Seksjonen forskning består av saker som er skrevet av ansatte i Forskningsrådet, Sintef, NTNU og UiO.
Mørklegging av store byområder kan bli konsekvensen av IT-angrep mot kraftnettselskapene. (Bilde: Eirik Helland Urke)

IT-SIKKERHET

Norske nettselskaper øver ikke på IT-angrep

Sintef-forskere med nye anbefalinger.

  • Forskning

Fakta

  • NVE har nylig besluttet at IT-sikkerhetshendelser skal være med i nettselskapenes øvingsplaner, i tillegg til øvelser for brann, uvær og lignende. Dette er nå beskrevet i Beredskapsforskriften.
  • Anbefalinger:
    Ledelsen bør involvere seg i øvelsen
    Beredskapsøvelsen bør utarbeide en felles målforståelse
    All nødvendig kompetanse må være til stede i gruppa
    Øvelser bør gjennomføres ofte for å sikre at alle får deltatt
    Øvelsene bør ha et visst tidspress for å være realistiske
    Ha eksisterende dokumentasjon tilgjengelig under øvelsen
    Inkluder alle typer personell som har en rolle i en krisesituasjon
    Det må settes av tid til å øve

Internasjonalt har det vært en rekke angrep rettet mot energi- og nettselskaper. I fjor sommer kom det første anslaget mot norsk kraftbransje.  Det fikk nettselskapene til å glippe med øynene.

Men selv om trusselen om ondsinnede datainntrengere og mørklegging av Norge er overhengende, virker den norske kraftbransjen ennå ganske "laidback".

Les også: – En norsk kommune utsettes for 6000 dataangrep i døgnet

Tre øvelser ga erfaringer

– Vyene er store med tanke på innføringen av SmartGrid, men store teknologiske endringer og investeringer fører også til større sårbarhet. Dette må selskapene snart ta inn over seg, sier Maria Line ved SINTEF /NTNU.

Sammen med SINTEF-forsker Nils Brede Moe har hun nylig observert IT-beredskapsøvelser i tre nettselskaper. Disse selskapene gjennomførte en øvelse for første gang. Erfaringene som forskerne sitter igjen med, har munnet ut i en rekke anbefalinger.

Les også: Filmer vannstrømmen med 4000 bilder i sekundet for å gjøre turbinene mer effektive

Alle må delta i øvelsene

En hovedanbefaling er at alle som innehar en rolle i en reell hendelse, som ledelse og leverandører av IT-systemer, bør delta i øvelser.

– Det er en vanlig utfordring å få med øverste ledelse på øvelser – siden dette er travle folk med dårlig tid. Samtidig er det ille om de aldri har øvd siden de utvilsomt vil bli involvert i en reell situasjon, sier Moe.

– Et av selskapene vi snakket med, hadde for eksempel en avtale om å ringe og støtte seg på leverandøren hvis det oppsto en krise. Likevel var ikke leverandøren med i beredskapsøvelsen, sier Line.

Hun forteller at IT-sikkerhet ofte tenkes på som en "IT-greie", men at et angrep vil også ha sterk innvirkning på forretningssiden.

– På et eller annet tidspunkt kan det være riktig å stenge ned systemet for å begrense konsekvensene. I diskusjonen om når dette skal skje, er det viktig å ha både fageksperter og beslutningstakere samlet, sier hun.

Les også: Erstatter fem vindmøller med tre nye - nær dobler produksjonen

Utallige scenarier

Å øve på noe man ikke vet hva er, er vanskelig. Krisesituasjoner kan være så vidt forskjellige at det er viktig å trene på ulikheter.

Scenariet som ble brukt i studien, beskrev en hendelse som bygget seg opp gjennom fem steg. Først ble det avdekket unormalt mye IT-trafikk fra kontornettet ut på Internett.  Etter to uker ble selskapet kontaktet av leverandør av kontrollsystemer – det vil si systemet som styrer strømmen ut til produksjon. Det ble tatt kontakt på en uvanlig måte, med oppfordring om å installere en sikkerhetsoppdatering.

Tre måneder etter oppsto det strømbrudd i et boligområde uten at alarmen i kontrollsystemet ble utløst. I tiden som fulgte, kom det meldinger om flere mørklagte områder. I siste fase var både mobilnettet og Internett nede.

– Det ligger en klar utfordring i om de ansatte greier å avdekke sammenhenger ved hendelser som går over lang tid, sier Moe.

– Det er nødvendig å øve for å se at slike ting kan skje. At enkelthendelser over tid kan kobles sammen til en farlig sak, er igjen avhengig av rapportering og deling av informasjon.

Les også: Enova advarer: Slik må du ikke installere varmepumpen

Samspillet må fungere

– Det verste er om man øver på noen få scenarier mange ganger, eller at man ikke øver i det hele tatt, sier Line.

– Hvert scenario bør bare brukes en gang, ellers begrenses nytteverdien av øvelsen. Nye scenarier må derfor stadig utvikles.

Forskerne understreker at anbefalingene de kommer med, ligger litt fram i tid. I første omgang er det viktig at øvelser blir gjort – mer enn at de blir gjort på riktig måte.

Det aller viktigste, mener de, er å øve sammen- og å øve ofte for å få samspillet til å fungere. For å kunne ta gode beslutninger må man ha all kunnskap og riktig kunnskap tilstede. Derfor må alle involverte være tilstede.

Les også:

17-åring erkjenner dataangrep mot norske selskaper

DNBs nettsider utsatt for nettangrep igjen

Massivt dataangrep mot Nato