Fra it-problem til forretningsproblem

Øget fokus på cyber- og informationssikkerhed i energi- og forsyningssektoren.

Den 7. januar 2019 kom en specifik delstrategi for cyber- og informationssikkerhed for energisektorerne, der følger op på regeringens nationale strategi for cyber- og informationssikkerhed, der blev lanceret i 2018.

I 2018 trådte et EU NIS-direktiv i kraft, der skal styrke cyber- og informationssikkerheden på en række områder, bl.a. sektorerne for el, gas og olie samt vandforsyning. NIS står for net- og informationssikkerhed, og regeringens nationale strategi for cyber- og informationssikkerhed 2018-2021 fra maj 2018 udspringer af NIS-direktivets art. 7.

Den nye specifikke delstrategi inkluderer i princippet kun el, gas og varme, men det er EY’s erfaring og vurdering, at også fx olie- og vandforsyningsaktører med fordel kan og bør tage strategiens fokusområder til sig.

Paletten af initiativer fordrer, at cyber- og informationssikkerhed ikke håndteres af it-afdelingen alene, men at initiativerne nødvendigvis må forankres i topledelsen. Krav om øget cyber- og informationssikkerhed går ikke over og skal derfor indarbejdes som en integreret del af såvel it- som forretningsstrategier.

Delstrategiens væsentlige konklusioner og initiativer

Delstrategien peger på, at de største sårbarheder på energiområdet i 2017 sås i:

• Styresystemer til energisystemer, fordi elementer i disse fx ofte kun udskiftes sjældent, og systemopdateringer ikke altid er mulige.
• Styring af eksterne leverandører, fordi kompromittering af energivirksomheden kan ske via en leverandør, der måske har et lavere sikkerhedsniveau.

Imødegåelse af bl.a. disse sårbarheder ses afspejlet i delstrategiens 10 initiativer, der har fokus på at styrke energivirksomheden før, under og efter et angreb.

De 10 initiativer er organiseret under nedenstående overskrifter.

Flere initiativer har fokus på at styrke nationalt samarbejde. På længere sigt skal der bl.a. ske etablering af en decentral sektorbestemt cyber- og informationssikkerhedsenhed (DCIS) samt udvikling af fælles retningslinjer og best practices.

Andre initiativer kan alle energi- og forsyningsvirksomheder gå i gang med på egen hånd, eksempelvis følgende:

# Initiativ 3, Krav til leverandørforhold
Krav til cybersikkerhed for leverandører er ikke lovfastsat, og ansvaret for sikkerheden ved brug af leverandører ligger hos ejeren af en energivirksomhed. Der peges på, at leverandører af samfundskritiske ydelser, fysisk udstyr og software som fx industrielle kontrolsystemer udgør en vital del af infrastrukturen bag den danske forsyning af energi, hvorfor utilstrækkelig sikkerhed i leverandørleddet kan udgøre en stor risiko for energivirksomheden.

Mens udformning af fælles standarder pågår, kan energivirksomheden skabe sig et overblik over, hvordan spørgsmålet håndteres i virksomheden, og graden af afhængighed. Hvilke aftaler foreligger, hvem sikrer og vurderer, om aftaler overholdes, og hvem laver eventuelt audit på leverandøren? Energivirksomheden kan fx også vurdere sin egen administration af leverandørers brugerrettigheder, udstrækningen af fjernadgange, og om der fx består permanent fjernadgang, eller om den etableres på ad hoc-basis. 

# Initiativ 6, Uddannelse
Dette initiativ kredser om at sikre et højt niveau af viden om cybertrusler i energivirksomheden blandt medarbejdere, samt at ledelsen faciliterer en løbende risikostyring, der sikrer, at cybersikkerhed og -uddannelse er på dagsordenen i virksomheden. Det påtænkes at etablere tværsektorielt samarbejde på sigt. Men baseret på, at de fleste undersøgelser viser, at medarbejdere udgør den største årsag til virksomhedens kompromittering, er det EY’s anbefaling, at man ikke afventer, men straks etablerer cyber- og informationssikkerheds-awareness-uddannelse for både nye medarbejdere og løbende, hvis det ikke allerede er gjort.

# Initiativ 10, Den sikre medarbejder
I forlængelse af initiativ 6 lægges der op til at give ekstra træning til de medarbejdere, der opsætter og betjener it-systemer, netværkssystemer, forsyningskritiske systemer m.m.

Initiativet har også fokus på at:

• udarbejde procedurer for sikkerhedsgodkendelse af medarbejdere, der skal have adgang til kritiske systemer
• forbedre administration af brugerrettigheder til de kritiske systemer.

Alle er dog elementer, som energivirksomheder straks kan påbegynde optimering af.

# Initiativ 7, Sikring af digitale komponenter – Industrial IoT
Det sidste initiativ, som vi vil fremhæve her, vedrører det øgede fokus på digitalisering af forsyningskritiske systemer og produktionsapparat og den voksende brug af IIoT (Industrial Internet of Things). Med fremkomsten af IIoT i de kritiske netværk kobles disse potentielt på internettet, hvilket udfordrer sikkerheden. Formålet er at generere forskellige typer af data (fx temperaturer, tryk, hastighed m.m.), så produktionen kan fungere optimalt, og så fx vedligeholdelse modnes fra Reactive – Preventive – Condition-based til en Predictive-tilgang. Som beskrevet i tidligere artikler her er produktionsanlæg ofte traditionelt ikke designet med mange muligheder for fx sikkerhedsopdateringer, password m.m.

Også på dette område kan energi- og forsyningsvirksomheder øge fokus parallelt med arbejdet i regi af initiativgruppen.

EY følger arbejdet og vil løbende skrive herom.

Kontakt os

Hvis du har kommentarer eller lyst til i en uforpligtende samtale at drøfte, hvordan man kan komme i gang med ovenstående, er du velkommen til at kontakte os.

Henriette Brandstrup, tlf. 2529 3543