dc.description.abstract | Bakgrunn: I de siste tiårene har det skjedd et radikalt teknologisk skifte i samfunnet. Kraftforsyningen er således intet unntak. Mens det tidligere var de ansatte som overvåket og betjente kraftstasjonene, fjernstyres anleggene i dag av komplekse IKT-systemer. Denne utviklingen har imidlertid utvidet trusselbildet, ved at eventuelle ”angrep kan gjennomføres når som helst, mot hvem som helst og fra hvor som helst” [13]. Faktum er at norske virksomheter og samfunnskritiske funksjoner, stadig oftere utsettes for kriminelle handlinger via de logiske kanalene [43]. Samtidig rapporteres det fra flere hold at informasjonssikkerheten er sviktende i mange bedrifter [45 og 46].
Formål: Hensikten med dette studiet har vært å få innblikk i hvordan kraftforsyningen opplever og håndterer cybertrusselen, hvilket utgjorde følgende problemstilling:
Hvordan oppfatter kraftbransjen risikoen for angrep på driftskontrollsystemene, og hvilke faktorer kan ha betydning for valg av informasjonssikkerhetstiltak?
Metode: For å svare på problemstillingen, er det valgt et eksplorativt forskningsdesign. Det er gjennomført seks dybdeintervjuer med aktører fra nettselskapene, samt et intervju med to representanter fra NVE.
Resultat: Informasjonssikkerhet har i økende grad fått oppmerksomhet i kraftsektoren, mye p.g.a. at tilsynsmyndighetene har større fokus på denne sikkerhetsutfordringen. Kraftbransjen har dessuten dannet et sikkerhetsforum på eget initiativ, hvor spørsmål relatert til informasjonssikkerhet behandles.
Kraftsektoren domineres av to yrkesdisipliner; IT og Elkraft. Empirien indikerer at de respektive fagtradisjonene har en ulik tilnærming til informasjonssikkerhet. Respondenter med IT-faglig bakgrunn rangerte bl.a. effekten av bevisstgjørende tiltak betydelig høyere enn de med Elkraft-faglig bakgrunn. Sistnevnte uttrykte derimot større tiltro til de teknologiske barrierene.
Konklusjon: Kraftbransjen oppfatter det som lite sannsynlig at driftskontrollsystemet vil bli utsatt for målrettede dataangrep. Valg av informasjonssikkerhetstiltak foretas på bakgrunn av de ROS-analysene som foreligger, samt myndighetskrav og interne retningslinjer. I tillegg vil det aktuelle trusselbildet enkelte ganger være avgjørende for hvorvidt et tiltak blir iverksatt eller ikke. Bransjen etterlyser i den forbindelse mer effektive varslingsrutiner fra myndighetene. Det anbefales derfor at gjeldende praksis blir gjennomgått og vurdert – fortrinnsvis i samarbeid med kraftselskapene. | en_US |