– Cybersikkerhet må prioriteres i vann- og avløpssektoren. Et cyberangrep kan ha direkte innvirkning på folkehelsen, og på samfunnskritiske virksomheter som er avhengige av kontinuerlig tilgang på vann, sier SINTEF-forsker Rita Ugarelli.
Hun er koordinator i Horizon 2020-prosjektet STOP-IT, som har sett på hvordan kritisk vanninfrastruktur kan beskyttes mot cyber- og fysiske trusler.
Varierende cybersikkerhet
Graden av digitalisering i vann- og avløpsvirksomheter varierer mye, fra de som har begrenset bruk av digitale løsninger til de som har omfattende digitale systemer og strategier.
Flertallet er i startgropen når det gjelder digitalisering, sammenlignet med andre sektorer som for eksempel energi og transport.
VA-sektoren står overfor flere tekniske, organisatoriske og eksterne utfordringer som er vanskelige å håndtere med tradisjonelle tilnærminger.
– Derfor trengs det innovasjon, som kan skje gjennom digitalisering. Verdiene som skapes ved hjelp av digital teknologi er mange; reduserte driftsutgifter, økt effektivitet, økt kundeengasjement og tilfredshet, og ikke minst mer kunnskapsbaserte beslutningsprosesser, sier Ugarelli.
Les også: Stadig viktigere å forhindre dataangrep mot vannforsyningen
Må ha en plan
Digitalisering kan imidlertid ikke gjøres i blinde. Dersom et vannverk investerer stort i sensorer ute på nettet uten at de har en god digital plan, kan det resultere i enorme mengder med data som det ikke nødvendigvis er behov for – og som kanskje til og med medfører økt sårbarhet.
– De teknologiske fremskrittene kan gi sektoren høyere risiko hvis digitaliseringsprosessen ikke omfatter systematisk styring av risiko med hensyn til både cyber- og fysiske trusler mot konkrete løsninger. VA-sektorens digitalisering må bygge på en klar forretningsstrategi der cybersikkerhet er et avgjørende element, forklarer Ugarelli.
Flere hendelser i Norge og internasjonalt
At VA-sektoren også er utsatt for cybertrusler, viser hendelsen i Østre Toten kommune i januar 2021, hvor store deler av kommunens IT-løsninger ble kryptert og ikke lenger var tilgjengelige. I Drammen kommune var det en hendelse med sikkerhetsbrister i driftskontrollsystemet i februar 2021.
I USA har det nylig vært et tilfelle av hacking av et vannverk i Florida, hvor en hacker prøvde å øke dosen av natriumhydroksyd (lut) i vannbehandlingsanlegget.
– Sektoren må jobbe proaktivt for å forhindre, oppdage og redusere nettangrep, ettersom nettangrep vil fortsette å eskalere både med hensyn til hvor avanserte de er og hvor hyppig de opptrer, sier Ugarelli.
På tross av at VA-sektoren har jobbet med å styrke informasjonssikkerheten de senere årene, gjorde Mattilsynet i 2016 en undersøkelse om informasjonssikkerhet i norske vannverk med relativt nedslående resultater.
– Sommeren 2020 gjorde vi en ny undersøkelse blant et engere utvalg, for å se om økt fokus har hatt noen innvirkning på sikkerhetsnivået. Selv om enkelte områder ser marginalt bedre ut, er vårt totalinntrykk at bransjen i større grad innser at den har informasjonssikkerhetsutfordringer, sier Ugarelli.
Vannbransjen, blant annet gjennom Norsk Vann, har ambisjoner om å fortsette å arbeide for å styrke oppmerksomheten hos vann- og avløpsetatene rundt utfordringene.
Målet er å øke kompetansen på området ved å formidle veiledninger og verktøy som allerede er utarbeidet, ifølge forskeren.
Pandemien har gjort sårbarheten tydeligere
Covid-19-pandemien har gjort sårbarhetene i sektoren enda tydeligere: Vannverk har åpnet sine systemer for eksterne forbindelser til ansatte og leverandører som jobber hjemmefra for å opprettholde virksomheten. Prisen er økt risiko for nettangrep.
– Selv om mange vannverk har investert store ressurser i cybersikkerhet, er det fortsatt behov for mer – for å sikre vanninfrastruktur på strategisk, taktisk og operativt beslutningsnivå, sier Ugarelli.
Målet med det EU-finansierte prosjektet STOP-IT (Strategic, Tactical, Operational Protection of water Infrastructure against cyber-physical Threats) som koordineres av SINTEF, har vært å gjøre kritisk infrastruktur i VA-sektoren sikker og motstandsdyktig (resilient).
Dette har blitt gjort ved å forbedre beredskap, bevissthet og responsevne mot trusler av fysisk eller digital art, og kombinasjoner av disse.
Prosjektet ble avsluttet i 2021, og har utviklet løsninger som gir vannverk mulighet til systematisk å beskytte sine systemer mot cyber-fysiske angrep ved hjelp av integrerte løsninger som også forbedrer evnen til å håndtere nye risikoer.
Prosjektet har også bidratt til å bygge kompetanse i bransjen gjennom ulike opplæringsaktiviteter.
Illustrasjonen viser integrering av cyber- og fysiske systemer. Ill.: STOP-IT
Utfordringer for cybersikkerheten i VA-sektoren
Forvaltning av urbane vannsystemer utfordres av flere faktorer: Aldrende infrastruktur, store vanntap, og økende press på vannressursene med hensyn til både kvantitet og kvalitet.
Disse faktorene vil forverres med tiden på grunn av det globale presset, som demografisk vekst, økt etterspørsel etter vann, byutvikling og urbanisering og klimapåvirkninger. I tillegg kommer økt fokus på kvalitet, sikkerhet og miljø.
– Disse endringsdriverne presser frem et paradigmeskifte for den tradisjonelle forvaltningen av VA-sektoren, som i dag fremstår som konservativ, kompleks og fragmentert av natur, sier Ugarelli.
Forskerne har utviklet løsninger
I STOP-IT har det blitt utviklet flere løsninger og anbefalinger for å sikre VA-sektorens kritiske komponenter:
Strategiske og taktiske verktøy er utviklet for å støtte ledere og beslutningstakere i arbeidet med å øke beredskapen mot effekten av cyber-fysiske trusler på tjenesten som skal leveres. De genererer tilpassede scenarioer for angrep, vurderer risiko når det gjelder tjenesteforstyrrelser og beregner effektiviteten av risikoreduserende tiltak for å øke systemets motstandskraft.
Operasjonelle verktøy støtter sanntidsdrift av det integrerte systemet ved å tilby en omfattende liste over teknologier for å oppdage uregelmessigheter av forskjellig art, for eksempel jamming, IT-angrep, fysisk inntrenging, unormal aktivitet, tap av datatilgjengelighet og integritet.
Delingsvilje
For å støtte behovet for informasjonsutveksling mellom vannverk og andre kritiske infrastrukturer, er det også designet og implementert et system for deling av informasjon om nettangrep.
Dette samler inn kilder til eksisterende trusler fra relevante kilder, og strukturerer informasjonen ved hjelp av standarder for å lette utveksling av identifiserte sikkerhetstrusler.
– Denne tjenesten hjelper operatører som er berørt av cyberhendelsene med å øke beredskapsnivået ved å kommunisere hendelsesvarsler. Den forbedrer også koordineringen mellom sektorer ved å etablere utvekslingsmetoder for å forhindre, redusere effekten av, og gjenopprette etter hendelser, forklarer Ugarelli.
Har laget opplæringsmateriell
Innføringen av nye digitale systemer og enheter for drift av vannforsyningssystemer krever en ny type kompetanse.
– Vannverkene bør investere i sikkerhetsutdanning og opplæring, samt i informasjonssikkerhetskampanjer, sier Ugarelli.
Forskerne i STOP-IT tar nå sikte på å forbedre den praktiske kunnskapen om cyber-fysisk beskyttelse av vann- og avløpsinfrastruktur gjennom avanserte, interaktive og modulære opplæringsaktiviteter.
De har laget opplæringsmateriell tilpasset tre forskjellige sluttbrukergrupper som har hver sin rolle i risikostyring for vannforsyninger; beslutningstakere, risikostyringsledere, og ansatte som er ansvarlige for sanntidsoperasjoner.
Veien framover
I den kritiske infrastrukturen som VA-sektoren representerer, er digitale og fysiske elementer mer og mer sammenkoblet takket være den pågående prosessen med digital transformasjon.
Den økende integrasjonen gir fordeler, men også nye utfordringer, spesielt i et sikkerhetsperspektiv.
– For å øke motstandsdyktigheten til vannforsyningstjenesten, er det viktig å bryte ned skillene mellom cyber- og fysisk sikkerhet, og å innføre et risikostyringsrammeverk som er i stand til å identifisere, analysere og evaluere cyber- og fysisk risiko, sier Ugarelli.
Samtidig er det en forutsetning at vannverkene overholder nye direktiver om sikkerhet for å utføre risikovurdering og gjøre nødvendige tekniske og organisatoriske tiltak for å øke motstandsdyktigheten.
– For å nærme seg målet om cybersikkerhet, må vannverkene øke sine investeringer i cybersikkerhet og i skjæringspunktet med fysisk sikkerhet. Til tross for den økende oppmerksomheten er sektoren fortsatt sårbar for sikkerhetstrusler, konstaterer Ugarelli.
