– Hvis strømmen forsvinner, går samfunnet kjapt i oppløsning

Hvis hackere skulle få landet til å gå i svart, er det ikke bare bygninger, gatelys, tog og telekommunikasjon som ville slutte å virke. Heller ikke sykehus ville kunne driftes, betalingssystemet ville slutte å fungere og vannforsyningen ville stoppet opp.

– Hvis strømmen forsvinner går samfunnet kjapt i oppløsning. Fra naturkatastrofer vet vi at det oppstår kaos når siviliserte samfunn er uten strøm i en lengre periode. Det er derfor et sterkt våpen å skru av strømmen, og vi kjemper hver dag for at det ikke skal skje, sier Jørgen S. Christiansen som er forsknings- og teknologidirektør i Dansk Energi.

Naboen vår i sør ligger helt i toppen når det kommer til forsyningssikkerhet og balansering av elnettet. Faktisk har det danske energisystemet for tredje året på rad blitt kåret til verdens beste foran 124 andre land. Det kommer frem i en undersøkelse som er gjennomført av FN-organisasjonen World Energy Council. Organisasjonen baserer resultatene sine på hvor pålitelig, tilgjengelig og bæredyktige energisystemene er.

– På 1990-tallet ble det konstatert at det danske energisystemet var relativt sårbart i storm. Derfor ble det investert i kabellegging av hele distribusjonsnettverket og lavspentnettet. Sammen med en høy vedlikeholdsstandard har kablene bidratt til at Danmark i dag har en oppetid på 100 prosent, sier Christensen.

I motsetning til 1990-tallet er i dag store deler av sektoren digitalisert og det innføres stadig nye og smartere løsninger. Men med økt digitalisering øker også risikoen for hackerangrep.

– Når man digitaliserer et system, innfører man også en potensiell risiko hvis ikke cybersikkerheten er i orden. Nye digitale komponenter, som finnes både hos privatkunder og i bedrifter, bidrar til energisektorens effektivitet og grønne skifte. Digitaliseringen utfordrer også det tradisjonelle elnettet. Og det er nettopp denne delen av digitaliseringen som bekymrer oss, da vi ser at hackerne kontinuerlig forsøker å komme seg inn i el-systemet, sier Christensen.

Også her hjemme i Norge har det blitt satt økt fokus på sikkerhet og beredskap i kraftforsyningen. 1. januar trådte den nye kraftberedskapsforskriften i kraft. Her er blant annet nye krav til IKT-sikkerhet styrket.

Har ikke oversikt

Thomas Hovmand Larsen er salgssjef i Siemens Smart Infrastructure og er ofte ute hos kunder. Han mener det er et stort behov for å styrke dagens innsats og at det er spesielt to områder som trenger økt fokus fremover:

– Overordnet er det de ansatte og it-utstyret som fører til brister i sikkerheten. For bare få år siden var det færre digitale enheter i strømselskapene, men den teknologiske utviklingen har gått fort. Det er viktig at medarbeidernes bevissthet og utdannelse innen cybersikkerhet også følger samme tempo. I tillegg er det ofte koblet til store mengder it-utstyr som er fem til ti år gammelt og som fortsatt mangler programvareoppdateringer. Det kan for eksempel være digitale enheter på en hovedtransformatorstasjon. Dette er noe vi ser igjen og igjen, sier Larsen og fortsetter:

– Jeg kan komme på besøk til en kunde som har 3000 digitale enheter og si til dem at en del av softwaren er sårbar. Da har jeg flere ganger opplevd at de er i tvil om hvilke av deres digitale enheter som faktisk bruker denne programvaren. De har rett og slett ikke oversikt.

Han forteller at det heldigvis finnes det nå software-programmer som løpende analyserer versjonene som benyttes i de ulike digitale enhetene på hovedtransformatorstasjonene.

Hundretusener sto uten strøm

Tilbake i desember 2015 klarte hackere å lamme store deler av det ukrainske elnettet. I flere timer sto så mange som 225.000 kunder uten strøm. Blant annet ble deler av den vest-Ukrainske storbyen Ivano-Frankivsk med 1,4 millioner innbyggere rammet. Hackerne klarte å komme seg inn i elnettet med skadeprogrammer via epost-phishing til en rekke strømselskapers programvaresystemer.

Christensen mener at det ukrainske eksempelet viser de store utfordringene knyttet til cybersikkerhet i energisektoren og at det kan være kompetente statsmakter som kan stå bak angrepene, i motsetning til amatører.

– Jeg kan ikke forestille meg et scenario hvor hele landet blir mørklagt i flere dager på grunn av et hackerangrep, men områder kan kunne bli mørklagt over lengre perioder. Vi har sett hva som skjedde med Mærsk, som er et stort og kompetent selskap, da de ble angrepet.

Må skje en kulturendring

Larsen fra Siemens mener at samme hackerangrep som man så i Ukraina kan finne sted i Norden, og at det derfor er viktig at energisektoren intensiverer investeringer i sin sikkerhet.

– Et større fokus på it-sikkerheter betyr at det også må skje en nødvendig sammensmelting mellom administrativ it og operasjonell teknologi (OT). Det hjelper lite om en it-ansatt og tekniske ansatte ikke har en felles forståelse for it-sikkerhet, sier Larsen.

Han mener at denne sammensmeltingen går for sakte.

– I dag skaper det store utfordringer at it og OT-avdelingene ofte er adskilte. Når vi er ute hos selskapene snakker vi typisk med ingeniører fra OT-avdelingene. Når vi nevner it-sikkerhet i forbindelse med de digitale enhetene som skal integreres, blir vi ofte henvist til it-avdelingen. Vi blir derfor fort en ball som kastes mellom avdelingene, og det betyr at it-sikkerheten på driften ikke er optimal. Det må rett og slett en kulturendring til for å endre den nåværende silo-oppfattelsen.

For å kunne være forberedt mot hackere, kreves det at energisektoren og leverandørene av utstyr samarbeider allerede fra starten av. Larsen mener det er viktig å se på dette allerede fra produksjonsstart, og ikke bare som et ekstra lag som skal implementeres når det tekniske systemet er satt opp.

Artikkelen er produsert av DNX og Børsen Creative på oppdrag for Siemens.