Itron upptäcker intrång i egna system och kör ut angriparen

Itron uppger att bolaget i mitten av april upptäckte en inkräktare i sina system och därefter har drivit ut angriparen. Uppgifterna kommer från en anmälan som bolaget enligt lag lämnat till USA:s finansinspektion, Securities and Exchange Commission, vilket TechCrunch rapporterat. Itron säger inte vem som upptäckte intrånget eller hur det upptäcktes, och har inte heller beskrivit vilken typ av angrepp det rörde sig om – om det handlade om utpressningsprogram, datastöld eller en mer lågmäld kompromettering. Bolaget uppger också att man efter att ha avlägsnat inkräktaren inte sett några ytterligare tecken på obehörig åtkomst.

Att just Itron drabbats gör beskedet mer betydelsefullt än ännu en rutinmässig notis om ett företagsintrång. Itron levererar nätanslutna mätare för el, gas och vatten samt programvara för att hantera förbrukningsdata, och bolaget säger att tekniken når mer än 110 miljoner hem och företag. Verksamheten finns i över 100 länder och kunderna är elbolag, städer och kommuner – aktörer som ofta upphandlar i långa cykler och sedan kör systemen i åratal. Det skapar ett välkänt säkerhetsproblem: även om leverantörens interna informationsnät kan vara åtskilt från kundernas installationer kan utvecklingsverktyg, supportkanaler och uppdateringsmekanismer bli broar för en tålmodig angripare.

Itons anmälan drar en noggrant formulerad gräns och säger att man inte identifierat obehörig aktivitet i den ”kundvärdade delen av sina system”. Den formuleringen är snävare än att säga att ”kunddata inte har berörts”, och lämnar öppet vad som kan ha hänt inne i bolagets egen miljö: e-post, interna dokument, källkodsförråd, byggsystem eller inloggningsuppgifter som senare kan återanvändas. Itron uppger att man aktiverat beredskapsplaner och säkerhetskopior och att verksamheten har fortsatt ”i allt väsentligt”, en standardfras som vanligtvis signalerar begränsade omedelbara störningar snarare än ett frikännande intyg om full kontroll.

Även vägen till offentliggörandet är talande. Företag får ofta reda på intrång via tredje part – brottsbekämpande myndigheter, samarbetspartner, säkerhetsföretag eller ett utpressningsbrev – och den passiva formuleringen ”blev underrättat” undviker att binda sig vid någon av dessa. Itron säger att man informerat brottsbekämpande myndigheter och varnar för att ytterligare anmälningar kan bli aktuella, bland annat sådana som utlöses av delstatliga regler om underrättelse vid dataintrång om personuppgifter senare visar sig ha röjts.

Itron har sitt säte i Liberty Lake i delstaten Washington. Anmälan till Securities and Exchange Commission är offentlig; de tekniska detaljerna om hur någon tog sig in hos ett bolag som bidrar till att driva samhällsviktig mätinfrastruktur är det inte.