Dette nettstedet bruker informasjonskapsler for å gi deg en mer personlig brukeropplevelse. Ved å bruke dette nettstedet godtar du vår bruk av informasjonskapsler. Vennligst les vår PERSONVERNERKLÆRING for mer informasjon om informasjonskapslene vi bruker og hvordan du kan slette eller blokkere dem.
  • Beredskap
Blogg:

Å være forberedt på gråværsdager: Nye sikkerhetsutfordringer for energibransjen

22. mars 2017

Kraftforsyningen har lenge vært en viktig driver for velferdssamfunnet. I dag er stabil kraftforsyning ikke bare avgjørende for vår trygghet i det daglige, liv og helse og næringslivet, men også høyst avgjørende for opprettholdelse av våre kritiske samfunnsfunksjoner og vår nasjonale sikkerhet.

Norsk kraftforsyning har tradisjonelt arbeidet praktisk og handlingsrettet for å ha en god beredskap i tilfelle uvær, branner og eksplosjoner, eller havari på transformatorer og andre tunge komponenter. Dette arbeidet må videreføres. På enkelte områder må det også forsterkes. I tillegg har bransjen sterk historikk med tanke på å sikre anlegg mot sabotasje, inkludert innebygde minimumskrav til informasjonssikkerhet.

Kraftbransjen arbeider godt med sikkerhet, og arbeidet er ledelsesforankret. Basert på vår innsikt i kraftbransjen, vil vi likevel påstå at de største utfordringene fremover er knyttet til en nødvendig styrking av sikkerheten mot spionasje og sabotasje som kan medføre omfattende svikt i eller manipulasjon med kritiske IKT-systemer.

Fremtiden er elektrisk

Avhengigheten av energiforsyning vil ikke bli mindre fremover. Snarere tvert imot. Mye av innovasjonen som er knyttet til digitaliseringen av ulike tjenester bygger på elektrisitet som det bærende element. Samfunnets avhengighet av energi vil derfor øke i fremtiden.

Fremover foreligger det planer om massive investeringer innen energibransjen. Disse omfatter vannkraft, bioenergi, vindkraft og solenergi, så vel som store investeringer innen strømnettet. Samtidig er det stor innovasjonskraft. Digitaliseringen av energibransjen er i full gang, og kommer sannsynligvis til å øke kraftig i tiden fremover. Dette innebærer stadig mer avanserte og omfattende styrings- og overvåkingssystemer, med blant annet flere sensorer i nettverkene. Sensorene er ment å oppdage og varsle om potensielle feil og risiko i infrastruktursystemene for å få et mer optimalt produksjonsmønster, og for å styrke evnen til effektive omkoblinger i nettet slik at strømkunder skal få færrest mulig avbrudd i leveransene. Mye spennende utviklingsarbeid pågår, samtidig som alt av nett og produksjonsanlegg som er bygd opp gjennom mange titalls år skal vedlikeholdes, driftes og utnyttes optimalt.

Være fremoverlent

BDO er i dag inne som en av flere rådgivere i energibransjen på dette området. Vi gir råd til energiselskaper knyttet til styringssystemer, bidrar med kursing og opplæring, gir råd til tradisjonelle risiko- og sårbarhetsanalyser og gjennomfører sikringsrisikoanalyser, og planlegger og leder beredskapsøvelser hvor ledergrupper trenes i å håndtere alvorlige IKT-hendelser. Dette er typisk fremoverlente selskaper, som er ydmyke til utfordringen og ønsker å strekke seg mot å bli bedre. Det som imidlertid gir bekymring er ledere i norsk energiforsyning som mener de har god kontroll, eller peker på at dette er noe som «andre» ordner. Det er det all mulig grunn til å kjøre en ny vurdering på. For det første kan det ofte være lurt å kjøpe tjenester utenfor selskapet, men ansvaret for sikkerheten kan aldri outsources. For det andre er det nok slik at om man greier å hacke seg inn hos svært avanserte sikkerhetsselskaper og -myndigheter, så greier man nok fint å komme seg inn i datasystemene til et alminnelig norsk energiselskap også.

Være føre var

Energisektoren er Norges mest kritiske infrastruktur og bransjen skal investere for mange titalls milliarder kroner på få år. Ut over investeringer i rene produksjons- og nettanlegg, skal også smarte målere på plass i alle norske hjem innen 2019, og det skal innføres et felles system for måling og avregning. Utnyttelse av såkalte Big Data-løsninger i nettskyen gir selskapene muligheter til mer effektiv drift. Smarte målere vil kobles med annen smart teknologi og snart henger «alt sammen med alt». Denne innovasjonskraften må være koblet med smart sikkerhet og beredskap, ellers vil smarte målere og smarte nett likevel ikke bli så smart på sikt.

Mange trusler og trusselaktører

Det er mange aktører på den andre banehalvdelen. Alt fra 15-åringer, organiserte kriminelle og til staters ressurssterke etterretningstjenester. Cyberkriminalitet er Big Business, og etter alle solemerker også en «bransje» i vekst. Vi kan ta for gitt at militære styrker er trent for å angripe en kritisk infrastruktur som kraft. Metodene og virkemidlene aktørene kan bruke for å stjele data, og i verste fall ødelegge systemer, er mange. Det advares mot både utspekulerte og avanserte operasjoner via internettet og utnyttelse av sårbare eller intetanende ansatte på innsiden av virksomheter.

Deler av energibransjen har blitt utsatt for forsøk på avansert innhenting av sensitiv informasjon fra sine nettverk. Kraftverk i Ukraina ble for ett år siden utsatt for omfattende angrep. Det er ikke lenger et spørsmål om hvis, men når og hvordan.

Vi kan rett og slett også legge til grunn at det pågår massiv datainnhenting fra selskaper innen norsk kritisk infrastruktur av aktører som vi helst vil holde unna slikt. Prosesstyringssystemene er særlig viktige. La oss heller ikke undervurdere mengden av sensitive data i administrative nettverk, markedssystemer og de kommende AMS-systemene. Sannsynligvis er det allerede stor underrapportering av hendelser, større sårbarhet enn man liker å tro og betydelig mer omfattende risiko for tap enn man tror.

I dette bildet er det også viktig å ta inn over seg risikoen knyttet til innsidere. Dette kan være egne ansatte, innleid personell, entreprenører eller leverandører av tjenester. Det vil si personer som har tilgang til informasjon og systemer, og som av en eller annen grunn utnytter dette til egen eller andres vinning. Dette kan også være personer som utsettes for press til å gjøre noe mot sin vilje.

Som følge av raske omstillinger, internasjonalisering, utsetting av tjenester og økende internasjonalisering er det grunn til å være økende bekymret for denne problemstillingen. Mer systematisk bruk av leverandørkontroller og grundigere utsjekk og vurderinger i forbindelse med ansettelser og engasjementer kan være nødvendig. Samtidig bør også sikkerhetsklarering seriøst vurderes som krav før tilsetting i utsatte og viktige stillinger innen energisektoren.

Leder- og styreansvar

Energiselskapene må etterleve kravene fra NVE til forebyggende sikkerhet og beredskap. Bransjen kan bli underlagt utvidet sikkerhetslovgivning, og i EU vokser det frem strengere regler for personvernet som vil styrke datatilsynenes mandat til å slå ned på dårlig sikkerhet. Vi kommer likevel ikke unna det faktum at ansvaret ligger entydig plassert hos det enkelte selskap, og at minstekravene som settes gjennom lov for forskrift er nettopp det: minstekrav.

Det er både lov, og viktig, å strekke seg ut over minstekravene og selv definere sine ambisjoner på området. God sikkerhet vil i stadig større grad bli viktig for selskapenes omdømme og økonomi, og det motsatte er i tilfelle en farlig strategi i møte med trusler som er både komplekse og krevende.

Ønsker du å bestille publikasjonen Innsikt: Sikkerhet og beredskap? Send en e-post til marked@bdo.no