IKKE BEREDT: De færreste kraftselskap øver på terrorhendelser. Det må de bli flinkere til, mener NVE. (Bilde: Colorbox)

TERRORBEREDSKAP

Kraftselskap øver ikke på terrorangrep

Selv om de er pålagt det.

Kraftselskap plikter å gjennomføre årlige øvelser på hendelser de risikerer å bli utsatt for, inkludert terror. Det skjer ikke i dag.

– Kraftselskap har øvd i mange år. De øver på brann, eksplosjoner, uvær og havarier. Mange lager risiko- og sårbarhetsanalyser. Men norske kraftselskap, i det store og det hele, øver ikke på terror og andre tilsiktede hendelser i kraftnettet, sier spesialistingeniør Bjørn Axel Gran i konsulentselskapet Safetec, som jobber innenfor sikkerhet, beredskap og pålitelighet.

Større konsekvenser

En såkalt tilsiktet handling, hvor en eller flere personer går inn for å lamme deler av kraftsystemet, kan få langt mer alvorlige og omfattende konsekvenser en såkalt utilsiktet hendelse, som ekstremvær og brann.

Nylig fortalte Teknisk Ukeblad om en nylig offentliggjort amerikansk rapport som konkluderte med at et lite antall velinformerte personer kan forårsake katastrofale, langvarige konsekvenser, større enn skadene etter orkanen Sandy.

– Hvis noen vil lage trøbbel i kraftsystemet, finnes det uante muligheter. Meteorologene varsler om det blir storm. Terrorister varsler ikke et angrep. Angrepet kan pågå i lengre tid før det blir oppdaget, og angriperne kan sørge for at bedriftens planlagte mottiltak mot uønskede hendelser ikke virker som de skal, sier Gran, som i mange år har jobbet med sikkerhet, beredslap og pålitelighet for samfunnskritiske bedrifter og institusjoner.

Eksempelvis kan en påsatt brann få helt andre konsekvenser enn en såkalt utilsiktet brann.

Les også: – Kraftsystemet må ikke bli lavterskel-tilbud for terrorister

– Må bli flinkere

Norges vassdrags- og energidirektorat (NVE) bekrefter at kraftselskap stort sett ikke øver på tilsiktede hendelser, som for eksempel terror, hærverk eller hevnaksjoner fra utro tjenere, såkalte innsidere.

  De færreste øver på situasjoner med tilsiktede handlinger i dag. Kravet i beredskapsforskriften er at selskapene skal øve på hele risikobildet. Tilsiktede handlinger er en del av trusselbildet, og bransjen må bli flinkere til å i større grad ta den utfordringen, sier beredskapssjef Arthur Gjengstø i NVE.

SKJULT TERROR:- Det er vanskelig å oppdage terror om den kommer IKT-veien, mener spesialistingeniør Bjørn Axel Gran i konsulentselskapet Safetec Jannicke Nilsen

Krevende krav

Kraftselskap plikter å utarbeide risiko- og sårbarhetsanalyser (ROS-analyser), som skal sikre at selskapet har barrierer mot terror og uønskede hendelser. Analysene skal inkludere planer for det uventede, hendelser selskapene tror ikke kan skje, men som kan komme til å skje. Hendelser som har lav sannsynlighet, men høy konsekvens.

Safetec, som bistår blant annet kraftselskap med å arrangere øvelser, forebygge storulykker og kvalitetssikre ROS-analyser, opplever at beredskap er en utfordrende oppgave for mange kraftselskap.

– Prioriterer utbytte

– Mange er lavt bemannet, har mange oppgraderings- og fornyingsprosjekter foran seg, og mange vet nok ikke akkurat hvilke scenarier de skal øve på. Mange kraftselskap går så det suser økonomisk, men vårt inntrykk, etter å ha snakket med mange HMS-ledere om ROS-analyser, er at eierne prioriterer økt utbytte framfor dette, sier Gran.

Han peker på flere utfordringer for kraftselskapene, når de skal tenke sikkerhet og beredskap, som blant annet tilgangen på informasjon. Etter 22. juli er temaet blitt høyaktuelt.

Les også: En feil her vil true hele Nordens strømforsyning

Skjult eller åpen informasjon

– Hvem skal ha tilgang til telefonlisten over sikkerhetsvaktene? Hvem vasker rommet der SCADA-systemene står? Et kraftselskap la for eksempel ut beredskapsplanen sin på internett. Flott for alle som skulle vite om den, men den ble dermed også tilgjengelig for potensielle terrorister, som dermed fikk vite hvor de skulle møte opp i en krisesituasjon, forteller Gran.

Et annet selskap låste inn alle beredskapsdokumenter etter klokken 15.

– Men hva skulle de ansatte gjøre når en hendelse oppstod etter stengetid?

Betydelig økt risiko

Et annet felt som er blitt avgjørende for kraftsektoren å følge med på, er cyber-terror. Årsaken er at kraftsystemene blir stadig mer avanserte it-anlegg og kraftflyten styres digitalt .

NATO vurderer cyberangrep som en av de mest alvorlige truslene medlemsstatene står overfor.

DSB og Nasjonal sikkerhetsmyndighet (NSM) mener også at  risikoen for et større koordinert cyberangrep mot infrastruktur, som direkte eller indirekte påvirker norske samfunnsinteresser, har økt betydelig de siste par årene.

De tre siste årene har Safetec anbefalt kraftselskap å legge inn såkalte IKT-hendelser og andre tilsiktede hendelser i øvelsene.

– Det er vanskelig å oppdaget terror om den kommer IKT-veien, eller via en utro tjener. Få kraftselskap monitorerer datatrafikken, det vil si hvor stor trafikk de har på sine servere. Overvåker de trafikken, vil de lett kunne få indikasjon på om de er i ferd med å bli utsatt for et cyberangrep, sier Gran.

Les også: Slik kan hackere mørklegge Norge

Sikkerhetskultur

Konsulentselskapet utarbeider sjekklister for kraftselskapene ut i fra kravene i beredskapsforskriften, og lager indikatorer for hvordan selskapet ligger an i forhold til hvert enkelt punkt. Et trafikklys-system viser risikonivået til bedriften.

NVE mener imidlertid kraftselskapene fint kan utarbeide gode ROS-analyser på egen hånd, uten å hyre konsulenter. 

– En god eller dårlig ROS-analyse avhenger ikke av hvorvidt man har innhentet ekspertise, men hvor forankret sikkerhetstankegangen er i selskapet. Det har en verdi at alle er med, beredskapsarbeidet kan ikke settes bort til enkeltansatte, eller outsources til andre, poengterer Gjengstø.

Dårlige planer

ROS-analysene mange kraftselskaper leverer har ofte mangler. Kraftselskap er imidlertid ikke alene om å levere dårlige ROS-analyser.

I Nasjonalt risikobilde 2012, den årlige rapporten om nasjonal sårbarhet- og beredskap, konkluderer Direktoratet for sikkerhet og beredskap (DSB) med at det er betydelige mangler ved ROS-analyser og utarbeidelse av beredskapsplaner i norske kommuner.

Svært mange av kommunene har for eksempel ikke inkludert strømbrudd i beredskapsplanene.

2012-utredningen viste at mange av de kommunale vannverkene vil få problemer med trykk og rensing om kraftforsyningen faller bort, noe som kan føre til forsyningssvikt av drikkevann og påfølgende helseproblemer for befolkningen.

I den nye beredskapsforskriften NVE lanserte rett før jul strammer NVE inn kravet om kraftselskapenes risikoanalyser (ROS), som nå må gjennomgås minst en gang i året. I tillegg må selskapene nå evaluere beredskapstiltak og rutiner etter alle øvelser og hendelser.

Driftssentralene skal nå være døgnbemannet, og skal kunne bli oppbemannet ytterligere innen en time ved behov.

Les også:

Her henger 1,5 meter is rundt en tynn kraftledning  

Derfor har vi fortsatt flyalarm  

Sikrer seg mot "Space Dagmar"

Slik knuste nordmennene Stuxnet