Utredande use case · Vindkraft · NIS2 Bilaga I · Ei

Vindparkens dolda
OT-attackytor

En djupanalys av hur Vestas SCADA, turbinstyrenheter, leverantörs-VPN och mätstationsIoT hänger ihop i en 150 MW vindpark — och varför ett intrång kan stänga ner elproduktionen utan att Ei kan rekonstruera händelseförloppet.

150 MW
Produktionskapacitet
40
Turbinstyrenheter
3
Attackscenarier
10 MEUR
Max Ei-sanktion
Fiktivt scenario — Nordic Winds AB är ett konstruerat analysfall. Protokoll, CVE:er och attackvektorer är verkliga och dokumenterade i CISA ICS-advisories och ENISA Threat Landscape 2024.
01
Analysfall

Nordic Winds AB
— systemkartan

Nordic Winds AB driver en 150 MW vindpark med 40 turbiner, 4 WTG-controllers per park-sektion och ett centralplats-SCADA. Vestas Remote Access är permanent aktiv. OT-nätet för turbinstyrning och SCADA saknar i stort sett all cybersäkerhetskontroll.

🌬️Kritisk

Vestas VPP / Park Pilot SCADA

Vestas VPP 5.x — centralstyrning för alla 40 turbiner, Windows Server 2019

Vestas VPP (Virtual Power Plant) styr och övervakar hela vindparken. Vestas Remote Access (VRA) — permanent aktiv VPN utan MFA, utan loggning, utan tidsbegränsning. Vestas servicetekniker kan nå SCADA-servern från vilken enhet som helst med aktiv VRA-session.

Vestas VRAPermanent VPNIngen MFA
⚙️Kritisk

Turbinstyrenheter — WTG-controllers

Vestas V150-4.5 MW, 40 turbiner — IEC 61400-25 Modbus TCP kommunikation

Varje turbins controller kommunicerar via IEC 61400-25 (Modbus TCP-profil) med SCADA. Ingen autentisering på Modbus-nivå. Pitch-vinkel, gier-kommandon och nödstopp kan skickas via Modbus FC6 Write Single Register från valfri enhet på OT-nätet. Firmware aldrig patchat — leverantörsgaranti.

Modbus TCPIEC 61400-25Firmware-lock
🏗️Kritisk

Stationsautomation och nätanslutning

Siemens SICAM A8000 RTU — IEC 61850 mot SvK:s kontrollnät

SICAM RTU kommunicerar med SvK (Svenska kraftnät) via IEC 61850 för produktionsrapportering och aktiv effektstyrning. IEC 62351 (kryptering) är ej implementerat på RTU-nivå — kommunikationen är okrypterad. Manipulerade produktionsvärden kan störa frekvensreglering i elnätet.

IEC 61850SvK-integrationOkrypterad
📊Hög

SCADA Historian — OSIsoft PI

OSIsoft PI Server 2019 — produktionsdata, larmhistorik, tillståndsövervakning

PI-servern lagrar all produktionshistorik och är nätverksansluten till både OT-nätet och IT-nätet för rapporteringsändamål. OSIsoft PI har historiskt haft kritiska CVE:er (CVE-2019-13510, CVE-2021-27462). IT/OT-brygga möjliggör lateral rörelse från IT-nät till SCADA-segment.

OSIsoft PIIT-OT-bryggaCVE-historia
🌡️Hög

Mätmaster och meteorologisk IoT

3 × LiDAR + meteorologiska sensorer — MQTT mot driftsättningsbolagens moln

Mätmaster och LiDAR-enheter kommunicerar via MQTT mot leverantörernas molnplattformar för vindprognoser. Tre externa moln-endpoints med okontrollerad dataflöde. Manipulerade vindprognoser påverkar produktionsplanering och budgivning på elmarknaden.

MQTT3 moln-endpointsElmarknads-data
🔌Hög

Elstation och transformatorer

ABB REF630-skyddsreläer + ABB fjärrstyrning via ABB Ability portal

ABB:s skyddsreläer och transformatorövervakning är anslutna till ABB Ability cloud-portal. Default-konfiguration med standard engineering-lösenord i 3 av 6 reläer (ej ändrade vid driftsättning 2021). ABB Ability-portalen exponerar styrkommandon via web-API utan MFA.

ABB AbilityDefault-credsTransformator
📡Hög

Kommunikationsinfrastruktur (fiber + 4G)

Cisco IE3400 industrirouters + Ericsson 4G-fallback för alla turbiner

Industriroutrar för fiber-backbone med 4G-fallback. Cisco IE3400:s standardkonfiguration behölls vid driftsättning — Telnet aktivt, SNMP v2c med community "public", SSH med svagt lösenord. 4G-fallback-anslutningen är okrypterad och skapar en alternativ angreppsväg till OT-nätet.

Telnet aktivtSNMP v2c4G-fallback
🏢Hög

Driftskontor och SCADA-klienter

5 SCADA-operatörs-PC:er på kontorsnät + VPN till OT-nätet

Operatörernas kontors-PC:er når SCADA via VPN-tunnel. Kontorsnätet är inte segmenterat från IT-nätet. En komprometterad operatörs-PC ger direkt åtkomst till Vestas VPP SCADA via det redan etablerade VPN-tunnelnet utan ytterligare autentisering.

Operatörs-VPNPlatt nätIT-OT brygga
02
Nätverksarkitektur

Tre leverantörers
permanenta VPN

Nordic Winds har inga VLAN-gränser mellan SCADA, turbinstyrning och IT-nät. Vestas, Siemens och ABB har permanenta serviceanslutningar. Ingen av dem är loggad. OT-nätet är i praktiken öppet inifrån IT-nätet.

NORDIC WINDS AB — OT/IT-NÄTVERKSTOPOLOGI
Internet
🌐 Vestas VRA (permanent)
Siemens SICAM fjärr
ABB Ability portal
MQTT mätmaster
3 VPN utan logg/MFA
IT/Kontor
Operatörs-PC:er
Ekonomi/ERP
OSIsoft PI (IT-OT)
Ingen segmentering mot OT
SCADA-nät
Vestas VPP SCADA
Siemens SICAM RTU
Cisco IE3400 routers
IEC 61850 okrypterat
Turbinnät (OT)
WTG-controllers (40×)
ABB skyddsreläer
4G-fallback
Modbus utan autentisering
🔴 Vendor lock-in skapar strukturell cybersårbarhet

Vindparksleverantörerna (Vestas, Siemens Gamesa, Nordex) levererar SCADA och turbinstyrning som ett integrerat paket med permanent fjärrsupport som villkor. Firmware-uppdateringar kräver leverantörsgodkännande och servicebesök. Nätverkssegmentering kan bryta leverantörsgarantin. Resultatet är att Nordic Winds strukturellt inte kan patcha eller segmentera sina kritiska OT-system utan att bryta O&M-avtalet — en situation identisk med ISO 17025-valideringsparadoxen i labbsektorn och MDR-dilemmat i vården.

03
Tre realistiska attackscenarier

Från Shodan-fynd
till produktionsstopp

01
"Turbinrampen" — Shodan → Vestas VPP → Modbus turbinnödstopp
Exposed SCADA · Modbus write · 40-turbine shutdown · Grid imbalance
KRITISK
1

Shodan hittar Vestas VPP på publikt IP

Shodan-sökning "Vestas VPP OR 'Wind Power Plant' port:80,443,502" identifierar Nordic Winds SCADA-server på ett publikt IP som läckt ut via en felkonfigurerad brandväggsregel. Vestas VPP:s webb-GUI svarar med standardinloggningsskärm — "admin" med fabrikslösenord fungerar.

T0817 — Exploit Public-Facing Application
2

Vestas VPP-åtkomst — full parkstyrning

Via SCADA-GUI kan angriparen se alla 40 turbiner i realtid, deras effektproduktion, larmstatus och set-points. VPP-servern fungerar som Modbus-master mot alla turbinstyrenheter. Angriparen studerar systemet under 5 dagar och kartlägger Modbus-register-mapping.

T0840 — Network Connection Enumeration
3

Modbus Write — nödstopp-register för 38 turbiner

Angriparen skickar Modbus FC6 Write Single Register till register 4001 (Emergency Stop Command) för 38 av 40 turbiner inom 90 sekunder via ett Python-skript. Turbinerna aktiverar nödstopp och fjäderbroms. 142 MW försvinner från elnätet på under 2 minuter.

T0855 — Unauthorized Command Message
4

SvK-frekvensavvikelse och marknadskonsekvens

142 MW bortfall i ett lokalt nätområde skapar frekvensavvikelse. SvK aktiverar störningsreserver. Nordic Winds kan inte leverera enligt elmarknadskontraktet — imbalance penalties på spotmarknaden. Utan OT-logg kan Nordic Winds inte rapportera till Ei inom 72h — vad var ett tekniskt fel och vad var ett angrepp?

T0814 — Denial of Service
Konsekvenser
  • 142 MW produktionsstopp under 4–8 timmar (turbin-återstart kräver manuell inspektion)
  • Elmarknadspåföljder (imbalance charges): 500 KSEK–3 MSEK beroende på spotpris
  • Ei-rapport omöjlig utan OT-tidslinje: NIS2-sanktionsrisk tillkommer ovanpå incidenten
  • O&M-avtalet kräver Vestas fältbesök för turbin-återstart: 1–3 dagar produktionsbortfall
NIS2 Bilaga I — Energi · Ei-rapport 72h · SvK-störningsprotokoll
02
"VRA-spöket" — Vestas VPN-credentials phishing → persistent access → sabotage
Vendor VPN compromise · Long-term persistence · Slow degradation attack
ALLVARLIG
1

Vestas serviceteknikers VRA-credentials phishade

En Vestas O&M-tekniker mottar en övertygande phishing-e-post som efterliknar "Vestas Remote Portal" med begäran om re-autentisering. Credentials stulna. VRA är permanent aktiv — angriparen loggar in på Nordic Winds SCADA-server direkt via Vestas VPN utan att Nordic Winds ser påloggninge (inga loggar).

T0865 — Spearphishing
2

Persistent access — 3 månaders dold närvaro

Angriparen etablerar en bakdörr via en legitim schemalagd uppgift i Vestas VPP-servern (ser ut som Vestas-diagnostik). Under 3 månader samlas driftdata, produktionsmönster och underhållsscheman. Angriparen väljer attack-tillfälle: maximalt spotpris i kombination med planerat underhållsuppehåll.

T0817 — Establish Foothold
3

Subtil pitch-vinkel-manipulation — gradvis effektminskning

Angriparen justerar pitch-vinkelns set-point för 20 turbiner med +2,5° — utanför optimal driftsvinkel men inte tillräckligt för att utlösa larm. Effektproduktionen minskar med 12% under 6 veckor. Nordic Winds tror att det är ett vindresursproblem. Underhållstekniker kan inte identifiera orsaken.

T0855 — Unauthorized Command Message
4

Discovery — 6 veckor och 18 MSEK förlorade

En Vestas serviceteknikers rutinbesök identifierar anomalins i pitch-vinklarna. Forensik visar sabotaget — men utan VRA-logg kan ingen fastslå vem som gjorde vad och när. 6 veckor × 150 MW × 12% × genomsnittspris 800 SEK/MWh ≈ 18 MSEK i förlorad produktion.

T0882 — Theft of Operational Information
Konsekvenser
  • 18 MSEK i förlorad produktion under 6 veckor utan att Nordic Winds vet varför
  • Forensik omöjlig: Vestas VRA-logg saknas helt — juridisk process utan bevisunderlag
  • Elmarknadskontrakt: Nordic Winds har levererat under specifikation i 6 veckor — avtalsbrott?
  • Ei-rapport: retroaktiv NIS2-incident — måste rapporteras men kan inte rekonstrueras
NIS2 Bilaga I · Ei · NIS2 art. 21.2(d) Leverantörskedja
03
"IEC 61850-injektionen" — RTU-kompromiss → falska produktionsvärden → elnätsstörning
Siemens SICAM access · IEC 61850 data injection · Grid frequency manipulation
KRITISK
1

Siemens SICAM A8000 åtkomst via Siemens fjärrservice

Siemens serviceteknikers credentials för SICAM-fjärranslutning phishade. Siemens använder permanent site-to-site VPN till Nordic Winds RTU. Angriparen kopplar upp mot SICAM A8000 RTU:n — som styr SvK-kommunikationen och rapporterar vindparkens produktionsdata via IEC 61850.

T0859 — Valid Accounts
2

IEC 61850 REPORT-manipulation — falskt produktionsvärde

Via SICAM-konfigurationsverktyget modifierar angriparen IEC 61850 REPORT-datasetet som skickas till SvK. Nordic Winds rapporterade produktion ändras till 185 MW (faktisk produktion: 110 MW). SvK planerar elnätet baserat på falska data. Övriga elproducenter balanseras felaktigt.

T0855 — Unauthorized Command Message
3

SvK-frekvensreglering baseras på fel data under 3 timmar

SvK:s balansansvariga upptäcker frekvensavvikelse efter 3 timmar. Manuell inspektion initieras. Elproducenter med FCR-kapacitet tvingas kompensera. Nordic Winds rapportering och verklighet stämmer inte — SvK initierar utredning. Händelsen dokumenteras som driftstörning av nationell elförsörjning.

T0840 — Network Connection Enumeration
4

SÄPO-utredning — möjligt sabotage mot kritisk infrastruktur

SvK rapporterar händelsen till MSB och SÄPO. Manipulering av elnätsdata klassas potentiellt som sabotage mot samhällskritisk infrastruktur. Nordic Winds kan inte bevisa att SICAM-RTU:n manipulerades — Siemens VPN-logg saknas. Ei inleder tillsyn av Nordic Winds NIS2-efterlevnad.

T0814 — Denial of Service
Konsekvenser
  • SvK-utredning: Nordic Winds elmarknadstillstånd kan ifrågasättas
  • SÄPO-utredning om sabotage mot kritisk infrastruktur
  • Ei-tillsyn: NIS2-efterlevnad granskas — inga loggar = svår situation
  • Elmarknadsavtal: Nordic Winds rapporterat felaktig produktion — potentiella avtalsbrott
NIS2 Bilaga I — Energi · SÄPO · SvK · Ei-tillsyn
04
Ansvar och insikter

O&M-avtalet skapar
strukturell OT-osäkerhet

SystemKritikalitetOT-cyber-ansvarigNIS2/Ei-ansvarigLoggad?
Vestas VPP SCADAKritiskVestas (leverantör!)VD/CISONej
Turbinstyrenheter (WTG)KritiskVestas (O&M-avtal)OklartNej
Siemens SICAM RTUKritiskSiemens (leverantör!)OklartNej
OSIsoft PI historianHögIT-avdelningen (delvis)VD/CISODelvis
ABB SkyddsreläerHögABB (leverantör!)OklartNej
Cisco IE3400 routersHögDrifttekniker (ej cybersäk.)VD/CISONej
MQTT mätmaster/IoTHög3 moln-leverantörerOklartNej

O&M-avtalet är ett cybersäkerhetsproblem

Vestas, Siemens Gamesa och Nordex levererar vindparker med O&M-avtal som kräver permanent VPN-åtkomst. Segmentering eller loggning av denna åtkomst kan bryta avtalet. Det är branschens strukturella cybersäkerhetsproblem — och NIS2 kräver att det löses kontraktuellt.

📡

IEC 61400-25 Modbus utan autentisering är industristandard

Det finns 40+ turbinstyrenheter i Nordic Winds park som accepterar Modbus-kommandon utan autentisering — exakt som specifikationen kräver. Att skydda dem kräver nätverkssegmentering och anomalidetektion, inte att byta protokoll.

🔗

Tre leverantörers permanenta VPN är tre okontrollerade ingångar

Vestas VRA, Siemens SICAM-fjärr och ABB Ability är tre permanenta, okontrollerade VPN-anslutningar till det mest kritiska OT-systemet Nordic Winds äger. NIS2 artikel 21.2(d) kräver att alla tre regleras kontraktuellt och loggas tekniskt.

📋

Ei-rapport utan OT-logg är omöjlig

NIS2 kräver 72h-incidentrapport till Ei. Utan OT-logg — ingen Vestas VRA-tidsstämpel, ingen Modbus-logg, ingen SICAM-RTU-händelselogg — kan Nordic Winds inte rekonstruera vad som hände. Bristen på logg är i sig en NIS2-sanktionsrisk.

Hur ser er vindparks
OT-exponering ut?

Ladda ner den kostnadsfria NIS2-guiden för elproducenter — eller boka en OT-inventering och se hur era SCADA, leverantörs-VPN och turbinstyrenheter faktiskt hänger ihop.

Ladda ner guiden (PDF) Boka OT-inventering