Jo bedre spørsmål
Hvor mange veier tilrettelagt for cyberangrep fører direkte hjem til kundene deres?
Utrullingen av smartmålere lover mer innsikt enn noen gang. Men hvordan møte risikoen på en måte som opprettholder tilliten hos kundene?
I 2009 trådte et nytt EU-direktiv i kraft som påbød kraftleverandører å få skiftet ut eksisterende strømmålere i boliger med nye smartmålere innen 2020. Dette stilte kraftleverandørene overfor en stor utfordring på grunn av de nye smartmålingssystemenes og den understøttende infrastrukturens art og kompleksitet.
Blant andre gjaldt dette EY kunde, en statseid kraftleverandør i Europa. Omfanget av utfordringen var ganske enkelt enormt: De skulle ta i bruk over 2 millioner smartmålere og understøttende data- og kommunikasjonssystemer med hjelp fra en rekke tjenestetilbydere, noe som gjorde prosjektet til et av de største og mest komplekse digitale transformasjonsprosjektene landet noensinne hadde gjennomført.
Smartmålerne lover kraftleverandøren, kunden og miljøet alle slags fordeler – nye data kan muliggjøre nye forretningsmodeller og større bevissthet om forbruket. Men smartmålere genererer også store mengder personidentifiserende opplysninger, som potensielt kan brukes ulovlig for å svindle kunden.
Kraftleverandøren måtte stille seg spørsmålet: Hvordan kunne det designe og bygge robuste, cybersikre styringssystemer for å beskytte kundenes opplysninger mot å komme i feil hender, spesielt med tanke på at disse opplysningene også skulle beskyttes i henhold til den nye personvernforordningen? Og nå som store deler av landets energi-verdikjede ville bli digitalisert, måtte selskapet også ta hensyn til hvordan det skulle beskytte strømnettet mot cyberangrep, og opprettholde en kontinuerlig strømforsyning til kritisk infrastruktur.
Jo bedre svar
Hvordan sikre en fullstendig risikovurdering
Cybertrussel-modellering hjalp kunden til å forstå risikoens art – og hvor den ville komme fra.
EY sine team fungerte som pålitelige rådgivere i utformingen av smartmålingsløsningen og leveringen av flere store anskaffelser, inkludert kommunikasjons- og datatjenester, sikkerhetsverktøy og smartmålere.
Siden dette gjaldt kritisk nasjonal infrastruktur, var stabilitet og sikkerhet svært viktig. Samtidig representerte smartmålerne to betydelige og svært spesifikke nye risikoelementer ved potensielle cyberangrep: de svært detaljerte dataene om folks energibruk, som potensielt kunne åpne et vindu inn til folks liv, og på selve målerne, en bryter som hvis den ble cracket, kunne kutte strømforsyningen til flere millioner hjem.
Det første EY sine team begynte å jobbe med, var cybertrusselmodellering, som utforsket de potensielle angrepsveiene som kunne sette både personopplysningene og målerbryteren i fare for angrep – Alt fra sofistikerte trusselaktører som utnyttet kommunikasjonsnettverket til å initiere massekommandoer, til crackere som opererte alene som forsøkte å få tilgang til enkeltmålere over lokale trådløse nettverk.
Denne øvelsen gjorde at EY sine team og kunden kunne forstå cyberrisikoen uten å overvurdere den, og designe og innlemme det rette beskyttelsesnivået for smartmålingsystemet.
Nå som tillit er i ferd med å bli en av organisasjoners mest verdifulle aktiva, spiller cybersikkerhet en kritisk rolle. Uten en klar strategi for hvordan man vil møte cyberrisikoen, er det ikke mulig å knekke koden til hvordan man kan få utnyttet de enorme mulighetene som følger med denne nye digitale verdenen.
Neste trinn var å definere sikkerhetsarkitekturen – hva man skulle beskytte seg mot –, Fra å få på plass sikkerhetsovervåkingssystemer som kunne oppdage mistenkelig aktivitet over hele nettverket, til å ivareta sikkerheten til enkeltmålere. Én viktig oppgave var å få spesifisert tekniske kontroller som smartmålerne ville måtte ha innebygd, til å autorisere kommandoer og beskytte data.
Leverandøren måtte legge fram:
- hvordan de ville sikre adekvat kryptering for måleren i tillegg til kommunikasjonssystemet og databasen
- hvor mye data som ville bli lagret på måleren før den ble sendt tilbake til kraftleverandøren
- hvordan måleren fysisk ville beskytte data
Men teknologi er bare én del av historien. «Det menneskelige aspektet er svært viktig innenfor cybersikkerhet siden det kan være det svakeste ledd,» sier Alex Campbell, AP i avdelingen for cybersikkerhetstjenester hos Ernst & Young LLP. Sikkerhetsarkitekturen måtte bakkes opp med nye prosesser, retningslinjer, kritisk gjennomgang, og opplæring og bevisstgjøring av personale.
Dette fordi uavhengig av hvor sikre de nye systemene er i seg selv, er det mennesker som vil bruke dem. Og disse brukerne kan omfatte både ondsinnede brukere på innsiden med tilstrekkelige privilegier til å få tilgang til sensitive opplysninger, og – som oftere er tilfellet – uheldige ikke-ondsinnede brukere på innsiden som ikke er klar over hvilket ansvar de har.
Jo bedre vil verden fungere
Hvordan sikre en datasentrisk fremtid
En ny datamodell for et nytt paradigme innenfor kraft og forsyning
Smartmålerne innleder digitaliseringen av kraftdistribusjonsnettverkene, som gir helt nye muligheter.
For strømleverandørens vedkommende kunne alle de aggregerte dataene kombineres med genererte data for å kunne styre den forventede belastningen, ved å modellere hvordan ulike deler av landet brukte strøm og anslå hvor hen den skulle sendes. Smartmålerne gjorde det også mulig å gjøre store besparelser i arbeidet som måtte gjøres av mennesker, siden det er unødvendig å sende en ingeniør hjem til kunden hver gang det er behov for feilsøking og frakobling eller gjentilkobling av strømmen – siden det gjør at mange funksjoner kan gjøres virtuelt.
For kundenes gir smartmålerne mye mer informasjon om energibruken deres, det går raskere å betale regninger, og regningene er mer nøyaktige. Bedre innsikt gir også bedre kontroll, så det er også forventet at mange kunder også vil redusere energiforbruket sitt – og strømregningen.
I fremtiden vil det være mange andre parter som kraftleverandører vil kunne dele forbruksdata med, slik at de kan tilby ulike avtaler, bedre råd om energibruk, eller utforske andre muligheter og forretningsmodeller som ikke er oppfunnet enda.
Ingenting av dette ville vært mulig uten et høyt cybersikkerhetsnivå, designet for å innlemme den nødvendige styringen og forminskingen av cyberrisikoen fra starten av, slik at organisasjonen trygt kunne drive virksomheten videre.
Overfor denne kraftleverandøren var EY sine team i stand til å tilby noe helt nytt: en bevissthet om de unike utfordringene som smartmålere introduserer. Denne utrullingen berører hver enkelt borger i et land på en måte andre systemer ikke gjør, og det er et tillitsbånd her som ikke må brytes.
EYs konsulenter forstår hvor komplisert dette er, og særlig hva dette innebærer utover det teknologiske. Ved å forutse alle potensielle ruter cyberangrep kunne ta, og den menneskelige risikoen og potensielle konsekvenser, hjalp EY sine team kraftleverandøren med å se den bredere risikoen som kunne påvirke fordelene med smartmålere. Selskapet er nå i prosessen med å implementere nye retningslinjer for ansatte, nye sikkerhetsprosedyrer og tekniske kontroller for å sikre at smartmålerne ikke bare beskytter, men også styrker en datasentrisk fremtid som både forbrukere og organisasjoner kan ha tillit til.
EYs cybersikkerhet muliggjør tillit til systemer, design og data, slik at organisasjoner trygt kan påta seg ansvar som innebærer større risiko, bidra til transformasjonell endring og muliggjøre innovasjon.
Kontakt oss
Liker du det du har sett? Ta kontakt for å finne ut mer.
