Sikkerhet i kraftbransjen blir derfor desto viktigere å rette fokuset mot. Kraftindustriens sikkerhetsområder, og noen av truslene knyttet til disse er:
Fysisk sikring: Bygg og anleggssikring, sikring mot vær og natur, tilgangskontroll, overvåkning og kommunikasjonssikkerhet. De fremste trusselsituasjoner er tyveri, hærverk, sabotasje, terrorisme og trusler fra fremmede stater.
Personsikkerhet: Identitetssikring, reisevirksomhet, transport, risikoområder og opplæring. De fremste trusselsituasjoner her er ulykker i forbindelse med reiser eller arbeid, dårlige trent personell, og personell som får feil tilganger.
Informasjonssikkerhet: Sikring av fysisk og digital informasjon, sikkerhet i IT-systemer og cyber-sikkerhet. De viktigste truslene er informasjon på avveie (datatyveri fra fremmede stater eller andre med onde hensikter), inntrengning i IT-systemer for styring av kraftproduksjon eller distribusjon, brudd på personvern, tjenestenektangrep og ransomware.
De forskjellige rollene i kraftbransjen, fra toppleder til montør, fra teknolog til administrator, ser på sikkerhet forskjellig. Det er likevel noen hovedområder du bør forholde deg til uavhengig av din rolle. Her følger 8 anbefalinger som er avgjørende for å lykkes med sikkerhet i kraftbransjen:
1. Toppleders ansvar
Blir ansvaret delegert i virksomheten, for eksempel til en kvalitetssjef, økonomisjef eller lignende? Ikke risiker at sikkerhet kan bli nedprioritert. Ansvaret må ligge hos toppleder, med de riktige prioritetene for virksomheten.
2. Inkluder hele organisasjonen
Det er ikke tilstrekkelig at en toppsjef, kvalitetssjef eller sikkerhetssjef er høyt motivert og opplært til riktig sikkerhetsarbeid. Innenfor sine arbeidsoppgaver må alle ansatte både forstå, ha tilstrekkelig kunnskap om og være motivert for sikkerhetsarbeid. Forskjellen på en organisasjon som er godt involvert og en som ikke er det, er stor. Et lite sikkerhetsbrudd hos dine ansatte kan til slutt gi de mest alvorlige konsekvensene.
3. Samarbeid
Informasjonsbildet innenfor sikkerhet er stadig skiftende med stort behov for å følge med og være oppdatert. Som virksomhet alene kan det være utfordrende å klare dette, selv med tilstrekkelig kompetanse og erfaring. Samarbeid med sentrale aktører som KraftCERT, NSM og andre er grunnleggende. Samarbeid mellom like virksomheter, og med leverandører innen sikkerhet, er også like viktig for å lykkes med kontinuerlig sikkerhetsarbeid.
4. Oppdater og moderniser
Det er kjent at eldre teknologier har sikkerhetshull og sårbarheter. Derfor må du som virksomhet være tett på den raskt endrende utviklingen innenfor sikkerhetsteknologier. Fjern eller oppgrader derfor dine eldre IT-systemer. Husk at ett åpent sikkerhetshull i et IT-system knyttet til internett, kan være veien inn til andre systemer bak brannmurer.
5. Kontinuerlig sikkerhetsevalueringer
Evalueringer er nødvendig for å sikre god kvalitet på sikkerhetsarbeidet. Dette kan du gjøre selv, eller benytte ekstern hjelp. Eksempler er simulering av hendelser, såkalte «papirøvelser» og penetrasjonstesting. Du kan også gjennomføre aktiviteter som Risikogjennomganger, Capture the flag eller Red/Blue øvelser. Sikkerhetsprosedyrer må du også jevnlig gjennomgå. Alle slike aktiviteter bidrar til høy oppmerksomhet om trusler og sårbarheter.
6. Hva gjør du tilgjengelig på internett?
Dagens raske utvikling innen IoT (Internet of Things) medfører økt sårbarhet for brudd på sikkerhet innenfor de mest kritiske områdene. Sammenkobling av OT (operasjonell teknologi) og IT (informasjonsteknologi) gir svært mange forretningsmessige fordeler og verdier, men øker også sårbarheten betydelig. Her må din virksomhet være nøktern og grundig i hvilke områder du kobler opp.
7. Overordnet bilde og rask respons
Samling av informasjon er avgjørende for å forstå sårbarheter, men også for å kunne agere raskt ved trusler eller aktive hendelser. Men sikkerhetsarbeid i blinde gir lite verdi. Kontinuerlig monitorering av infrastruktur, IT og personell er derfor viktig. I tillegg må du ha tilstrekkelig analyse og filtrering for å kunne jobbe på det som er viktigst.
8. Ha planer tilgjengelig for hva du skal gjøre ved hendelser
Når hendelsen oppstår, blir det ofte en kaotisk situasjon der behov for informasjon er stort. De riktige aktørene må møtes, og de riktige beslutninger må gjennomføres raskt. Har du planer og struktur for slike hendelser, vil arbeidet gå raskere i gang, og tiden frem til virksomheten din er på plass igjen i drift blir kortere. Stikkordene her er beredskapsplaner, business continuity og disaster recovery
Oppdaterte trusler de siste månedene
Siste måneders situasjon i Europa har gitt betydelig økt trusselsituasjon mot kraftbransjen. Her får du en kort oppsummering av nylige hendelser:
- Installasjoner, som for eksempel Equinor, blir overvåket av droner. Det må antas at det foregår en kartlegging av kraftbransjens infrastruktur, både ved hjelp av åpne offentlige kilder, kartlegging fra drone, fysisk innbrudd og datatyveri. Bransjen bør være oppmerksom på slike trusler, og iverksette beskyttelse i større grad enn tidligere.
- En av BKK sine trafostasjoner ble nylig utsatt for forsøk på sabotasje fra egen ansatt. Nylig ble også jernbanenettet i Tyskland utsatt for sabotasje som medførte flere timers togstans i Nord-Tyskland. Fysisk tilgang til sentral infrastruktur må derfor begrenses og kontrolleres i større grad.
- Det er kraftig økende cyberoperasjoner mot infrastruktur i flere land. Det antas at slike operasjoner har som hensikt å både kartlegge, men også legge grunnen for senere mulige aktive angrep. Virksomheter i kraftbransjen anbefales derfor å bygge økt motstandsevne mot slike angrep.