Mandag 21. juni arrangerte enerWE Partner energidebatten om cybersikkerhet. Der stilte Christopher Kiønig fra Watchom, Margrete Raaum fra KraftCERT og Harald Næss fra Nasjonal Sikkerhetsmyndighet (NSM) opp for å snakke om en rekke problemstillinger knyttet til cybersikkerhet i kraftbransjen.
- Alle bransjer er utsatt. Jeg tror ikke noen bransje er godt nok rustet for dette, sier Næss.
Næss er leder for rådgivningsavdelingen i Nasjonalt Cybersikkerhetssenter i NSM. Han poengterte blant annet at det er store utfordringer knyttet til cybersikkerhet også for kraftbransjen, og at i henhold til sikkerhetsloven er det selskapene selv som til syvende og sist er ansvarlige for at sikkerheten er godt ivaretatt. Det gjelder uansett om selskapet er stort eller lite.
– En regulering og en lovgivning tar ikke hensyn til om du er stor eller liten. Det er krav du må oppfylle, sier Næss.
At det kan bli både dyrt og overveldende, uttrykket han forståelse for, men påpekte at alternativet ikke kommer med en lavere prislapp.
– Kostnaden med å øke cybersikkerheten er ikke så stor sammenlignet med nedsiden ved å ikke gjøre det, sier Næss.
IT-sikkerhet er en jobb for alle
Margrete Raaum er daglig leder i KraftCERT. Hun var opptatt av at cybersikkerhet ikke bare angår noen få i IT-avdelingen, men at det er noe hele selskapet må være med på hvis det skal lykkes.
– Alle i et selskap må videreutdanne seg innen IT-sikkerhet. Alle skal ikke bli eksperter, men alle må videreutvikle sin kompetanse, sier Raaum.
Hun ser at de små nettselskapene kanskje har en stor utfordring, men er ikke helt med på at det nødvendigvis er en uoverkommelig oppgave for de. Raaum påpekte at de mindre nettselskapene også har et mindre trusselbilde, og at de har gode forutsetninger for å håndtere det - hvis de er flinke til å samarbeide også med andre.
For det er i prosessene og holdningene, hun mener svarene ligger. Det er mulig å kjøpe sikkerhetsløsninger, men det er ikke til stor hjelp hvis de ikke inngår som en del av en helhetlig plan og en helhetlig sikkerhetstankegang.
– Selv om man kaster penger på noe, er det ikke gitt at man får en bedre løsning. Jeg synes det er litt for mye fokus på tekniske løsninger, sier Raaum.
Som en del av tilnærmingen bør man være litt pessimist.
– Man må hele tiden anta at situasjonen er verre enn den er, man må anta at angriperne har kommet seg inn, og det må man håndtere, sier Raaum.
Samtidig er det ingen grunn til å krisemaksimere. Raaum påpekte at kraftselskaper ikke er noe dårligere på IT-sikkerhet enn selskaper i andre bransjer, og at det ikke nødvendigvis er slik at en sikkerhetsbrudd i et kraftselskap eller et nettselskap automatisk betyr at det er full krise. For det er stor forskjell på brudd i de administrative systemene og kontrollsystemene.
– Tverrsektorielt ser vi at det er epost som kompromitteres. Man er mest sårbar der, men det er ikke sikkert at konsekvensen er så stor, sier Raaum.
Det betyr ikke at man skal ta lett på det, men at man kraftbransjen må ha et bevisst forhold til sin egen sårbarhet for å kunne håndtere det på en tilfredsstillende måte.
Risikoen må fortløpende vurderes
– Det er viktig med risikovurderinger, sier Kiønig, senior sikkerhetsrådgiver i Watchcom.
Kiønig trakk frem at noe av det enkleste beste og billigste små kraft- og nettselskaper kan gjøre, er å ta i bruk et av de mange gode gratis rammeverkene for cybersikkerhet som finnes der ute. Han trakk spesielt frem rammeverket til NSM, og mente det var et veldig godt sted å starte for enhver kraftorganisasjon.
Sikkerhetsrådgiveren påpekte også at det er viktig å bygge opp en egen kompetanse på hva man trenger og ønsker, når man går ut i markedet for å kjøpe tjenester eller produkter innen cybersikkerhet.
– Det viktigste er å ha bestillerkompetanse, sier Kiønig.
Her er det mye tilgjengelig informasjon og kunnskap tilgjengelig også i de forskjellige forskriftene som selskapene må følge opp.
På spørsmål om hva som kan skje hvis kraftbransjen blir hardt rammet av et dataangrep, er han klar og tydelig.
– Da blir det mørkt, sier Kiønig.
