På natten arbetar en ensam operatör i kontrollrummet som övervakar stamnätet för el. Han är inte särskilt insatt i företagets säkerhetsrutiner och tycker att passen ofta är långa och tråkiga. För att få tiden att gå har han installerat en webbläsare i en av arbetsstationerna för att kunna chatta med vänner på ett socialt nätverk.

Samtidigt på annat håll sitter en ung man som är mycket missnöjd med samhället han lever i. Han tycker inte att myndigheterna lyssnar på honom och vill få deras uppmärksamhet. Han bestämmer sig för att orsaka störningar i elförsörjningen, eftersom det kommer att få stora konsekvenser. Han vet att högvoltsnätet sköts från huvudstaden och vad företaget heter. Han letar efter anställda med konton på det största sociala nätverket och hittar en ung man som ofta är inloggad på nätterna. En enkel vänförfrågan senare skickar han en till synes harmlös länk till sin nye vän, operatören som jobbar nattpass i kontrollrummet.

Operatören brukar lägga till alla som vill bli vänner med honom och klickar gärna på en länk från sin nye vän som utlovar roliga skämt. Servern som länken leder till utnyttjar en svaghet i den installerade webbläsaren och javamiljön. Inkräktaren får administratörsrättigheter på arbetsstationen. När operatören senare går på rast passar inkräktaren på. Styrsystemet är intuitivt utformat och utan att ha sett det förut lyckas han lista ut hur han öppnar högvoltsbrytare i elnätet. Den missnöjde unge mannen lyckas med sitt uppsåt. Landet drabbas av ett totalt strömavbrott.

Operatören på rast reagerar när larmen går. Han blir väldigt förvånad när han inser att det är han själv som utfärdat kommandona som öppnat brytarna. Han förstår till slut att arbetsstationen blivit hackad och kontaktar sin chef.

Elnätet återställs bit för bit. Det tar hela tolv timmar innan strömmen är fullt återställd. Strömavbrottet kostar samhället omkring fem miljarder svenska kronor.

Scenariot ovan har inte hänt, men är ett av flera möjliga scenarier som togs fram till forskningsprojektet Viking, där KTH samarbetat med bland annat ABB och E-on. Syftet var att undersöka hur sårbart elnätet är för nätattacker, hur stora konsekvenserna skulle kunna bli och utreda vad som kan göras för att säkra upp och motverka.

Den enda kända attacken mot ett industriellt styrsystem är masken Stuxnet. Den upptäcktes 2010 av ett vitryskt säkerhetsföretag. Irans kärnvapenprogram har pekats ut som maskens primära mål.

Stuxnet är otroligt sofistikerad och säkerhetsexperter pekar ut USA och Israel som möjliga avsändare. Masken spreds via usb-minnen och påverkade flera centrifuger som används för att anrika uran i en anläggning i Iran.

Styrsystemen som sköter våra elnät utvecklades inte för att kopplas till andra nätverk, men i dag är de öppna på ett helt annat sätt med uppenbara risker. Problemen med säkerheten på nätet har bara börjat om man ska tro på säkerhetsexperter och grupper som Anonymous. När elbolagen börjar gå över till så kallade smarta elnät ökar riskerna ännu mer. Smarta elnät ska hjälpa konsumenterna att använda el när den är som billigast. Det finns förslag på att införa timdebitering av el i stället för att läsa av elmätaren av en gång i månaden. På så vis kan konsumenterna köra tvättmaskinen när elen är som billigast på natten.

E-on genomför ett test, 100koll, med utvalda hushåll där kunderna ska få koll på sin elförbrukning så nära realtid som möjligt, via internet, mobilen eller en display hemma. Smarta elnät diskuteras världen över, men från lite olika vinklar. Inom EU vill man nå klimatmålen, medan bland annat USA och Kanada vill få till robustare elnät.

Svenska kraftnät är ansvariga för stamnätet i Sverige.

– It-säkerheten är väldigt viktig för oss, men om nätattacker är något akut hot är väldigt svårt att bedöma. Det finns ingen anledning att tro att vår bransch skulle slippa undan, säger Nils Lindén, avdelningschef för it-avdelningen.

Svenska kraftnät är involverat i flera säkerhetsforum där deltagarna försöker lära av varandra och lyfta säkerhetstänkandet hos alla.

– Hela branschen går mot mer standardiserade produkter och det ökar riskerna mot förr när systemen var mer inlåsta och alla hade egna lösningar. Men samtidigt har vi mer sofistikerade skydd i dag och säkerheten är en jätteviktig punkt på agendan.

Svenska kraftnät lägger ner mer resurser och arbete på att skapa skyddande skikt. Inga system implementeras utan en genomgång av säkerheten.

Scenariot i början är ganska enkelt att motverka genom att utbilda personalen och inte tillåta nätsurfning från viktiga arbetsstationer. Ett av de mer komplicerade scenarierna slutar med att en transformator exploderar.

För att testa effekterna av de olika scenarierna användes inte ett riktigt elnät av förklarliga skäl. I stället användes en virtuell modell som kan skalas för att passa olika länder. Modellen använder ett elnät med en kapacitet som motsvarar 16 procent av Sveriges verkliga elnät. De uträknade kostnaderna skulle därför bli ännu högre i verkligheten.

Mats B-O Larsson har tagit fram den virtuella staden åt Viking-projektet. Han har många års erfarenhet av och ett stort intresse för samhällets infrastrukturer. Förutom konsultuppdrag som det här är han också styrelseordförande för Telge nät som bland annat driver elnätet i Södertälje söder om Stockholm.

– Vi har levt aningslöst och haft ett för lågt säkerhetstänkande. Det gäller inte bara elnätet, utan alla samhällskritiska infrastrukturer. Vi måste skala upp vårt säkerhetstänkande några steg.

Han har lagt ner nära två arbetsår på att utveckla modellen till Vikingprojektet. Det mesta har han gjort själv. Det som är unikt för den här modellen är att den ekonomiska aktiviteten i samhället finns med.

Modellen har massor av statistik från EU om energikonsumtion, demografisk information, hur många som jobbar och i vilka branscher. Allt för att timme för timme kunna beräkna hur mycket det skulle kosta samhället om elen försvann.

– Men den är inte specifikt för elnätet, den kan användas för alla beroenden i samhället. Att vi har rent vatten är viktigast. Vid ett elavbrott försvinner trycket i vattenledningarna vilket betyder att vatten från närliggande avloppsledningar kan tränga in och förgifta vattnet. Utan el är vi tillbaka på stenåldern.

Förutom den virtuella staden har Mats B-O Larsson tagit fram en sorts Richterskala för samhällsstörningar. Skalan är uppbyggd på samma sätt som Richterskalan där en hög siffra betyder en stor störning och en låg en mindre störning. Scenariot i början hamnar på 7,6.

Fakta

General Keith Alexander varnar för att nätaktivistgruppen Anonymous inom ett år eller två kommer att ha kunskaperna som behövs för att orsaka elavbrott genom nätattacker.

Generalen är direktör för USAs nationella säkerhetsbyrå och varningen har han uttalat i möten med Vita huset och under andra privata sammanhang. Offentligt har han sagt att han oroar sig för nätaktivisternas förmåga att stänga av eller skada nätverk.

Stuxnet är en mask som upptäcktes i juni 2010 av ett vitryskt antivirusföretag. Den angriper vissa styrsystem från Siemens. Det primära målet sägs ha varit Irans kärnkraftsprogram.

Säkerhetsföretaget Kaspersky sa att den sofistikerade attacken bara kunde ha utförts med statligt stöd. USA och Israel har pekats ut som möjliga beställare.