Flere initiativer har fokus på at styrke nationalt samarbejde. På længere sigt skal der bl.a. ske etablering af en decentral sektorbestemt cyber- og informationssikkerhedsenhed (DCIS) samt udvikling af fælles retningslinjer og best practices.
Andre initiativer kan alle energi- og forsyningsvirksomheder gå i gang med på egen hånd, eksempelvis følgende:
# Initiativ 3, Krav til leverandørforhold
Krav til cybersikkerhed for leverandører er ikke lovfastsat, og ansvaret for sikkerheden ved brug af leverandører ligger hos ejeren af en energivirksomhed. Der peges på, at leverandører af samfundskritiske ydelser, fysisk udstyr og software som fx industrielle kontrolsystemer udgør en vital del af infrastrukturen bag den danske forsyning af energi, hvorfor utilstrækkelig sikkerhed i leverandørleddet kan udgøre en stor risiko for energivirksomheden.
Mens udformning af fælles standarder pågår, kan energivirksomheden skabe sig et overblik over, hvordan spørgsmålet håndteres i virksomheden, og graden af afhængighed. Hvilke aftaler foreligger, hvem sikrer og vurderer, om aftaler overholdes, og hvem laver eventuelt audit på leverandøren? Energivirksomheden kan fx også vurdere sin egen administration af leverandørers brugerrettigheder, udstrækningen af fjernadgange, og om der fx består permanent fjernadgang, eller om den etableres på ad hoc-basis.
# Initiativ 6, Uddannelse
Dette initiativ kredser om at sikre et højt niveau af viden om cybertrusler i energivirksomheden blandt medarbejdere, samt at ledelsen faciliterer en løbende risikostyring, der sikrer, at cybersikkerhed og -uddannelse er på dagsordenen i virksomheden. Det påtænkes at etablere tværsektorielt samarbejde på sigt. Men baseret på, at de fleste undersøgelser viser, at medarbejdere udgør den største årsag til virksomhedens kompromittering, er det EY’s anbefaling, at man ikke afventer, men straks etablerer cyber- og informationssikkerheds-awareness-uddannelse for både nye medarbejdere og løbende, hvis det ikke allerede er gjort.
# Initiativ 10, Den sikre medarbejder
I forlængelse af initiativ 6 lægges der op til at give ekstra træning til de medarbejdere, der opsætter og betjener it-systemer, netværkssystemer, forsyningskritiske systemer m.m.
Initiativet har også fokus på at:
- udarbejde procedurer for sikkerhedsgodkendelse af medarbejdere, der skal have adgang til kritiske systemer
- forbedre administration af brugerrettigheder til de kritiske systemer.
Alle er dog elementer, som energivirksomheder straks kan påbegynde optimering af.
# Initiativ 7, Sikring af digitale komponenter – Industrial IoT
Det sidste initiativ, som vi vil fremhæve her, vedrører det øgede fokus på digitalisering af forsyningskritiske systemer og produktionsapparat og den voksende brug af IIoT (Industrial Internet of Things). Med fremkomsten af IIoT i de kritiske netværk kobles disse potentielt på internettet, hvilket udfordrer sikkerheden. Formålet er at generere forskellige typer af data (fx temperaturer, tryk, hastighed m.m.), så produktionen kan fungere optimalt, og så fx vedligeholdelse modnes fra Reactive – Preventive – Condition-based til en Predictive-tilgang. Som beskrevet i tidligere artikler her er produktionsanlæg ofte traditionelt ikke designet med mange muligheder for fx sikkerhedsopdateringer, password m.m.
Også på dette område kan energi- og forsyningsvirksomheder øge fokus parallelt med arbejdet i regi af initiativgruppen.
EY følger arbejdet og vil løbende skrive herom.
Kontakt os
Hvis du har kommentarer eller lyst til i en uforpligtende samtale at drøfte, hvordan man kan komme i gang med ovenstående, er du velkommen til at kontakte os.
Henriette Brandstrup, tlf. 2529 3543