Informasjonssikkerhet i kraftforsyningen

Abstract

Bakgrunn: I de siste tiårene har det skjedd et radikalt teknologisk skifte i samfunnet. Kraftforsyningen er således intet unntak. Mens det tidligere var de ansatte som overvåket og betjente kraftstasjonene, fjernstyres anleggene i dag av komplekse IKT-systemer. Denne utviklingen har imidlertid utvidet trusselbildet, ved at eventuelle ”angrep kan gjennomføres når som helst, mot hvem som helst og fra hvor som helst” [13]. Faktum er at norske virksomheter og samfunnskritiske funksjoner, stadig oftere utsettes for kriminelle handlinger via de logiske kanalene [43]. Samtidig rapporteres det fra flere hold at informasjonssikkerheten er sviktende i mange bedrifter [45 og 46]. Formål: Hensikten med dette studiet har vært å få innblikk i hvordan kraftforsyningen opplever og håndterer cybertrusselen, hvilket utgjorde følgende problemstilling: Hvordan oppfatter kraftbransjen risikoen for angrep på driftskontrollsystemene, og hvilke faktorer kan ha betydning for valg av informasjonssikkerhetstiltak? Metode: For å svare på problemstillingen, er det valgt et eksplorativt forskningsdesign. Det er gjennomført seks dybdeintervjuer med aktører fra nettselskapene, samt et intervju med to representanter fra NVE. Resultat: Informasjonssikkerhet har i økende grad fått oppmerksomhet i kraftsektoren, mye p.g.a. at tilsynsmyndighetene har større fokus på denne sikkerhetsutfordringen. Kraftbransjen har dessuten dannet et sikkerhetsforum på eget initiativ, hvor spørsmål relatert til informasjonssikkerhet behandles. Kraftsektoren domineres av to yrkesdisipliner; IT og Elkraft. Empirien indikerer at de respektive fagtradisjonene har en ulik tilnærming til informasjonssikkerhet. Respondenter med IT-faglig bakgrunn rangerte bl.a. effekten av bevisstgjørende tiltak betydelig høyere enn de med Elkraft-faglig bakgrunn. Sistnevnte uttrykte derimot større tiltro til de teknologiske barrierene. Konklusjon: Kraftbransjen oppfatter det som lite sannsynlig at driftskontrollsystemet vil bli utsatt for målrettede dataangrep. Valg av informasjonssikkerhetstiltak foretas på bakgrunn av de ROS-analysene som foreligger, samt myndighetskrav og interne retningslinjer. I tillegg vil det aktuelle trusselbildet enkelte ganger være avgjørende for hvorvidt et tiltak blir iverksatt eller ikke. Bransjen etterlyser i den forbindelse mer effektive varslingsrutiner fra myndighetene. Det anbefales derfor at gjeldende praksis blir gjennomgått og vurdert – fortrinnsvis i samarbeid med kraftselskapene.