Dagens elsystem består av en rad uppkopplade enheter, varav ett stort antal kommer från elanvändare som även producerar el. Det kan handla om hushåll som har värmepumpar, solceller, elbilar, men också aggregatorer som börjar koppla upp många användare.
Detta skapar en flexibilitet som morgondagens elsystem behöver, men det skapar också ökade risker för cyberattacker. För till skillnad från energibolag och elnätsägare har många elanvändare inte rutiner för att hantera cybersäkerhet kopplat till sina anläggningar.
Forskare vid Totalförsvarets forskningsinstitut, FOI, har bland annat pekat på att vissa privatägda svenska solcellsanläggningar inte är tillräckligt säkra för att stå emot en cyberattack.
– När vi har ett flexibelt energisystem som består av många enheter som är uppkopplade mot elnätet så innebär det samtidigt många sårbarheter. Det kan leda till problem för den enskilda användaren, men i en samordnad attack kan det störa hela elsystemet, säger Jenny Holgersson, som leder projektet ”Cyberrisker orsakade av en flexibel elmarknad och vad man kan göra åt dem: Fallstudie av ö-drift”.
Osäkra leverantörskedjor
Projektet är treårigt och de har nu kommit drygt halvvägs. De uppkopplingar som Jenny Holgersson syftar på handlar om kunder som är aktiva inom distribution, produktion och lagerhållning av el. Därtill finns it-tjänster som är utkontrakterade hos olika leverantörer och information som också finns i molntjänster.
– Sedan har vi även leverantörskedjorna som också är en typ av kritisk del där man kan plantera in spionutrustning i de kritiska komponenterna, säger Jenny Holgersson.
– Om vi inte tar hänsyn till cybersäkerhet i det här energisystemet så kommer det inte funka, för det kommer att bli alldeles för känsligt för attacker.
Om man kapar ett antal värmepumpar hos privatpersoner runt om i Sverige och gör en synkroniserad cyberattack mot dem, så kan man orsaka störningar i vårt elnät.
Värmepumpar kan påverka
Rise har i projektet analyserat energisystemet och konstaterat att värmepumpar har betydande påverkan på systemet. Värmepumpar har varit uppkopplade i Sverige sedan 2009 och när de installerades fanns inte det säkerhettänk som idag.
– Totalt förbrukar värmepumparna vid kallt väder lika mycket effekt som några kärnkraftsreaktorer, säger Jenny Holgersson.
– Om man kapar ett antal värmepumpar hos privatpersoner runt om i Sverige och gör en synkroniserad cyberattack mot dem, så kan man orsaka störningar i vårt elnät. Det visar våra simuleringar. Vi har också gjort systemanalyser, vilka visar att detta är fullt genomförbart och realistiskt, säger hon vidare.
Skulle en stor attack ske vintertid kan det skapa stor oro i samhället, men också leda till rejäla skador i enskilda byggnader med rör som kan frysa sönder osv. Det kan också handla om att den som har gjort angreppet vill stjäla information, genomföra sabotage eller genomföra utpressning.
Projekt i Ludvika
I projektet ville man titta närmare på vad en cyberattack kan få för konsekvenser i ettverkligt nät och valet föll på Ludvika. Rise är medlem i Samarkand, vilket är ett regionalt utvecklingsbolag som ägs av Ludvika och Smedjebackens kommuner, Hitachi Energy, Ovako och region Dalarna.
I Ludvika har Samarkand tillgång till Krafttanken för forsknings- och utvecklingsprojekt. Krafttanken är världens största transformatorlåda och den innehåller också ett batterilager med el från lokal, förnybar energi och kan fungera i ö-drift. Anläggningen ägs numera av energibolaget VB Kraft.
Krafttanken med dess nät kan ses som en miniatyr av ett större elnät och är därmed väl lämpat för att studera konsekvenserna av cyberattacker. Under projektet kommer de att få konkreta och handfasta resultat från testerna som görs i krafttanken kring cyberhot och vad man kan behöva göra åt dem.
En viktig uppgift för vårt projekt är att komma ut medvetandegöra och påverka beteendet hos dem som har uppkopplade energienheter.
Stort intresse
Intresset för projektet är stort enligt Jenny Holgersson och Lars Lindblom, vd på Samarkand.
– När vi startade projektet var inte hotbilden lika tydlig, men vi ser hur intresset har ökat liksom behovet av mer kunskap kring cybersäkerhet. Omkring 50 kommuner, energibolag, universitet och intressegrupper har varit här och tittat på våra lösningar, där vi i projektet har gjort simuleringar av elkraftsystemet i den här energiön, säger Lars Lindblom.
– En viktig uppgift för vårt projekt är att komma ut medvetandegöra och påverka beteendet hos dem som har uppkopplade energienheter. Att man förstår vilka konsekvensen kan bli och inser att allt man har uppkopplat kan faktiskt antagonister komma åt på något sätt, säger han.
Rise gör också cybersäkerhetsanalyser av energiön och tittar på vilka känsliga delar som finns i den. Detta arbete kommer de att fördjupa, men det finns några delar som Jenny Holgersson tycker är viktiga att lyfta fram redan nu för att minska cyberriskerna hos användarna.
– Anlita företag och köp produkter från sådana som ni litar på, använd säkra lösenord och ha inte för mycket effekt eller energi i en sektion i företagets nätverk, säger Jenny Holgersson.
Ann-Sofie Borglund
