En gruppe hollandske forskere har opdaget fem alvorlige sårbarheder i TETRA-standarden, som beredskaber over hele verden anvender til radiokommunikation. Sårbarhederne kan i princippet anvendes til både aflytning og afsendelse af falsk kommunikation. I Danmark bekræfter myndighederne, at sårbarheden også er relevant for SINE-nettet, men vurderingen er, at fortroligheden af kommunikation via SINE ikke er i fare.
Faktisk er det halvandet år siden, at en gruppe hollandske forskere opdagede en række forskellige sårbarheder i TETRA-standarden. Men forskerne valgte i første omgang ikke at offentliggøre deres opdagelse. I stedet har de diskret kontaktet de relevante myndigheder, ligesom de har udarbejdet forslag til, hvordan sårbarhederne kan imødegås.
Nu er de første oplysninger om sårbarhederne imidlertid offentliggjort, og på en sikkerhedskonference den 9. august 2023 ventes forskerne at offentliggøre yderligere oplysninger om de sårbarheder, der samlet har fået navnet TETRA:BURST.
Angreb kræver store ressourcer
TETRA er en standard, der anvendes til beredskabskommunikation i en lang række lande, også i Danmark. En væsentlig fordel ved standarden er, at kommunikationen – i modsætning til de tidligere analoge radiosystemer – er krypteret. Men netop krypteringen er en af de sårbarheder, som beskrives i TETRA:BURST. Forskerne slår således fast, at sårbarhederne i princippet kan give adgang til at aflytte kommunikation og afsende falsk kommunikation.
Forskerne understreger dog også, at det ikke er sårbarheder, som kan udnyttes af hvem som helst – udnyttelse kræver det, der betegnes som ”high-end adversaries”, altså fjender med adgang til avancerede ressourcer. Samtidig er beredskabets kommunikation typisk bedre beskyttet end kommunikationen i andre dele af den kritiske infrastruktur, hvor TETRA også anvendes.
Fortroligheden af dansk kommunikation vurderes ikke i fare
I Danmark benyttes TETRA-standarden i det nationale beredskabsnetværk SINE, som både politiet, brandvæsener og ambulancetjenester anvender til deres radiokommunikation. Hos Rigspolitiets Center for Beredskabskommunikation bekræfter man, at de afdækkede sårbarheder også har betydning i Danmark:
”Sikkerhedsnettet (SINE) i Danmark er baseret på TETRA, og nogle af de fundne sårbarheder er relevante for SINE”, oplyser Center for Beredskabskommunikation.
Vurderingen hos Center for Beredskabskommunikation er imidlertid også, at sårbarhederne ikke bringer fortroligheden af de danske beredskabers kommunikation i fare:
”Det understreges, at der ikke er opdaget angreb på TETRA-teknologi i operationelle netværk. Sårbarhederne er blevet afdækket af forskere, som har undersøgt TETRA-teknologien under kontrollerede forhold i laboratoriet. På baggrund af de tilgængelige oplysninger er sårbarhederne vurderet af Center for Beredskabskommunikation sammen med operatøren af SINE samt producenter af TETRA-produkter. Ifølge vores vurdering bringer sårbarhederne ikke fortroligheden af officiel kommunikation i fare”.
