NVE-rapport om IKT-sikkerhet i energiforsyning avdekker svakheter
Administrative systemer kan være et problemområde for energiselskapene, viser rapporten.
BEDRE SIKRING: NVE etterlyser bedre kunnskap om IKT-sikkerhet etter en rapport. Det er administrative systemer som er det største faremomentet.
Leif Martin Kirknes (fotomontasje (Pixabay))
leif.kirknes@lomedia.no
Ifølge rapporten, som ble sluppet i desember i fjor, har 7 av 10 nettselskaper opplevd uønskede hendelser når det gjelder IKT-sikkerhet, slik som bedrageri, datavirus og skadevare.
Det er primært administrative systemer som har vært utsatt for slike hendelser.
Norges vassdrags- og energidirektorat (NVE) etterlyser bedre grunnsikring av digitale systemer.
– 70 prosent er et høyt tall, og viser at kompetanse på dette området er viktig for alle i bransjen, sier Ingunn Åsgard Bendiksen, avdelingsdirektør for tilsyn og beredskap i NVE på nve.no.
Viktig å sikre AMS særskilt
NVE har også gjort en stikkprøve med IKT-innbruddstester hos tre nettselskaper. Konklusjonen etter disse er at driftskontrollsystemene scorer bra på beskyttelse, men det ble funnet sikkerhetshull i alle tre sine administrative systemer.
At det er funnet sårbarheter i administrative systemer, impliserer også at det er viktig å følge ekstra med på sikkerhet rundt AMS. De er mer utsatt for nettselskapenes administrative systemer enn driftskontrollsystemene, og samtidig har funksjonalitet for utkobling av strømkunder.
Bryterfunksjonen i smarte målere må sikres særskilt, understreker NVE i rapportens sammendrag. Hvis bryterfunksjonen driftes av en AMS-leverandør, kan trusselaktører oppnå tilgang til denne ved å først bryte seg inn hos leverandøren, hvorpå de potensielt kan skru av strømmen til individuelle forbrukere hos mange selskaper samtidig.
– Viktig med eget personell med kapasitet og kompetanse
Mange sårbarheter kunne vært unngått med bedre leverandørkontroll, bedre regime rundt sikkerhetsoppdatering av operativsystem og programvare, og bedre rutiner for å avvikle tjenester som ikke lenger er i bruk, viser rapporten.
Rapporten trekker også frem hvor avhengige mange av virksomheten har gjort seg av leverandørene. Rundt 8 av 10 trenger leverandørens hjelp for å håndtere hendelser i sine IT- og driftssystemer og gjenopprette disse dersom de feiler.
«Det er viktig å ha eget personell med tilstrekkelig kapasitet og kompetanse, uavhengig av hvilken IT-driftsmodell virksomheten har valgt,» fastslår NVE i en melding de har lagt ut om rapporten.
Les også: – Outsourcing er risikosport om man ikke har orden i eget hus, mener Berit Svendsen i Telenor
Utsatt sektor
Rapporten trekker frem at menneskelig feil og mangelfull sikkerhetsbevissthet hos de ansatte er blant topp to og tre medvirkende årsaker til at mange av virksomhetene har fått uønskede problemer. På topp én «medvirkende årsak» ligger svaralternativet «vet ikke».
I 40 prosent av tilfellene er sikkerhetsavvikene oppdaget ved rutinemessig sikkerhetsovervåkning.
Rapportens sammendrag starter for øvrig med å fastslå at både PST og E-Tjenesten peker på at kritisk infrastruktur og energisektoren er utsatt for spionasje og etterretning.
Tyr til spørreundersøkelse
Selskapene rapporten omhandler er pålagt å rapportere ekstraordinære hendelser til NVE, og hadde 12 rapporter om dette i 2016. Men NVE har innsett at dette ikke gir et helhetlig bilde, og har derfor nå også benyttet en mer generell undersøkelse for å finne ut mer om IT-sikkerhet i energisektoren.
88 av 350 spurte virksomheter har svart på undersøkelsen som danner fundamentet for rapporten fra 2017. Tidsperioden er juni 2016 - juni 2017.
– NVE har gjort flere tiltak: for det første reviderer vi beredskapsforskriften og tar inn grunnsikring av IKT-systemer i denne, dernest har NVE utarbeidet en egen veileder for sikring av AMS og reviderer forskriftskravene til sikkerhet i AMS, forteller Bendiksen i forbindelse med rapport-lanseringen.
Som regel epost-vedlegg
Blant innrapporterte hendelser fremhever NVE at de fleste handler om tilfeldige feil og ikke målrettede angrep. Det er som regel ondsinnede epost-vedlegg som utløser problemene. Hendelsene har ikke fått alvorlige konsekvenser for forsyning av elektrisitet, men har likevel resultert i at systemene til bedriftene måtte gjenopprettes.
Rapporten lister avslutningsvis opp elleve konkrete tips for bedre sikring. På toppen av lista er sikkerhetsoppdatering av programvare og servere
Både dette med epost-vedlegg og utnyttelse av sårbarheter stemmer for øvrig godt med Nasjonal sikkerhetsmyndighets situasjonsoppfattelse. Også NSM er pertentlig på punktet om å ha oppdatert programvare.
– Hacking gjøres på samme måte nesten hver gang, sa NSMs IKT-sikkerhetsavedelingsdirektør Hans Christian Pretorius på Arendalsuka i fjor, med henvisning til skadelige vedlegg på epost og dårlige oppdateringsrutiner.
Les også: Hans Christian Pretorius savner det klassiske IT-driftsfaget
For få lærer av sine feil
I tillegg stilles det i rapporten spørsmål ved at såpass mange svarte «vet ikke» på spørsmål om hva som var medvirkende årsaker til at dataangrepet var vellykket. Hadde det vært mer kunnskap om dette, kunne man brukt kunnskapen til å lære av sine feil, sier rapporten.
Det er for øvrig, ifølge rapporten, «alt for få» som har gjort endringer i policy og rutiner etter angrep (21 prosent). 40 prosent har ikke gjort noen som helst endring i organisasjonen som resultat av hendelsen, og for øvrig har kun 18 prosent av virksomhetene investert i opplæringsprogram for de ansatte.
Tar på alvor
Energi Norge sier i en uttalelse at «næringen tar den økende trusselen på største alvor.» De sier selskapene er godt rigget for å kunne kjøre systemene manuelt om et agnrep skulle ramme driftskontrollsystemene. Samtidig er det få enkeltanlegg som er kritiske for forsyningssikkerheten, understreker organisasjonen.
Det er ellers et godt samarbeid med NVE på flere plan innenfor IKT-sikkerhet, melder Energi Norge.
– Vi deltar aktivt i NVEs sikkerhetsarbeid i forbindelse med innføring av smarte strømmålere, og har gitt vesentlige bidrag til NVEs arbeid med beredskapsforskriften. I vår utga Energi Norge en veileder om økonomisk kriminalitet, som blant annet gir råd og veiledning om digital sikkerhet, revisjon, internkontroll og oppfølging av leverandører, sier næringspolitisk rådgiver Ulf Møller i uttalelsen.