Dette er et debattinnlegg som står for artikkelforfatterens regning. Kommentaren det henvises til, er også publisert på Europower. Tilsvaret publiseres derfor også her hos oss.

DN har i en artikkelserie rettet oppmerksomheten mot alvorlige sikkerhetsbrudd i kraftsektoren etter konkursen i en stor leverandør. Det er bra, og saken er alvorlig. Samtidig har DN i sitt arbeid forøkt å finne vinklinger hvor håndteringen skal ha vært utilstrekkelig. I jakten på disse vinklingene har en del nyanser gått tapt. Jacobsens kommentar kroner det hele med konklusjoner uten grunnlag.

Arbeidet med digital og fysisk sikkerhet i kraftsektoren er viktig. Nasjonale sikkerhetsmyndigheter har ved flere anledninger pekt på sektoren som særlig utsatt for digitale angrep. Statnett har i mange år arbeidet aktivt med digital sikkerhet og er en av grunnleggerne bak sektorens eget samarbeidsorgan, KraftCERT.

Samtidig har artikkelserien pekt på et av dilemmaene i slikt sikkerhetsarbeid. Statnett er avhengig av å ha leverandører som må ha tilgang til informasjon om våre anlegg for å kunne utføre sitt arbeid. Informasjon som isolert kan være sensitiv. Derfor har Statnett inngått en egen sikkerhetsavtale med disse leverandørene. Samtidig er ikke alltid enkelttiltak hundre prosent vanntette. Den menneskelige faktoren er alltid den svakeste, som i alt sikkerhetsarbeid.

Det er etablert barrierer som gjør at denne informasjonen alene ikke er en alvorlig sikkerhetstrussel

Det er også tilfelle i saken som har vært i sentrum for DNs artikkelserie. Derfor er det viktig at man i sikkerhetsarbeidet etablerer flere barrierer. Det er ikke riktig slik Jacobsen skriver at resultatet av denne saken er at «det norske strømnettet i dag kan være truet». Det er det ikke. Saken er alvorlig og slik informasjon skal ikke komme på avveie, men det er etablert barrierer som gjør at denne informasjonen alene ikke er en alvorlig sikkerhetstrussel.

Statnett ble gjort oppmerksom på den påståtte kopieringen av data fra kjøperen av boet etter konkursen. Da varslet vi umiddelbart vår tilsynsmyndighet NVE og satte ned en egen intern granskning. Denne granskningen hadde bare innsyn i sladdede utgaver av rapportene fra konkursboet. Granskningen konkluderte blant annet med at det kunne være informasjon på avveie. Rapporten ble igjen umiddelbart delt med tilsynsmyndighet NVE i tråd med varslingsplikten.

Politianmeldt

Normalt ville en slik rapport medført en dialog med NVE om videre aksjoner. Denne gangen vurderte NVE at det kunne være fare for bevisforspillelse og valgte både å politianmelde og holde det hemmelig for de berørte selskapene i kraftsektoren.

Statnett har altså sikkerhetsavtaler som regulerer hvordan leverandører skal behandle kraftsensitiv informasjon og vi fører tilsyn med disse. Etterforskning av enkeltpersoner eller selskaper utover dette har vi ikke myndighet til. Vi har derfor heller ikke mulighet til å avdekke hva som har skjedd med informasjonen etter kopiering. Vi har en varslingsplikt vi har fulgt, og NVE har også begrenset myndighet og har valgt å politianmelde.

Må følge lovverket

Som statsforetak er Statnett underlagt en rekke lover, ikke bare innen sikkerhetsfeltet. En av disse er loven om offentlige anskaffelser. Frithjof Jacobsen ser ut til å mene at vi umiddelbart skulle kastet ut en leverandør basert på mistanke og siktelse. Behandlingen av leverandører er nøye regulert av både anskaffelsmessige og kontraktsmessige forhold. Vi følger løpende opp alle de involverte leverandørene med den dokumentasjonen vi har tilgjengelig til nå og ser fram til å få ytterligere informasjon om realitetene i saken fra myndigheter som har mulighet til å framskaffe denne.

Sikkerhetsarbeid er svært viktig, og i den situasjonen vi nå ser i verden rundt oss blir det stadig viktigere. Statnett jobber aktivt med både fysisk og digital sikkerhet. Heldigvis har vi gode barrierer som gjør at menneskelig svikt kan få mindre alvorlige konsekvenser. Samtidig er dette komplekst og utfordrende. Vi må sikre oss på mange fronter og vi må samarbeide tett på tvers av sektorer og med myndigheter. Deling av kritisk informasjon om trusler, gode rutiner og gode barrierer er sentralt for at vi fortsatt skal sikre Norges kanskje viktigste infrastruktur.

Det er bra at DN setter fokus på viktig infrastruktur og arbeidet med sikringen av denne. Det er likevel greit å minne om at det ikke er alltid ting er like svart/hvitt som de framstår i typografens settekasse. Selv på rosa papir.