Ny rapport: Norsk energiforsyning er veldig avhengig av IT-leverandørene

– I 2016 fikk NVE rapportert inn 12 IKT-hendelser.

Sårbarhetsutfordringene innen IKT-sikkerhet i norsk energiforsyning er størst i de administrative systemene og er preget av at virksomhetene er sterkt avhengige av IT-leverandørene. Dette viser en ny NVE-rapport som ble sluppet i dag.

– I 2016 fikk NVE rapportert inn 12 IKT-hendelser. Selskapene er pålagt å rapportere inn ekstraordinære hendelser, men dette gir ikke et komplett bilde. NVE stilte seg selv derfor følgende spørsmål: Hva er den digitale sikkerhetstilstanden i norsk energiforsyning og hvordan vil denne utvikle seg over tid? sier avdelingsdirektør for tilsyn og beredskap, Ingunn Åsgard Bendiksen.

Nærmere 70 prosent av de 350 virksomhetene som fikk spørreskjema melder om at de har hatt uønskede IKT-sikkerhetshendelser som for eksempel bedrageri over internett, datavirus og skadevare. Hendelsene rammer primært administrative systemer.

Funn fra inntrengingstester hos tre nettselskaper antyder at mange sårbarheter kunne vært unngått ved bedre leverandørkontroll, økt fokus på sikkerhetsoppdatering av operativsystemer og programvare, samt bedre rutiner for å avvikle tjenester som ikke lenger er i bruk.

– 70 prosenter et høyt tall, og viser at kompetanse på dette området er viktig for alle i bransjen, sier Åsgard Bendiksen.

Menneskelig feil og mangel på sikkerhetsbevissthet hos ansatte bidrar til at hendelser oppstår hos flere av virksomhetene. Inntrengingstestene antyder også at det er krevende å holde oversikt over en kompleks infrastruktur og å være tilstrekkelig profesjonell på sikkerhet ved innkjøp av IT-tjenester.

Funnene i rapporten understreker nødvendigheten av å heve nivået på grunnsikring av alle digitale systemer i bransjen, og særlig i administrative systemer.

Rapporten bekrefter viktigheten av at det fortsatt er fokus på sikkerhet i AMS, spesielt siden AMS er mer utsatt fra nettselskapenes administrative systemer enn driftskontrollsystemene og samtidig har funksjonalitet for utkobling av strømkunder.

Resultatene viser også et behov for kompetanseheving, veiledning og revisjoner når det gjelder utsetting av IT-tjenester. Det er viktig å ha eget personell med tilstrekkelig kapasitet og kompetanse, uavhengig av hvilken IT-driftsmodell virksomheten har valgt.

– NVE har gjort flere tiltak: for det første reviderer vi beredskapsforskriften og tar inn grunnsikring av IKT-systemer i denne, dernest har NVE utarbeidet en egen veileder for sikring av AMS og reviderer forskriftskravene til sikkerhet i AMS, understreker Åsgard Bendiksen.

FOU-prosjektet «Informasjonssikkerhetstilstanden i energiforsyningen» har pågått i hele 2017. NVE satte ned en egen arbeidsgruppe med deltakere fra bransjen, bransjeforeninger, KraftCERT, NSM og NVE for å arbeide med prosjektet. Prosjektet har innhentet data gjennom spørreundersøkelse og casestudier i form av inntrengingstester.

Rapporten kan lastes ned her.