Leverandørene er viktige brikker i beredskap
Mange virksomheter i energisektoren bruker skytjenester og setter ut IT-driften. Som del av et prosjekt innen digital proaktiv beredskap har NVE sett på hvilke tiltak som kan redusere sjansen for uønskede IKT-hendelser ved tjenesteutsetting.
Også i energisektoren er virksomheter er utsatt for uønskede IKT-hendelser, både tilfeldige og målrettede. Dataangrep mot virksomheter via digitale verdikjeder ser ut til å være økende.
Energiselskapene er avhengig av sine leverandører for å håndtere uønskede hendelser, og for å gjenopprette systemer etter alvorlige hendelser.
NVE har i 2018 hatt to sommerstudenter fra Universitetet i Oslo som har sett nærmere på sikkerhetsutfordringene i relasjonen mellom leverandør og kunde. Disse utfordringene, og anbefalinger til hvordan å møte disse, er oppsummert i NVE-rapport 90/2018 IKT-sikkerhet ved anskaffelser og tjenesteutsetting i energibransjen
Rapporten påpeker at energiselskaper og leverandører har kontroll maksimalt to ledd nedover i verdikjeden, og at det er krevende å følge opp overfor leverandører sikkerhetskrav som virksomheten har satt i kontraktene. Energiselskapene benytter heller ikke alltid retten de har i kontrakten til å føre tilsyn med leverandørens etterlevelse av kontraktens krav til sikkerhet.
Konkrete anbefalinger i rapporten
Det er nødvendig å se nærmere på digital beredskap i praksis, spesielt samspillet mellom ulike aktører i en stresset situasjon, der deler av den digitale infrastrukturen svikter. På den ene siden tar sektoren i bruk en rekke digitale systemer og verktøy som er til god hjelp i en mulig ekstraordinær situasjon, på den annen side kan disse systemene svikte helt eller delvis.
Videre bransjesamarbeid for å utvikle felles krav som kan brukes for tjenesteutsetting og bestilling av IKT-systemer er viktig. Hvis bransjen går sammen, vil energiselskapene antageligvis få et sterkere grunnlag å forhandle ut i fra når de går i forhandlinger med store leverandører.
IKT-sikkerhetstilstanden hos de mindre selskapene bør undersøkes nærmere. I følge Mørketallsundersøkelsen 2016 kan det se ut som de små selskapene mangler tilstrekkelig sikkerhetsnivå for å beskytte seg mot virus og uønskede IKT-hendelser.
Energiselskapene bør benytte seg av retten til å dra på tilsyn hos sine leverandører, der slik rett er avtalefestet. Dette er noe som ofte ikke blir gjort. Tilsyn kan være en god måte å kontrollere at de får det produktet eller den tjenesten de betaler for, og det kan hjelpe dem med å oppdage sikkerhetsfeil og mangler hos leverandøren.
Energiselskapene kan ha mye å hente på å gjennomføre øvelser sammen med leverandørene sine. Energiselskapene og leverandørene kan lære av både større øvelser og skrivebordsøvelser.
Det bør utarbeides en engelsk veileder til hvordan kravene i beredskapsforskriften kan oppfylles. En slik veileder kan være til hjelp i forhandlinger med internasjonale selskap som ofte må ta ansvaret for å oversette og tolke lovtekster selv, som kan være relativt ressurskrevende.