tot de vernietiging van een fysiek bedrijfsmiddel, aldus James Forrest, executive vice president bij Capgemini, dat bedrijven adviseert over beveiligingsrisico's.
Hij noemde in het bijzonder het risico van malware zoals het Triton-virus, waarmee hackers in 2017 de veiligheidssystemen van een Saudische petrochemische fabriek op afstand overnamen en stillegden.
Hoewel malwarepakketten zoals Triton misschien exotische algoritmische wapens zijn, is de meest voorkomende manier om binnen te komen die hackers gebruiken volgens de geïnterviewde leidinggevenden en experts meer bekend: via phishingmails die zijn ontworpen om gegevens van werknemers te ontlokken, zoals netwerkwachtwoorden.
Dergelijke aanvallen zijn "min of meer constant", volgens Cem Gocgoren, hoofd informatiebeveiliging bij Svenska Kraftnaet. De Zweedse netbeheerder heeft zijn cyberbeveiligingsteam de afgelopen vier jaar ongeveer verviervoudigd tot ongeveer 60 personen en is bezig het bewustzijn onder het personeel te vergroten. "We moeten hen duidelijk maken dat we voortdurend worden aangevallen. Dat is het nieuwe normaal."
Hydro's ethische hacker Borgund sloot zich aan bij dit gevoel van een niet aflatend spervuur via phishing, dat zij beschreef als de "eerste initiële vector" van cyberaanvallers.
CYBERAANVAL OP SATELLIET
Traditionele energiecentrales zoals gas- en kerncentrales werken meestal met een IT-infrastructuur die van buitenaf is afgesloten, waardoor ze minder gevoelig zijn voor cyberaanvallen dan voor fysieke sabotage, aldus Stephan Gerling, senior onderzoeker bij Kasperky's ICS CERT, dat cyberbedreigingen op industriële faciliteiten bestudeert en detecteert.
Daarentegen draait het steeds groeiende aantal kleinere hernieuwbare installaties in Europa op diverse systemen van derden die digitaal zijn aangesloten op het elektriciteitsnet en die onder de bewakingsdrempel voor stroomopwekking liggen die door veiligheidsinstanties is vastgesteld, voegde hij eraan toe.
Dit soort onderlinge verbindingen werd afgelopen februari aangetoond toen een Russische cyberaanval op een Oekraïens satellietcommunicatienetwerk de bewaking op afstand van meer dan 5.800 windturbines van het Duitse Enercon uitschakelde en ze stillegde, zei Mathias Boeswetter, hoofd IT-beveiliging bij de Duitse energiebranchegroep BDEW.
Hoewel het incident geen invloed had op het elektriciteitsnet, toonde het wel de toenemende kwetsbaarheid van cyberspace tijdens de energietransitie, voegde hij eraan toe.
DE SLEUTEL TOT HET HACKEN VAN EEN WINDMOLENPARK
Het hacken van een windmolenpark kan relatief eenvoudig zijn.
Onderzoekers van de Universiteit van Tulsa voerden in 2017 een experiment uit door in te breken in naamloze windmolenparken in de Verenigde Staten om hun kwetsbaarheden te testen, met toestemming van de beheerders van het windmolenpark, volgens een rapport over cyberbedreigingen voor energie van risicoadviesbureau DNV.
De onderzoekers forceerden een slot om toegang te krijgen tot een kamer in de voet van een windturbine, aldus het rapport. Ze kregen toegang tot de server van de turbine en een lijst met IP-adressen van elke netwerkturbine in het veld. Vervolgens lieten ze de turbine stoppen met draaien.
Aangespoord door overheidsinspanningen om landen van fossiele brandstoffen af te helpen en hernieuwbare energiebronnen te verdubbelen, waren wind- en zonne-energie volgens EU-gegevens in 2021 goed voor meer dan een vijfde van de Europese vraag naar energie, een aandeel dat in 2030 naar verwachting verdubbeld zal zijn.
E.ON - Europa's grootste exploitant van energienetwerken met een netwerk van 1 miljoen mijl - heeft ook een toenemend risico op cyberaanvallen waargenomen, zei haar CEO Leonhard Birnbaum op de aandeelhoudersvergadering van de groep in mei.
Het bedrijf heeft zijn speciale cyberpersoneel in de loop der jaren uitgebreid tot ongeveer 200 mensen, zei het in een commentaar per e-mail, en voegde eraan toe dat de groep al lang het belang van deze kwestie inzag.
"Cyberbeveiliging pas bovenaan de prioriteitenlijst zetten na het uitbreken van de oorlog in Oekraïne en de energiecrisis zou een ernstige omissie zijn geweest," zei het bedrijf.
De Europese energiesector als geheel is mogelijk niet voorbereid op de omvang van de beveiligingsuitdaging - dat is de mening van veel werknemers in de sector die zeggen dat een gebrek aan interne cyberbeveiligingsvaardigheden het grootste obstakel is voor een effectieve bescherming tegen aanvallen, volgens een afzonderlijk DNV-onderzoek onder ongeveer 600 energieprofessionals dat in februari en maart werd uitgevoerd.
"Bedrijven in de energieruimte hebben als kernactiviteit het produceren van energie, niet cyberbeveiliging," zegt Jalal Bouhdada, CEO van cyberbeveiligingsbedrijf Applied Risk, een divisie van DNV.
"Dit betekent dat ze ijverig moeten werken om elk aspect van hun infrastructuur te beveiligen, omdat kwaadwillende actoren maar één gat hoeven te vinden om uit te buiten."
