Ola Hermansen og Kristin Bjella fra advokatfirmaet Hjort mener mange aktører i bransjen undervurderer sårbarhetene i systemene sine. Her sammen med Margrete Raaum, daglig leder i KraftCERT (til venstre). Foto: Gunhild Haugnes
Ola Hermansen og Kristin Bjella fra advokatfirmaet Hjort mener mange aktører i bransjen undervurderer sårbarhetene i systemene sine. Her sammen med Margrete Raaum, daglig leder i KraftCERT (til venstre). Foto: Gunhild Haugnes

Forskriften som maner til kamp mot cyberangrep

Digitalisering er på full fart inn i alle kriker og kroker av energisektoren. Samtidig preges bransjen av oppkjøp, fusjoner og vekst av antall små underleverandører. Dette øker sårbarheten og skaper store utfordringer for sikkerheten.

Publisert: 30. August 2019, 13:30  
Oppdatert: 02. September 2019, 14:06

ADHJ RETT KRCER CYB DATA NOR

Tidligere i år kom en revidert versjon av kraftberedskapsforskriften med nytt og omfattende regelverk, som skal være mer tilpasset den nye sikkerhetsvirkeligheten som følge av digitaliseringen. Kravene til digital sikkerhet er skjerpet.

Bakgrunnen for revideringen av forskriften er å rigge kraftsektoren for ekstreme situasjoner og sørge for forsyningssikkerheten i nettet, også i den digitale tidsalderen. At sektoren hele tiden er under angrep er det heller ingen tvil, og med økt digitalisering er det flere veier inn for angriperne.

Dette har også gitt nye oppgaver for jurister.

– Vi ser at mye av det nye regelverket ikke er godt kjent i bransjen. Kunnskapen er varierende, og mange undervurderer sårbarheten i systemene sine, sier partner Kristin Bjella, spesialist i energirett i advokatfirmaet Hjort.

   

Systemer smelter sammen

Advokatfirmaet holdt onsdag et seminar om digital sikkerhet ved anskaffelser i energibransjen.

– Digitaliseringen gjør at ytre systemer i anlegg og enheter smelter sammen med administrative systemer, og det er økt samspill mellom aktørene i bransjen. Dette gjør driften mer effektiv, men øker også sårbarheten, sier Hjort-advokat Ola Hermansen. Han er spesialist innen energirett og IKT-sikkerhet og har tidligere jobbet med dette feltet i NVE.

Han påpeker at den reviderte forskriften stiller strengere krav til sikkerhetsarbeidet for aktørene i bransjen, de som eier eller driver anlegg og systemer.

– De får et bredere ansvar enn tidligere. Det handler om alle ledd i anskaffelser. Det betyr blant annet at man har ansvar for det som outsources, leveres av konsulenter og underleverandører.

Han påpeker at sikker strømforsyning er helt nødvendig for samfunnet, for liv og helse. I tillegg kan eventuelle brudd gå utover aktørenes omdømme

Myndighetene vil også gjennomføre tilsyn og kontroll. Ved brudd er det ulike straffereaksjoner, som omfatter alt fra enkle pålegg til anmeldelse og bøter på flere millioner kroner. Og det er ledelsen hos den aktuelle kraftaktøren som har ansvaret hvis noe skjer.

   

Viktige paragrafer

Hermansen trekker spesielt fram paragrafene 6-1 – 6-5  som handler om informasjonssikkerhet og taushetsplikt ved kraftsensitiv informasjon, mens paragraf 6-9 dreier seg om plikten til å sikre alle IKT-systemer, også tjenesteutsatte systemer.

– Her kommer det fram at selskapet, aktøren, har ansvar for absolutt alle systemer. Det er viktig å notere seg at kravet til grunnsikring også gjelder alle administrative systemer, og systemer fra underleverandører, sier Hermansen.

Han mener det er viktig å stille seg flere spørsmål knyttet til sikkerheten. Hvordan håndteres mobile enheter? Oppdateres programvaren i alle enheter som er tilknyttet systemer? Er applikasjonen og leverandøren pålitelig? Kan mobiltelefonen spores?

Han nevner også paragraf 7-10 som handler om eksterne tilkobling til driftskontrollsystemer, som en viktig bestemmelse for leverandører til energiselskapene.

   

Oppkjøp, fusjoner, småselskaper

Bjella påpeker at bransjen også er i endring på andre måter, med mye oppkjøp og fusjoner.

– Dette kan også være utfordrende for sikkerheten. Selskapene som slås sammen kan ha ulike systemer og ulikt sikkerhetsnivå. Hvordan håndterer man dette, skal man for eksempel velge et av de eksisterende systemene eller innføre et nytt.

Det dukker også opp mange små selskaper som kan levere ulike produkter og tjenester. Sikkerhetskunnskapene hos disse kan variere.

– Det er viktig å se på informasjonsflyten når man anskaffer systemer. Får man nok informasjon fra leverandøren? Har man god nok kontroll med sårbarheten?