Sekretessbelagd information om det svenska elsystemet stals vid intrånget mot Svenska kraftnät, men ingenting är känsligt nog för att hota rikets säkerhet. Det säger informationssäkerhetschef Cem Göcgören, som medger att rutinerna har brustit. – Säkerheten borde ha varit bättre, säger han.
Sekretessbelagd information om det svenska elsystemet stals vid intrånget mot Svenska kraftnät, men ingenting är känsligt nog för att hota rikets säkerhet. Det säger informationssäkerhetschef Cem Göcgören, som medger att rutinerna har brustit.
– Säkerheten borde ha varit bättre, säger han.
Få ut mer av DN som inloggad
Du vet väl att du kan skapa ett gratiskonto på DN? Som inloggad kan du ta del av flera smarta funktioner.
- Följ dina intressen
- Nyhetsbrev
Sent på kvällen den 25 oktober fick Svenska Kraftnät informationen: En väletablerad, kriminell hackargrupp känd för utpressningsattacker påstod sig ha kommit över en enorm mängd data från statliga Svenska Kraftnät.
Många hoppade till – Svenska kraftnät har ansvar för grunderna i det svenska elnätet, en av de viktigaste funktionerna för svensk energiförsörjning. Risken var uppenbar att hackargruppen hade kommit över känslig information om elsystemen. Och den hotade att läcka allt på darknet, om inte en lösensumma betalades.
Nu har Svenska Kraftnät fått klarhet i vad angriparna kom över. Merparten är ej sekretessbelagd, bland annat vanliga systemuppdateringar av mjukvara. Där finns också vissa personuppgifter, men inte särskilt känsliga.
– Vi vet att gruppen har fått tillgång till information som vi internt har belagt med sekretess. Det är information om vårt elsystem, säger Cem Göcgören, informationssäkerhetschef på Svenska Kraftnät, till DN.
Det ska dock inte röra sig om säkerhetsskyddsklassad information, en högre grad av sekretess som innebär att informationen, om den röjs, kan skada rikets säkerhet. Intrånget skedde mot en server som Svenska Kraftnät använder för att dela utvald information med andra aktörer inom elbranschen.
Hur kunde de ta sig in?
– Hackarnas tillvägagångssätt går vi inte in på i detalj nu. Det vi vet är att det ledde till att de kunde stjäla data. Servern som hackades har vi tagit ner, och vi har konfigurerat en motsvarande, men med uppdaterade rutiner.
Kunde ni ha gjort något annorlunda för att stoppa detta?
– Det vi definitivt kunde ha gjort annorlunda är att ha bättre rutiner för att radera gamla data på den här tjänsten, säger Cem Göcgören.
Han har efter intrånget kunnat konstatera att mängder med information blev liggande där, även efter att den hade laddats hem av mottagaren. Det ledde till att läckan blev mer omfattande än den hade behövt vara.
– Jag kan inte påstå att vi hade en bra säkerhet, eftersom det här har skett. Naturligtvis, om man har kapaciteten hos alla hackare i världen så kan man förmodligen ta sig in i många servrar. Men jag kan säga att säkerheten på vår server borde ha varit bättre, framför allt ska det inte ligga en massa gamla data där.
Som DN tidigare har rapporterat så hotade hackargruppen att släppa den stulna informationen i lördags kväll, svensk tid. Men istället plockades inlägget med hotet bort från gruppens sajt på darknet, en anonymiserad och krypterad del av internet. Enligt Cem Göcgören vet Svenska Kraftnät inte varför det skedde.
Har ni varit i kontakt med gruppen?
– Svenska kraftnät har inte haft det, säger Cem Göcgören som i övrigt hänvisar till polisens utredning.
Har ni betalat dem något?
– Nej, det har vi inte gjort. Då hade jag inte suttit som informationssäkerhetschef. Jag skulle aldrig, aldrig jobba på ett ställe där man betalar för kriminell verksamhet och stödjer dem ekonomiskt.
Det är sedan tidigare känt att angriparna försökte nå fler delar av Svenska Kraftnäts it-system via den hackade servern, men att detta misslyckades. Det ska inte heller ha synts några försök att kryptera hårddiskar, något som annars är vanligt vid denna typ av attack.
