Norsk energiforsyning sterkt avhengig av IT-leverandørene
Sårbarhetsutfordringene innen IKT-sikkerhet i norsk energiforsyning er størst i de administrative systemene og er preget av at virksomhetene er sterkt avhengige av IT-leverandørene. Dette viser en ny NVE-rapport. Rapporten dokumenter et behov for sikring av også administrative IKT-systemer.
Funnene som kommer fram i NVE-rapport 90-2017 «Informasjonssikkerhetstilstanden i energiforsyningen» danner grunnlag for revisjon av beredskapsforskriften og krav til grunnsikring av IKT-systemer.
- I 2016 fikk NVE rapportert inn 12 IKT-hendelser. Selskapene er pålagt å rapportere inn ekstraordinære hendelser, men dette gir ikke et komplett bilde. NVE stilte seg selv derfor følgende spørsmål: Hva er den digitale sikkerhetstilstanden i norsk energiforsyning (elkraft og varme) og hvordan vil denne utvikle seg over tid? sier avdelingsdirektør for tilsyn og beredskap, Ingunn Åsgard Bendiksen.
Nærmere 70 % av de 350 virksomhetene som fikk spørreskjema melder om at de har hatt uønskede IKT-sikkerhetshendelser som for eksempel bedrageri over internett, datavirus og skadevare. Hendelsene rammer primært administrative systemer. Funn fra inntrengingstester hos tre nettselskaper antyder at mange sårbarheter kunne vært unngått ved bedre leverandørkontroll, økt fokus på sikkerhetsoppdatering av operativsystemer og programvare, samt bedre rutiner for å avvikle tjenester som ikke lenger er i bruk.
- 70% er et høyt tall, og viser at kompetanse på dette området er viktig for alle i bransjen, sier Åsgard Bendiksen.
Behov for økt sikkerhetsbevissthet
Menneskelig feil og mangel på sikkerhetsbevissthet hos ansatte bidrar til at hendelser oppstår hos flere av virksomhetene. Inntrengingstestene antyder også at det er krevende å holde oversikt over en kompleks infrastruktur og å være tilstrekkelig profesjonell på sikkerhet ved innkjøp av IT-tjenester.
Grunnsikring av digitale systemer
Funnene i rapporten understreker nødvendigheten av å heve nivået på grunnsikring av alle digitale systemer i bransjen, og særlig i administrative systemer. Rapporten bekrefter viktigheten av at det fortsatt er fokus på sikkerhet i AMS, spesielt siden AMS er mer utsatt fra nettselskapenes administrative systemer enn driftskontrollsystemene og samtidig har funksjonalitet for utkobling av strømkunder. Resultatene viser også et behov for kompetanseheving, veiledning og revisjoner når det gjelder utsetting av IT-tjenester. Det er viktig å ha eget personell med tilstrekkelig kapasitet og kompetanse, uavhengig av hvilken IT-driftsmodell virksomheten har valgt.
- NVE har gjort flere tiltak: for det første reviderer vi beredskapsforskriften og tar inn grunnsikring av IKT-systemer i denne, dernest har NVE utarbeidet en egen veileder for sikring av AMS og reviderer forskriftskravene til sikkerhet i AMS, understreker Åsgard Bendiksen.
Last ned rapport NVE-rapport 90-2017 «Informasjonssikkerhetstilstanden i energiforsyningen»