It-anslaget mot Stortinget har på skremmende vis aktualisert en fersk studie av «cyberberedskapen» i norsk strømforsyning. Studien – uført som ledd i en masteroppgave ved NTNU – tyder nemlig på at langt fra alle nettselskap er rustet for å takle datainnbrudd.
Resultatene gir grunn til å frykte at rask gjenvinning av kontroll etter et it-angrep blir vanskelig for mange små nettselskap.
Dermed er det ikke sikkert at disse er i stand til å håndtere ansvaret de har for å opprettholde norsk strømforsyning.
Tjenesteutsetting øker sårbarheten
De siste årene har energisektoren i Norge gjennomgått en digitaliseringsprosess. Dette medfører at nettselskapene bruker stadig flere systemer og tjenester fra eksterne leverandører.
Tjenesteutsetting kan være bra for ressurstilgang, kostnadseffektivitet og påfyll av kompetanse, men skaper nye avhengigheter og øker sårbarheten ved cyberangrep.
Systemer for prosesskontroll som tidligere eksisterte i lukkede nettverk, kobles nå til internett for å gi høyere tilgjengelighet, funksjonalitet og effektivitet. Trusselbildet har dermed endret seg. Vellykkede cyberangrep på energisektoren er nå uunngåelige.
Gode beredskapsplaner trengs
Til håndtering av slike kriser trenger nettselskapene derfor gode beredskapsplaner.
Siden selskapenes avhengighet av leverandørene øker, og fordi systemene samtidig blir mer komplekse, bør nettopp leverandørene involveres i nettselskapenes håndtering av cybersikkerhetshendelser.
Men blir de det? Og hvordan kan samarbeidet eventuelt styrkes, slik at nettselskapene kan bli bedre forberedt på cyberangrep?
De små faller igjennom
Mastergradsarbeidet ved NTNU, som to av oss har utført og de to andre har vært veiledere for, belyser disse spørsmålene ved å undersøke gjeldende praksis i et utvalg norske nettselskap.
Studien tar for seg hver og en av de fasene som «håndtering av sikkerhetshendelser» kan inndeles i: planlegging og forberedelse, oppdagelse og rapportering, vurdering og beslutning, respons og høstet lærdom.
Forskningen ble utført som case-studier i fire norske nettselskaper – to små og to store – pluss hos en leverandør av systemer for prosesskontroll. I tillegg intervjuet vi en representant fra Norges vassdrags- og energidirektorat (NVE).
Vi ser tydelige forskjeller mellom de små og store nettselskapene i studien – kort og godt ved at de små faller igjennom.
- Les også: Tingenes internett kan reddes
Involverer leverandørene lite
De små selskapene i studien involverer i liten grad sine leverandører i planer, øvelser og evaluering av hendelser. I tillegg viste den intervjuede leverandøren manglende interesse for å delta i beredskapsøvelser.
Årsakene til at det er slik, kan være mange. Deriblant økonomiske begrensninger og manglende forståelse av ansvar og risiko.
Materialet i studien er ikke tilstrekkelig til at vi kan avgjøre om de avdekkede manglene skyldes bristende evner eller forsømmelser.
Urovekkende kombinasjon
Den høye avhengigheten av leverandørene er spesielt urovekkende i lys av at antallet leverandører er lavt. Denne kombinasjonen gjør sektoren sårbar for angrep som rettes mot flere nettselskaper samtidig.
Ved å kombinere funnene våre med anerkjente standarder og retningslinjer for god praksis, har vi lagd anbefalinger som viser nettselskapene hvordan de kan involvere leverandørene mer i hendelseshåndtering.
Deltakerne i studien peker på at samarbeid internt i sektoren kan øke nettselskapenes ressurser og dermed minske avhengigheten av leverandørene. Så dette er en av anbefalingene vi gir i studien vår.
Selve skremmebildet
En beryktet hendelse i Ukraina viser hva som står på spill. Lille julaften 2015 inntraff en blackout som rammet nær en kvart million strømkunder. For første gang i historien – men trolig ikke den siste –hadde cyberterrorister satt et strømnett ut av spill.
Elektrisitet er en av de viktigste nødvendighetsvarene i moderne samfunn. Langvarige strømbrudd vil påvirke viktige samfunnsfunksjoner, som helse, transport og banktjenester.
Derfor må vi håpe at alle relevante aktører snarest vil bidra til at «cyberberedskapen» i landets strømforsyning får sitt nødvendige løft.
Artikkelen sto første gang i Dagens Næringsliv mandag 21. september 2020 og gjengis her med DNs tillatelse.
