Hopp til innhold

Ny rapport peiker på svakaste punkt: – I verste fall så sit me der utan straum

Både NVE og bransjen bør ta grep for å sikra kraftnettet best mogleg mot dataangrep. Det er konklu­sjonen i ein ny rapport.

Strømkabler/ linjer

I Noreg er det krav om at kraftforsyninga skal kunne driftast manuelt. Likevel blir eit dataangrep som slår ut straumnettet sett på som eit «worst-case scenario».

Foto: Svein Sundsdal / NRK

Den siste tida har nyheitene om dataangrep nærmast stått i kø. Og angrepa har i større grad fått konsekvensar i kvardagen til folk.

Amedia blei råka var det tusenvis av abonnentar som ikkje fekk lokalavisa i postkassen. Nortura-angrepet førte til kjøtmangel i butikkar.

Men kva om dataangrep gjorde at du ikkje fekk straum i stikkontakten din?

Dette er ei simulering av dataangrep rundt om i verda på eit gitt døgn i desember. Illustrasjonen syner ulike angrep som for eksempel automatiserte forsøk på e-postsvindel.

Det verste scenarioet

I Noreg er det krav om at kraftforsyninga skal kunne driftast manuelt, men dataangrep mot straumnettet blir likevel sett på som ein reell og alvorleg trussel, som kan få alvorlege følgjer.

– Det verst tenkelege scenarioet er at straumen blir kopla ut. Det går utover privatpersonar, samfunnet og samfunnstryggleiken vår, seier doktorgradsstipendiat ved UiO innan datatryggleik, Sigrid Selnes.

Derfor jobbar både bransjen og staten for å unngå dette scenarioet.

Sigrid Selnes

Sigrid Selnes jobbar med ei doktorgrad om risikostyring av 5G-nettverk. Ho har vore med på å laga ein eksternrapport for NVE om datatryggleik i kraftbransjen.

Foto: Privat

Likevel: I mars i fjor fekk NVE kritikk frå Riksrevisjonen for å ikkje jobba godt nok på området. Dei har som følgje av dette sett i gang eit arbeid med å finna ut kva som kan bli betre.

Det svakaste punktet

I dette arbeidet har Sigrid Selnes vore med å skriva ein eksternrapport for NVE, som kom ut i desember.

– Det er ikkje lenger snakk om viss eit angrep skjer, men når det skjer, seier ho om kor reell trusselen mot kraftbransjen er.

Her blir det spesielt peika på ein veikskap: Fysiske datakomponentar, programvarer og skytenester som kraftselskapa kjøper inn frå eksterne leverandørar.

Desse kan fungera som bakdører inn til kraftselskapa sine datasystem.

– Dei fleste selskap i Noreg er så små at dei ikkje kan laga system eller utvikla komponentar sjølv. Derfor bestiller dei komponentar og tenester frå leverandørar i heile verda, seier Selnes.

Mange angrepsflater

Resultatet blir ei lang kjede av leverandørar og underleverandørar.

– Denne kjeda kan gi mange angrepsflater for nokon som vil ramma straumnettet, seier Selnes.

Og det er på dette området bransjen må bli betre, og NVE må føra meir tilsyn og gi betre rettleiing, ifølgje dei som står bak rapporten.

– Det handlar om å skaffa seg ein god oversikt over leverandørkjedene. Dei som jobbar med å bestilla dette må jobba godt med IKT-tryggleik. I tillegg bør NVE laga ei sjekkliste for leverandørane, som dei kan bruka, seier Sina Rebekka Moen, som studerer datatryggleik ved UiS, ho har også vore med på å laga rapporten.

Ho meiner også det er viktig at bransjen trenar seg på korleis dei skal handsama dataangrep.

– I verste fall så sit me der utan straum. Ein del kritiske funksjonar kan bli hjelpte med aggregat, men dei varer ikkje evig, seier Moen.

Sina Rebekka Moen

Sina Rebekka Moen er student på Universitetet i Stavanger si linje for samfunnstryggleik. Ho har også vore med på å skriva rapporten som Universitetet i Stavanger og NTNU har laga oppdrag for NVE.

Foto: Privat

Skremd av alle angrepa

Hos kraftselskapet Lyse er Jens Kristian Roland leiar for cybertryggleik. Dei måtte seinast ta grep då det norske IT-selskapet Volue blei råka av dataangrep i mai. Heldigvis fekk det ingen konsekvensar for kraftselskapet.

Roland liker ikkje dei stadige nyheitene om nye vellukka dataangrep. Han seier det er skremmande.

– Det har vore veldig mange saker nå, og den siste tida er det mange alvorlege sårbarheiter som har blitt avdekka. Det tar me i Lyse på største alvor, seier Roland.

Han er samd i at leverandørkjeda er det svakaste punktet, og legg til at dei i løpet av dei siste åra har investert mykje pengar for å bli betre på dette området.

– Me er knallharde mot leverandørane våre når det kjem til krav og dokumentasjon. Kundane som får straumleveranse frå oss skal vite at me jobbar veldig hardt med cybertryggleik, seier han.

NVE tar grep

Roland meiner NVE har tatt tak etter kritikken kom frå Riksrevisjonen, noko han er glad for.

Eldri Naadland Holo

Seksjonsleiar i NVE, Eldri Naadland Holo, seier at dei skal vurdera kva tiltak dei skal gå vidare med.

Foto: NVE

– I november hadde dei IKT-tilsyn hos oss i Lyse. Det gjekk bra, men det er alltid småting som kan bli betre, seier han.

Eldri Naadland Holo er seksjonsleiar i NVE. Ho har ansvar for jobben som har føregått på datatryggleik-sida etter dei fekk kritikk i mars.

Ho er nøgd med at det har kome innspel til korleis dei kan jobba betre, og seier at dei nå skal vurdera kva tiltak dei skal gå vidare med.

Ho håper også at arbeidet deira gjer at bransjen også tar trusselen på alvor.

– Bransjen må jobba meir med IKT-tryggleik. Det er ein del enkle tiltak som det bør jobbast meir med, slik at ein sikrar seg mot uønskte hendingar. Ein føresetnad for å få dette til er at ein må ha fullstendig oversikt over kva system og utstyr verksemda bruker, seier Naadland Holo.

Flere nyheter fra Rogaland