— Hvis du har den nødvendige kompetansen og kjenner hvordan systemene virker i detalj, kan du rent teoretisk åpne et damanlegg i Bergen hvis du har fysisk tilgang på kontrollsystemet, sier seniorrådgiver Vidar Sandland i Norsk Senter for informasjonssikring.

På en time viste Vidar Sandland torsdag hvordan han kan hacke Facebook-kontoen din og mobiltelefonen din foran 150 tilhørere på VilVite-senteret.

Etterpå viste han også hvordan en liten USB-stick med riktig kode kan ta fullstendig kontroll over lukkede systemer, som ikke er tilknyttet internett.

For eksempel hovedvannverket i Svartediket.

Fjernstyrer hundretalls systemer

Ole Dan Lundekvam, spesialrådgiver i Bergen vann, forteller at han ikke kjenner til at de har vært forsøkt hacket.

— Det er klart at de rette folkene med den rette kompetansen kan hacke slike systemer som vi bruker. Jeg vil ikke stå her og si at det er umulig, men vi har gjort det vi kan for at det skal være sikkert og at ingen luringer skal komme seg inn.

Lundekvam kan fjernstyre hele vannforsyningen og avløpssystemet i Bergen kommune via en av spesialdatamaskinene de bruker.

Hvis for eksempel hovedvannverket i Svartediket skulle bli satt ut av spill, vil et tunnelsystem i fjellene kunne opprettholde vannforsyningen.

Strømbrudd kritisk

Fire andre hovedvannverk, seks store avløpsstasjoner og en hel drøss med pumpestasjoner, basseng og stasjoner kan kontrolleres via de digitale styringssystemene, som altså er atskilt fra det åpne internettet.

Ved for eksempel lengre tids strømbrudd, vil muligheten til å fjernstyre forsvinne.

— Da har vi rutiner for at våre folk fysisk drar ut til stasjonene for å styre dem lokalt, sier Lundekvam.

Det kommunale foretaket har tatt høyde for at de kan bli forsøkt hacket, med risiko- og sårbarhetsanalyser på styrings- og overvåkingssystemene.

- Krever kunnskap

Sandland mener farepotensialet ved hacking gjennom fysisk tilgang ofte undervurderes, men understreker at du må ha veldig mye mer kunnskap om systemet enn det du kan lese deg til på nettet for å gjennomføre slike angrep.

— Men har du kompetansen, er det fullt mulig. Hvis alle kodene legges inn på forhånd og man lurer systemet til å tro at det for eksempel er et tastatur som kobles til, trenger man ikke mye tid for å legge inn kode som kan ta kontroll over systemet, sier han.