Til hovedinnhold
Norsk English

Flere må mobiliseres i kampen mot hackerne

Kraftbransjen trenger enkle metoder og sjekklister som ikke-eksperter kan bruke til å analysere cyberrisiko. Det samme gjelder også i andre deler av infrastruktursektoren, skriver artikkelforfatterne. Foto: Shutterstock
Kraftbransjen trenger enkle metoder og sjekklister som ikke-eksperter kan bruke til å analysere cyberrisiko. Det samme gjelder også i andre deler av infrastruktursektoren, skriver artikkelforfatterne. Foto: Shutterstock
Spesialister på cyberrisiko er en knapp ressurs. Derfor bør vi lage et lavterskelverktøy som alle voktere av kritisk infrastruktur kan bruke til å analysere it-sikkerhet.

Datainnbrudd er for lengst blitt et hett tema verden over, bare for noen dager siden ble det norske selskapet Norkart rammet. Hjemlig ekspertise har i tillegg advart om at Ukraina-krigen øker faren for cyberangrep mot Norge.

Midt oppe i dette har vi gjort studier som gir klar beskjed:

Folk med ansvar for kritisk infrastruktur – alt fra transport- til energisystemer – har nå et akutt behov for enkle metoder og sjekklister til å analysere hackerfaren.

Relevant for stadig flere

Som forskere på feltet har vi noen forslag til hvordan disse tjenesteyterne kan få verktøyet de trenger. Bakgrunnen er tredelt:

  • Viktig infrastruktur digitaliseres mer og mer. Samfunnskritiske anlegg som strømnett, oljeplattformer og sykehus kan ikke lenger ses isolert fra internett.
  • Utdanning av spesialister på cybersikkerhet er tid- og ressurskrevende. Slike fagfolk er derfor en knapphetsressurs.
  • Arbeidsoppgaver digitaliseres i økende grad – eksempelvis planlegging av nye strømnett. Dermed har it-sikkerhet fått økt relevans for stadig flere medarbeidere i infrastruktursektoren.

  •    Les også: Derfor har hackerne ofte en enkel jobb

Enkle metoder og sjekklister

Med dette som bakteppe har vi i Sintef dybdeintervjuet et knippe medarbeidere fra strømnettselskap og organisasjoner i nettbransjen.

Det hele som ledd i en studie ved forskningssenteret Cineldi – et «landslag» for smarte strømnett som Forskningsrådet, næringsliv og institutt/universitetssektoren spleiser på.

Svarene viser at kraftbransjen trenger enkle metoder og sjekklister som ikke-eksperter kan bruke til å analysere cyberrisiko. Det samme gjelder også i andre deler av infrastruktursektoren, viser tidligere studier Sintef har gjort.

Dobbelt sett av ferdigheter kreves

Disse behovene skyldes ikke minst at digitaliseringsbølgen har gjort cybersikkerhet relevant for langt flere beslutninger enn før. Det er nettopp derfor ikke-cybereksperter nå ta må ta del i sikkerhetsvurderingene.

It-systemene vi snakker om, er dessuten så komplekse at eksperter på cybersikkerhet ofte ikke kan vurdere sikkerhetsrisikoen alene.

I energiforsyningen, for eksempel, krever dette kompetanse både på cyber og på strømnettet/elkraft. Få har begge disse ferdighetene.

Behov også hos de store

Som ved all annen risikoanalyse handler også cyberanalyser om å vurdere sannsynligheter for og konsekvenser av uønskede hendelser.

Til dette ønsker ikke-ekspertene seg metoder og verktøy som er lette både å forstå og bruke.

Behovet gjør seg gjeldende ikke bare i små virksomheter, som det er mange av i energisektoren. Også store aktører trenger slike hjelpemidler.

Lærdom fra GDPR-arbeid

Slik vi ser det, er det relevant hjelp å hente i flere «verktøykasser» som alt er lagd for andre formål.

For det første: Det ligger trolig verdifulle læringsmuligheter i de tilnærmingene som næringsliv og organisasjoner valgte innenfor personvernsanalyse under GDPR-reformen.

EUs personvernforordning (på engelsk General Data Protection Regulation, forkortet GDPR) ble innført i mai 2018 for å styrke personvernet i Europa ved behandling av personopplysninger. Riset bak speilet var skyhøye bøter.

I den forbindelse utarbeidet EU såkalte «privacy-standarder». Disse lister opp eksempler på hva foretak/organisasjoner må vurdere for å forstå om en personvernsanalyse virkelig trengs eller ikke. Disse er relevante for tenkemåten som gjelder ved vurderinger også av cybersikkerhet.

Medisin mot mareritt

For det andre: Vi tror tilsvarende læringseffekter kan oppnås ved å tilpasse en analysemetode vi i Sintef allerede har utviklet for programvareutviklere.

For slike utviklere er marerittet at programmer skal få flere brukere samtidig enn forutsatt. Eller at brukerne gir systemet tyngre oppgaver enn det er lagd for. I begge tilfeller vil programmet knele.

Inspirasjon fra katastofemedisin

For disse utviklerne har vi utviklet metodikk som viser allerede på «tegnebrettet» hva som kan gå galt: Det vil si hvilke arbeidsoppgaver som kan få programmet til å kræsje, om oppgavene ikke vies nok oppmerksomhet i utviklingsfasen.

Det hele inspirert av sorteringsmetoder militærleger utviklet i første verdenskrig for å se hvilke skadde som ville ha størst utbytte av øyeblikkelig hjelp.

Med tilsvarende tilnærming er det trolig mulig å lage metoder som vil hjelpe infrastruktursektorens menige «frontsoldater»: Vise dem de delene av cyberforsvarsverkene de må forsterke, og hvilken del av forsvarsmuren som kan forbli slik den er.

Det haster

Kanskje finnes også andre kimer til analyseverktøyet som trengs. Uansett hvor løsningen måtte ligge, oppfordrer vi industri og forskningsinstitusjoner til å jakte på den. Det haster.

For kritisk infrastruktur, inklusive offentlig forvaltning og helsevesenet, trenger nå vern mot cyberangrep som i verste fall kan ha fatale konsekvenser for hele samfunnet.

Artikkelen ble første gang publisert i Dagens Næringsliv 12. mai 2022 og gjengis her med DNs tillatelse.