ICIS energi- och råvaruexpert Aura Sabadus och senior marknadsreporter Rob Dalton undersöker det kostsamma slagfältet med cybersäkerhet, där energiföretag brottas med en genomsnittlig årlig utgift på 4 miljoner dollar på ransomware-försvar. De belyser allvaret i cyberhot som äventyrar energimarknaden och den globala ekonomiska stabiliteten, och betonar den viktiga roll som avancerade cyberförsvar spelar i energiindustrins resa mot noll.
I mars 2024 lyfte Storbritannien och USA fram ökade kinesiska statsstödda cyberattacker, inklusive på Storbritanniens röstlängd, med sanktioner planerade som svar. Nyligen genomförda undersökningar tyder på en ökning med 97 % av cyberhot inom olika industrier, inklusive energi, sedan Rysslands invasion av Ukraina 2022. Cyberattacker anses nu vara de största globala riskerna i World Economic Forums 2020-rapport.
Med attacker som blir dyrare omdirigerar energibolag medel från nya projekt för att förbättra cyberförsvaret. Internationella energibyrån noterar att de veckovisa attackerna mot energiföretag har mer än fördubblats från 2020 till 2022.
Geopolitiska spänningar, särskilt Rysslands invasion av Ukraina, har sporrat statligt sponsrade aktörer från länder som Kina och Ryssland att engagera sig i cyberspionage och störa kritisk infrastruktur. Kriminella grupper strävar efter att stjäla data eller immateriell egendom och kräver rejäla lösensummor.
Mänskliga fel, som svaga lösenord och föråldrade försvar, bidrar också till sårbarheter.
I Nordamerika är 20 % av cyberattacker riktade mot energisektorn, enligt IBM. Nyligen varnade amerikanska CISA för kinesiska planer på att rikta in sig på amerikansk energiinfrastruktur mitt i ökade spänningar.
Enligt IBM står energibolagen i Storbritannien inför betydande hot eftersom stora olje- och gassupermajors har sitt huvudkontor där. Under tiden har Ukraina blivit offer för obevekliga attacker i cyberrymden. I en intervju med ICIS sa ett företag baserat i landet att det hade bevittnat minst 27 miljoner attacker 2023, inklusive denial of service (DOS) utformad för att störa systemets normala funktion.
Cyberhoten har diversifierats, påverkat alla sektorer och förvärrat risklandskapet för energibolag över hela världen. Trots den ökande hotnivån tvekar många företag att avslöja incidenter av rädsla för att skada ryktet.
I november förra året sa Leonhard Birnbaum, VD för E.ON, ett av Europas största kraftbolag, att ”skurkarna blir bättre för varje dag” mitt i rädsla för att Europas energiinfrastruktur översvämmas av tusentals cyberattacker.
Medan meddelandet var tänkt som en väckarklocka för branschen, borde en incident som hade inträffat några månader tidigare ha övertygat olja, gas och allmännyttiga företag om de påtagliga riskerna.
SektorCERT, en ideell organisation som ägs och finansieras av danska kritiska infrastrukturföretag, avslöjade hur 22 energibolag baserade i landet blev offer för en riktad koordinerad attack i maj 2023.
Som ett resultat av attackerna fick gärningsmännen tillgång till några av företagens industriella kontrollsystem och flera företag var tvungna att gå i ”öläge”.
Även om Danmark verkar vara ett av de EU-länder som har varit under konstant attack de senaste åren, var en ovanlig aspekt av fjolårets incident att angripna i förväg visste vem de skulle rikta sig till och göra rätt varje gång, enligt SektorCERT. Under attackerna utnyttjas flera sårbarheter i brandväggar för första åtkomst och fullständig kontroll över de drabbade systemen.
Cybersäkerhetsorganisationen sa att den, åtminstone i en av attackerna, observerade aktivitetsassocierade med Sandworm, en risk statssponsrad aktör kopplad till den ryska militära underrättelsetjänsten.
Några månader senare, i november 2023, sade den tyska energimyndigheten, dena, att dess servrar hade varit måltavla av cyberbrottslingar som ”avsevärt äventyrade” dess tekniska förmåga att arbeta, vilket gjorde organisationen oåtkomlig via telefon eller e-post.
Efterföljande rapporter indikerade att byrån hade blivit offer för ransomware-gruppen BlackCat, som hotade att publicera de stulna uppgifterna på den mörka webben om kraven på lösen inte uppfylldes. Kort efter att en internationell grupp av utredare neutraliserade BlackCats webbplatser, hotade LockBit, en annan cyberkriminell grupp, att publicera den stulna informationen.
De stulna uppgifterna publicerades verkligen på den mörka webben, vilket fick dena att ringa olika tjänsteleverantörer för att analysera händelsen och sätta upp skyddsmekanismer.
Därefter rapporterade Storbritanniens National Crime Agency och internationella partners att de infiltrerade LockBits nätverk och äventyrade dess kriminella företag.
Ett tredje fall hänför sig till ett tillkännagivande som gjordes tidigare i februari av amerikanska regeringsorganisationer angående kinesiska statligt sponsrade aktörer som försöker ”prepositionera sig” på IT-nätverk för störande och destruktiva cyberattacker mot kritisk infrastruktur i händelse av en kris eller konflikt mellan de USA och Kina.
Cybersäkerhets- och infrastrukturbyrån (CISA), National Security Agency (NSA) och Federal Bureau of Investigation (FBI) sa att kritiska infrastrukturorganisationer, inklusive inom energisektorn, kan ha äventyrats av den kinesiska statligt sponsrade cybergruppen känd som Volt Typhoon.
Dessutom påpekade byråerna att relaterad infrastruktur i Kanada eller icke-kontinentala amerikanska territorier också kan ha påverkats.
I sitt rådgivande meddelande från februari 2024 sa CISA att Volt Typhoons val av mål och beteende inte överensstämde med traditionellt cyberspionage eller insamling av underrättelseverksamhet, utan tog ett steg längre eftersom aktörerna förberedde sig på IT-arbeten för att skapa störningar vid senare tillfällen.
– De amerikanska författarbyråerna är oroade över potentialen för dessa aktörer att använda sin nätverksåtkomst för störande effekter i händelse av potentiella geopolitiska spänningar och/eller militära konflikter, sa CISA.
Byrån tillade att användningen av ”living off the land-tekniker”, som de som används av Volt Typhoon-gruppen, hade behållit fotfästet i offrets IT-system i minst fem år och genomfört spaning före exploateringen för att lära sig mer om målorganisationen och dess miljö.
Även om alla företag som är involverade i strategiska sektorer eller driver kritisk infrastruktur är sårbara för cyberhot, kan ukrainskt baserade kläder ha haft den största andelen attacker under de senaste tio åren när Ryssland först invaderade landet.
Under 2015 kastades mer än 200 000 konsumenter i mörker i flera timmar efter att elnätet i två västra regioner hackades.
Inom några månader efter Rysslands fullskaliga invasion den 24 februari 2022, var nätet återigen måltavla genom att ”leva på landtekniken” som löste ut transformatorstations strömbrytare, vilket orsakade oplanerade avbrott som sammanföll med massmissilangrepp på kritisk infrastruktur över hela landet.
Ändå sa en källa på ett företag som tillhandahåller IT-hjälp och 24-timmarsövervakning till flera enheter i den ukrainska energisektorn att förberedelser som infördes innan den fullskaliga invasionen hade hjälpt företag att bli mer motståndskraftiga även när cyberhoten intensifierades.
Ett företag sa att attackerna mot sina egna system nästan tredubblades från 10 miljoner före februari 2022 till 27 miljoner 2023.
”Om du vill ha fred, förbered dig för krig”, sa den ukrainska IT-källan och betonade vikten av att känna till riskerna och implementera skyddsåtgärder.
Källor som intervjuats av ICIS i regeringen eller den privata sektorn var överens om att majoriteten av hoten som bevittnas inom energisektorn kommer från statligt sponsrade aktörer, och dessa kan vara baserade i Ryssland, Kina, Iran, Nordkorea eller Pakistan.
– I Rysslands fall har ni 17 individuella oseriösa cybergrupper som alla möter västerut, säger Stuard PooleRobb, koncernchef för The KCS Group Europe Ltd, ett London-konsultföretag för strategisk intelligens och riskhantering.
– Det finns 26 enheter, som har en rad tjänster från statligt initierade cyberattacker, propaganda eller kemisk krigföring, sade han och noterade att grupperna kom från en specialenhet som etablerades i slutet av 1980-talet och som enligt uppgift ansvarade för psykologiska operationer.
KCS Poole-Robb sa att dessa statssponsrade grupper, som ofta är kopplade till ryska maffiagrupper, ibland verksamma från länder som Polen, Ukraina, Rumänien, Storbritannien eller USA, inte nödvändigtvis var oroliga över vilken typ av företag de men mer om deras antal.
Han sa:
– Det är gungor och rondeller, men målet är siffror. Enheterna har växt från 1980-talet till det vi ser idag. De riktar sig till en mängd olika sektorer, såsom den juridiska sektorn, läkemedel, högteknologi, energi och finans. De letar efter insiderinformation som de kan använda och missbruka.
En källa vid US Cybersecurity and Infrastructure Security Agency (CISA) pratade med ICIS, sa att några av de större verktygen och operatörerna av den federala ryggradsinfrastrukturen har investerat betydande summor pengar för att skydda sig själva.
Han medgav dock att det fortfarande finns många sårbarheter i systemet. Dessa är antingen kopplade till mindre företag som inte har råd att rekrytera eller betala högutbildad IT-personal eller för att själva energiinfrastrukturen blir mycket komplex när nya enheter som elfordon, solpaneler eller vindkraftverk kopplas in i nätet, vilket ger flera inträde poäng för cyberbrottslingar.
Med energiomställningen överväger nu många företag att bygga mer motståndskraftiga, distribuerade nät, som skulle säkerställa att attackerna förblir lokaliserade snarare än sprids ut till hela ekosystemet.
– Det finns för- och nackdelar med distribuerad energi, sa CISA-specialisten. Riskerna är mer spridda och om något går ner finns det andra enheter för backup. Men hur mycket förlitar du dig på förnybar energi för en kallstart av nätet? Det finns öppna frågor där.
Ändå sa han att CISA rekommenderar större segmentering av energisystem för att säkerställa att attacker förblir lokaliserade, men höll med om att utmaningarna kommer att bestå så länge som systemen fortsätter att förlita sig på äldre operativ teknik, som är dyrare och svårare att uppgradera.
Den ukrainska källan från IT-företaget som arbetar med energiföretag insisterade dock på att investeringar i cyberförsvar borde vara en prioritet för såväl kraftverk som olje- och gasföretag, även om det kan tyckas att allokering av pengar för att bygga skyddsåtgärder skulle tömma budgetar som är öronmärkta för investeringar på annat håll.
”Lärdomarna som västerländska företag kan dra av ukrainska motsvarigheter borde vara enkla: migrera viktiga företagstjänster till molntjänster. Distribuera tjänster över olika datacenter och etablera ditt eget 24-timmars övervakningscenter för cybersäkerhet. Ditt cyberförsvar är ditt frontlinjeförsvar. Du vet aldrig hur och när attacken kommer till ditt företag eller land.
