Til hovedinnhold

El-nettselskaper øver ikke på IT-angrep

El-nettselskaper øver ikke på IT-angrep

Publisert 10. mars 2015
Norske kraftnetteiere må gjennomføre jevnlige IT-beredskapsøvelser. Uten det klarer de ikke å avdekke og håndtere hackerangrep, mener forskere.
Main intro image
Mørklagte byer er ett av flere scenarier for hva som kan skje om norske nettselskaper utsettes for angrep og IT-beredskapen er for dårlig. Foto: ThinkStock.

Internasjonalt har det vært en rekke angrep rettet mot energi- og nettselskaper. I fjor sommer kom det første anslaget mot norsk kraftbransje. Det fikk nettselskapene til å glippe med øynene.

Men selv om trusselen om ondsinnede datainntrengere og mørklegging av Norge er overhengende, virker den norske kraftbransjen ennå ganske “laidback”.

Vyene er store med tanke på innføringen av SmartGrid, men store teknologiske endringer og investeringer- fører også til større sårbarhet. Dette må selskapene snart ta inn over seg, sier Maria B. Line ved SINTEF /NTNU.

Vyene er store med tanke på innføringen av SmartGrid, men store teknologiske endringer og investeringer- fører også til større sårbarhet. Dette må selskapene snart ta inn over seg, sier Maria B. Line ved SINTEF /NTNU. Foto: K. Dragland.

Klikk for å åpne

Tre øvelser ga erfaringer

– Vyene er store med tanke på innføringen av SmartGrid, men store teknologiske endringer og investeringer- fører også til større sårbarhet. Dette må selskapene snart ta inn over seg, sier Maria Line ved SINTEF /NTNU.

Sammen med SINTEF-forsker Nils Brede Moe har hun nylig observert IT-beredskapsøvelser i tre nettselskaper. Disse selskapene gjennomførte en øvelse for første gang. Erfaringene som forskerne sitter igjen med, har munnet ut i en rekke anbefalinger.

Alle må delta i øvelsene

En hovedanbefaling er at alle som innehar en rolle i en reell hendelse- som ledelse og leverandører av IT-systemer, bør delta i øvelser.

FAKTA:

  • NVE har nylig besluttet at IT-sikkerhetshendelser skal være med i nettselskapenes øvingsplaner, i tillegg til øvelser for brann, uvær og lignende. Dette er nå beskrevet i Beredskapsforskriften.
  • Forskernes anbefalinger:
    - Ledelsen bør involvere seg i øvelsen
    - Beredskapsøvelsen bør utarbeide en felles målforståelse
    - All nødvendig kompetanse må være til stede i gruppa
    - Øvelser bør gjennomføres ofte for å sikre at alle får deltatt
    - Øvelsene bør ha et visst tidspress for å være realistiske
    -Ha eksisterende dokumentasjon tilgjengelig under øvelsen
    -Inkluder alle typer personell som har en rolle i en krisesituasjon
    -Det må settes av tid til å øve
  • Les blogginnlegg og internasjonal artikkel

– Det er en vanlig utfordring å få med øverste ledelse på øvelser – siden dette er travle folk med dårlig tid. Samtidig er det ille om de aldri har øvd siden de utvilsomt vil bli involvert i en reell situasjon, sier Moe.

– Et av selskapene vi snakket med, hadde for eksempel en avtale om å ringe og støtte seg på leverandøren hvis det oppsto en krise. Likevel var ikke leverandøren med i beredskapsøvelsen, sier Line.

Hun forteller at IT-sikkerhet ofte tenkes på som en “IT-greie”, men at et angrep vil også ha sterk innvirkning på forretningssiden. –På et eller annet tidspunkt kan det være riktig å stenge ned systemet for å begrense konsekvensene. I diskusjonen om når dette skal skje, er det viktig å ha både fageksperter og beslutningstakere samlet, sier hun.

Utallige scenarier

Å øve på noe man ikke vet hva er, er vanskelig. Krisesituasjoner kan være så vidt forskjellige at det er viktig å trene på ulikheter.

Scenariet som ble brukt i studien, beskrev en hendelse som bygget seg opp gjennom fem steg. Først ble det avdekket unormalt mye IT-trafikk fra kontornettet ut på Internett. Etter to uker ble selskapet kontaktet av leverandør av kontrollsystemer – dvs. systemet som styrer strømmen ut til produksjon. Det ble tatt kontakt på en uvanlig måte, med oppfordring om å installere en sikkerhetsoppdatering.

Tre måneder etter oppsto det strømbrudd i et boligområde uten at alarmen i kontrollsystemet ble utløst. I tiden som fulgte, kom det meldinger om flere mørklagte områder. I siste fase var både mobilnettet og Internett nede.

En vanlig utfordring er å få med øverste ledelse på øvelser – siden dette er travle folk med dårlig tid. Samtidig er det ille om de aldri har øvd siden de utvilsomt vil bli involvert i en reell situasjon, sier Nils Brede Moe, SINTEF.

En vanlig utfordring er å få med øverste ledelse på øvelser – siden dette er travle folk med dårlig tid. Samtidig er det ille om de aldri har øvd siden de utvilsomt vil bli involvert i en reell situasjon, sier Nils Brede Moe, SINTEF.

Klikk for å åpne

– Det ligger en klar utfordring i om de ansatte greier å avdekke sammenhenger ved hendelser som går over lang tid, sier Moe. –Det er nødvendig å øve for å se at slike ting KAN skje. At enkelthendelser over tid kan kobles sammen til en farlig sak, er igjen avhengig av rapportering og deling av informasjon.

– Det verste er om man øver på noen få scenarier mange ganger, eller at man ikke øver i det hele tatt, sier Line. –Hvert scenario bør bare brukes en gang, ellers begrenses nytteverdien av øvelsen. Nye scenarier må derfor stadig utvikles.

Samspillet må fungere

Forskerne understreker at anbefalingene de kommer med, ligger litt fram i tid. I første omgang er det viktig at øvelser blir gjort – mer enn at de blir gjort på riktig måte.

Det aller viktigste, mener de, er å øve sammen- og å øve ofte for å få samspillet til å fungere. For å kunne ta gode beslutninger må man ha all kunnskap og riktig kunnskap tilstede. Derfor må alle involverte være tilstede.

IT sikkerhetsleder