English
Publisert 20.12.2017

Norsk energiforsyning sterkt avhengig av IT-leverandørene

Sårbarhetsutfordringene innen IKT-sikkerhet i norsk energiforsyning er størst i de administrative systemene og er preget av at virksomhetene er sterkt avhengige av IT-leverandørene. Dette viser en ny NVE-rapport. Rapporten dokumenter et behov for sikring av også administrative IKT-systemer.

Funnene som kommer fram i NVE-rapport 90-2017 «Informasjonssikkerhetstilstanden i energiforsyningen» danner grunnlag for revisjon av beredskapsforskriften og krav til grunnsikring av IKT-systemer.


-    I 2016 fikk NVE rapportert inn 12 IKT-hendelser. Selskapene er pålagt å rapportere inn ekstraordinære hendelser, men dette gir ikke et komplett bilde. NVE stilte seg selv derfor følgende spørsmål: Hva er den digitale sikkerhetstilstanden i norsk energiforsyning (elkraft og varme) og hvordan vil denne utvikle seg over tid? sier avdelingsdirektør for tilsyn og beredskap, Ingunn Åsgard Bendiksen.

Nærmere 70 % av de 350 virksomhetene som fikk spørreskjema melder om at de har hatt uønskede IKT-sikkerhetshendelser som for eksempel bedrageri over internett, datavirus og skadevare. Hendelsene rammer primært administrative systemer. Funn fra inntrengingstester hos tre nettselskaper antyder at mange sårbarheter kunne vært unngått ved bedre leverandørkontroll, økt fokus på sikkerhetsoppdatering av operativsystemer og programvare, samt bedre rutiner for å avvikle tjenester som ikke lenger er i bruk.  

-    70% er et høyt tall, og viser at kompetanse på dette området er viktig for alle i bransjen, sier Åsgard Bendiksen.

Behov for økt sikkerhetsbevissthet

Menneskelig feil og mangel på sikkerhetsbevissthet hos ansatte bidrar til at hendelser oppstår hos flere av virksomhetene. Inntrengingstestene antyder også at det er krevende å holde oversikt over en kompleks infrastruktur og å være tilstrekkelig profesjonell på sikkerhet ved innkjøp av IT-tjenester.

Grunnsikring av digitale systemer

Funnene i rapporten understreker nødvendigheten av å heve nivået på grunnsikring av alle digitale systemer i bransjen, og særlig i administrative systemer. Rapporten bekrefter viktigheten av at det fortsatt er fokus på sikkerhet i AMS, spesielt siden AMS er mer utsatt fra nettselskapenes administrative systemer enn driftskontrollsystemene og samtidig har funksjonalitet for utkobling av strømkunder. Resultatene viser også et behov for kompetanseheving, veiledning og revisjoner når det gjelder utsetting av IT-tjenester. Det er viktig å ha eget personell med tilstrekkelig kapasitet og kompetanse, uavhengig av hvilken IT-driftsmodell virksomheten har valgt.

-    NVE har gjort flere tiltak: for det første reviderer vi beredskapsforskriften og tar inn grunnsikring av IKT-systemer i denne, dernest har NVE utarbeidet en egen veileder for sikring av AMS og reviderer forskriftskravene til sikkerhet i AMS, understreker Åsgard Bendiksen.

 Last ned rapport NVE-rapport 90-2017 «Informasjonssikkerhetstilstanden i energiforsyningen»

Kontaktpersoner

Seksjonssjef Eldri Holo tlf. 970 96 895
Sjefingeniør Janne Hagen tlf. 905 29 180

Om prosjektet og rapporten

FOU-prosjektet «Informasjonssikkerhetstilstanden i energiforsyningen» har pågått i hele 2017. NVE satte ned en egen arbeidsgruppe med deltakere fra bransjen, bransjeforeninger, KraftCERT, NSM og NVE for å arbeide med prosjektet. Prosjektet har innhentet data gjennom spørreundersøkelse og casestudier i form av inntrengingstester.

Error loading Partial View script (file: ~/Views/MacroPartials/PDFLink.cshtml)

Les også

08.04.2024 | Nyheter - sikkerhet og energiforsyningsberedskap

EkomKraft 2024 er rett rundt hjørnet

03.04.2024 | Nyheter - sikkerhet og energiforsyningsberedskap

Ny veileder til forskrift om håndtering av energiknapphet og kraftrasjonering

05.03.2024 | Nyheter - sikkerhet og energiforsyningsberedskap

NVE legg fram rettleiar for vurdering av digital risiko