Datainnbrudd er for lengst blitt et hett tema verden over, bare for noen dager siden ble det norske selskapet Norkart rammet. Hjemlig ekspertise har advart om at Ukraina-krigen øker faren for cyberangrep mot Norge.

Midt oppe i dette har vi gjort studier som gir klar beskjed: Folk med ansvar for kritisk infrastruktur – alt fra transport- til energisystemer – har nå et akutt behov for enkle metoder og sjekklister til å analysere hackerfaren.

Gencer Erdogan
Gencer Erdogan (Foto: Werner Juvik)


Som forskere på feltet har vi noen forslag til hvordan disse tjenesteyterne kan få verktøyet de trenger. Bakgrunnen er tredelt:

  • Viktig infrastruktur digitaliseres mer og mer. Samfunnskritiske anlegg som strømnett, oljeplattformer og sykehus kan ikke lenger ses isolert fra internett.
  • Utdannelse av spesialister på cybersikkerhet er tid- og ressurskrevende. Slike fagfolk er derfor en knapphetsressurs.
  • Arbeidsoppgaver digitaliseres i økende grad – eksempelvis planlegging av nye strømnett. Dermed har it-sikkerhet fått økt relevans for stadig flere medarbeidere i infrastruktursektoren.

Med dette som bakteppe har vi i Sintef dybdeintervjuet et knippe medarbeidere fra strømnettselskap og organisasjoner i nettbransjen. Det hele som ledd i en studie ved forskningssenteret Cineldi – et «landslag» for smarte strømnett som Forskningsrådet, næringsliv og institutt/universitetssektoren spleiser på.

Inger Anne Tøndel
Inger Anne Tøndel

Svarene viser at kraftbransjen trenger enkle metoder og sjekklister som ikke-eksperter kan bruke til å analysere cyberrisiko. Det samme gjelder også i andre deler av infrastruktursektoren, viser tidligere studier Sintef har gjort.

Disse behovene skyldes ikke minst at digitaliseringsbølgen har gjort cybersikkerhet relevant for langt flere beslutninger enn før. Det er nettopp derfor ikke-cybereksperter nå må ta del i sikkerhetsvurderingene.

It-systemene vi snakker om, er dessuten så komplekse at eksperter på cybersikkerhet ofte ikke kan vurdere sikkerhetsrisikoen alene. I energiforsyningen, for eksempel, krever dette kompetanse både på cyber og på strømnettet/elkraft. Få har begge disse ferdighetene.

Som ved all annen risikoanalyse handler også cyberanalyser om å vurdere sannsynligheter for og konsekvenser av uønskede hendelser. Til dette ønsker ikke-ekspertene seg metoder og verktøy som er lette både å forstå og bruke.

Behovet gjør seg gjeldende ikke bare i små virksomheter, som det er mange av i energisektoren. Også store aktører trenger slike hjelpemidler.

Slik vi ser det, er det relevant hjelp å hente i flere «verktøykasser» som alt er laget for andre formål.

For det første: Det ligger trolig verdifulle læringsmuligheter i de tilnærmingene som næringsliv og organisasjoner valgte innenfor personvernsanalyse under GDPR-reformen.

EUs personvernforordning (på engelsk General Data Protection Regulation, forkortet GDPR) ble innført i mai 2018 for å styrke personvernet i Europa ved behandling av personopplysninger. Riset bak speilet var skyhøye bøter.

I den forbindelse utarbeidet EU såkalte «privacy-standarder». Disse lister opp eksempler på hva foretak/organisasjoner må vurdere for å forstå om en personvernsanalyse virkelig trengs eller ikke. Disse er relevante for tenkemåten som gjelder ved vurderinger også av cybersikkerhet.

For det andre: Vi tror tilsvarende læringseffekter kan oppnås ved å tilpasse en analysemetode vi i Sintef allerede har utviklet for programvareutviklere.

For slike utviklere er marerittet at programmer skal få flere brukere samtidig enn forutsatt. Eller at brukerne gir systemet tyngre oppgaver enn det er laget for. I begge tilfeller vil programmet knele.

For disse utviklerne har vi utviklet metodikk som viser allerede på «tegnebrettet» hva som kan gå galt: Det vil si hvilke arbeidsoppgaver som kan få programmet til å krasje, om oppgavene ikke vies nok oppmerksomhet i utviklingsfasen.

Det hele inspirert av sorteringsmetoder militærleger utviklet i første verdenskrig for å se hvilke skadde som ville ha størst utbytte av øyeblikkelig hjelp.

Med tilsvarende tilnærming er det trolig mulig å lage metoder som vil hjelpe infrastruktursektorens menige «frontsoldater»: Vise dem de delene av cyberforsvarsverkene de må forsterke, og hvilken del av forsvarsmuren som kan forbli slik den er.

Kanskje finnes også andre kimer til analyseverktøyet som trengs. Uansett hvor løsningen måtte ligge, oppfordrer vi industri og forskningsinstitusjoner til å jakte på den. Det haster. Kritisk infrastruktur, inklusive offentlig forvaltning og helsevesenet, trenger nå vern mot cyberangrep som i verste fall kan ha fatale konsekvenser for hele samfunnet.

Det haster. Kritisk infrastruktur, inklusive offentlig forvaltning og helsevesenet, trenger nå vern mot cyberangrep

(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.