Kan få katastrofale følger om det blir angrepet

Kompetansen må heves i alle ledd og funksjoner i kraftforsyningen, fra de som sitter på kontrollrommene til de som gjør innkjøp av komponenter og programvare, er spesialrådgiver Janne Hagen i NVE og seniorrådgiver i digital sikkerhet Siv Hilde Houmb i Statnett enige om. Sammen med Tekna har de utviklet et kurs for sikring av IKT- og driftssystemer i kraftsektoren som skal gå til høsten.

I Norge er NVE tilsynsmyndighet, mens Statnett har oppgaven med å koordinere produksjon og forbruk av strøm slik at det til enhver tid er balanse i kraftsystemet.

Janne Hagen er spesialrådgiver i digital sikkerhet i NVE og underviser ved Universitetet i Oslo.

Siv Hilde Houmb er seniorrådgiver i digital sikkerhet i Statnett og underviser ved NTNU.

Siv Hilde Houmb og leder for sikkerhetsarbeidet i Statnett Esben Gudbrandsen (Chief Information Security Officer ) bekrefter at behovet for sikkerhetskunnskap er stort i kraftforsyningen.

– Inntil nå finnes det ikke noen kurs for hva IKT-sikkerhet i kraftsystemer betyr i praksis, sier de.

– Alle som jobber innenfor dette fagfeltet bør melde seg på Tekna-kurset, oppfordrer Esben Gudbrandsen. Han mener at sikkerhet vil bli en viktig kompetanse å ha på CV-en fremover – om du jobber med anskaffelse, IT eller styring av drift i kontrollrom

Må få en sikkerhetskultur

Ifølge Esben Gudbrandsen skjer det positive ting nå, og han mener vi er på god vei i å ha oppmerksomhet mot digitale trusler. Han viser til at flere unge folk kommer til som har mer kunnskap om digital sikkerhet. Men han er klar på at det må mer kursing til og etterutdanning for folk i alle typer virksomheter.

Esben Gudbrandsen leder sikkerhetsarbeidet i Statnett.

– Det dreier seg mye om å få tankegangen inn i kulturen, slik det er gjort med HMS (Helse,miljø og sikkerhet)-arbeid gjennom mange år, sier han.

Ifølge spesialrådgiver Janne Hagen i NVE er faren for IKT-angrep på kraftnettet vårt i høyeste grad en reell fare. Hagen arbeider med forskning og utvikling, regulering og tilsyn på informasjonssikkerhet og sikkerhet i driftskontrollsystemer i kraftbransjen.

–  Det blir hele tiden håndtert hendelser gjennom vanlig IT-drift, men de vi får høre om i media er de store hendelsene og de som eventuelt blir kommunisert gjennom offentlige rapporter fra myndigheter og andre. Et av de mest kjente hendelsene fra andre land er et massivt strømutfall da russiske aktører sto bak et dataangrep på tre regionale ukrainske kraftselskaper i 2015.

I et moderne samfunn er all infrastruktur fra transport, vann- og avløp, oppvarming, telenettet, drift av sykehus med mer, avhengig av stabil strømforsyning, og det kunne fått katastrofale følger om den falt helt ut. 

– NVEs trusselrapport fra 2017 om energisikkerhetstilstanden i energiforsyningen, viste at ett av to selskaper hadde opplevd bedrageri over internett og 40 % hadde erfart datavirus. Mye viste seg å skyldes menneskelige feil, sier Janne Hagen.

Les også «Tekna-sjef bekymret for sikkerheten i norske bedrifter»

Kritikk fra Riksrevisjonen

NVE fikk tidligere i år kritikk av Riksrevisjonen  blant annet for mangler i tilsynsvirksomhet og beredskap. Ifølge Janne Hagen har NVE allerede iverksatt tiltak på områder som er kritisert, og vurderer nå om tilsynsmetodikken bør endres.

– Kraftforsyning er et ekstremt komplisert system som er fysisk og digitalt sammenkoblet. Det er vanskelig å holde oversikt over og kontroll på alle variabler som kan endre seg. Det strekker seg utenfor Norges grenser både fysisk og digitalt, og er avhengig av mange leverandører av utstyr.  Fra mikrochip-produsenter i Asia til store IT-leverandører som Microsoft i USA med datasenter over hele verden.  Global kriminalitet på internett når også oss i Norge, i tillegg til at enkeltfeil kan få konsekvenser for deler av systemet.

–  Ha manualer på papir!

– For kraftforsyningen er løsningen å sørge for å ha en forberedt beredskap og god risikostyring, det vil si at vi må kunne identifisere risiko og iverksette forebyggende tiltak, og ha tiltak som reduserer konsekvensene dersom hendelsen inntreffer. Dette må det trenes på, sier Janne Hagen.

Ifølge NVE-rådgiveren er det unikt for Norge er at vi har en Kraftberedskapsforskrift. Den stiller mange krav til sikkerhet og beredskap slik at kraftforsyningen skal opprettholdes og gjenopprettes ved ekstraordinære situasjoner.

I tilfelle dataangrep er det i tillegg til mange krav til digital sikkerhet, et annet krav at man skal ha sikkerhetskopier av den viktigste informasjonen av energisystemet på papir.

–  En viktig ting i alle virksomheter er å innføre tofaktor-autentisering, sier Hagen, men god sikkerhet krever mange tiltak. I mange tilfeller er det dessverre ennå slik at brukerbekvemmelighet trumfer sikkerheten.

Beskytter ikke seg selv

Siv Hilde Houmb i Statnett opplyser at det i stadig større grad settes opp digitale murer rundt fysiske komponenter, men at alder på utstyr kan være en utfordring.

– Vi må huske på at fysiske systemer har en levetid på 20-30 år, og at de ikke er bygd for å beskytte seg selv.  De som ønsker å hacke seg inn, finner stadig nye måter å gjøre det på. Derfor må vi bli mer bevisst på hvilke krav vi stiller til leverandørene både av fysiske komponenter og av programvare, sier hun.

Janne Hagen og Siv Hilde Houmb er ansvarlig for hver sine sesjon i Tekna-kurset om sikring av IKT- og driftssystemer i kraftsektoren som går til høsten.

 I tillegg til spesialrådgiverstillingen hos NVE, har Janne  en 1. amanuensis II stilling ved Universitetet i Oslo (UIO), Institutt for informatikk. Hun har doktorgrad fra UiO og en lang erfaring med forskning på sikkerhet og cybersikkerhet, blant annet fra Forsvarets forskningsinstitutt (FFI).

Siv Hilde Houmb i Statnett har en doktorgrad fra NTNU, der hun også har en bistilling som professor II. Hun har jobbet med cybersikkerhet i mer enn 25 år. De siste ti årene har Houmb jobbet spesielt med sikring av kritisk infrastruktur og kontrollsystemer i kraftbransjen, oljebransjen og industrielle produksjonssystemer.

– Mer fagressurser til universitetene

Hagen og Houmb mener det må bygges både en generell kompetanse og en mer inngående IT- og OT (operasjonell teknologi)-kompetanse.

I Tekna-kurset prøver de å bringe sammen de tre områdene IT, OT og praktisk sikkerhetsarbeid.

– Det er begrenset hva man kan lære på et to-dagers kurs. I første omgang er det lagt opp til at deltakerne får smakebiter av hva de trenger å vite, sier de to. De mener det er stort behov for etter- og videreutdanning, og ser for seg at det kan lages flere kurs fremover der aktuelle temaer utdypes mer. De mener at også politikere og beslutningstakere som er opptatt av den digitale grunnmuren og sårbarheter for samfunnskritiske funksjoner, vil ha nytte av kurset.

– Nasjonalt mangler vi sikkerhetseksperter, og det er behov for flere som kan undervise i cybersikkerhet, mener Janne Hagen. Selv har hun opplevd at det er stor etterspørsel på sikkerhetsemner og masteroppgaver på sikkerhet ved Institutt for Informatikk ved Universitetet i Oslo, og at det trengs mer fagressurser for å dekke behovet.

Ny cyberfysisk lab

– Det er i dag alt for liten kunnskap og utdanning på maskinvaresikkerhet, mener Janne Hagen. Hun forteller at det kan ligge bakdører /trojanere i maskinvare som ligger i bunnen for programvaren.

For å forske på dette har NVE tatt et initiativ til at det utvikles en cyberfysisk lab på NTNU. På denne laben skal man kunne koble digital teknologi med elkraftteknologi slik at det er mulig å forske på sammenhengen mellom digitale kommandoer og fysiske konsekvenser i elkraftsystemet.

Det store nettselskapet Elvia og Statnett bidrar nå med hver sin nyopprettede nærings-Ph.d-kandidat tilknyttet NTNU  til forskning på sikkerhet i industrikontrollsystemer og maskinvare.

– Det er viktig at aktørene i bransjen deler informasjon, kunnskap og kompetanse, sier Siv Hilde Houmb i Statnett om dette samarbeidet.

Hagen og Houmb opplyser også at NVE, Statnett, Elvia, KraftCERT*, EnergiNorge, NTNU og NSM planlegger et langsiktig samarbeid rundt forskning på cybersikkerhet, sikkerhet i industrielle kontrollsystemer og maskinvare og er enige om å etablere et konsortium.

*KraftCERT AS, etablert av Statnett, Statkraft og Elvia, har til formål å overvåke energiselskapers IT-systemer og håndtere uønskede IT-sikkerhetshendelser, og skal bistå andre aktører i kraftbransjen i Norge (kraftprodusenter og nettselskaper) med håndtering og forebygging av angrep på IKT-systemer. (Kilde: Wikipedia)