Cybersikkerhet i måleverdikjeden for fjellskredvarsling

Abstract

Digitaliseringsprosessen som Norges vassdrag- og energidirektorat (NVE) nå ønsker å iverksette skal forbedre dagens teknologibruk. Ved hjelp av digitale målere og skyløsning kan NVE gjøre data mer tilgjengelig, effektivisere arbeidsoppgaver, gi bedre beslutningsgrunnlag og samvirke bedre. NVE er avhengig av digitale verdikjeder som strekker seg over flere sektorer. Den største sårbarheten er som Nasjonal Sikkerhetsmyndighet (NSM) sier, kompleksiteten i det norske digitale samfunnet, og ved implementering av komplekse digitale løsninger kommer det flere sårbarheter.

Studiens problemstilling er følgende: Hvordan kan NVE sikre den digitale og skybaserte måleverdikjeden for fjellskredvarsling? Formålet til studien har vært å undersøke hvordan man ivaretar cybersikkerheten i digitale målere og skyløsningen Azure i måleverdikjeden for fjellskredvarsling hos NVE.

Studiens undersøkelse har en kvalitativ tilnærming hvor metodene dokumentanalyse og intervju blir sammenstilt i en risikoanalyse. Risikoanalysen benyttet i studiet baserer seg på metodikken fra ISO 31000. Analysen tar for seg tre ulike verdikjeder: intern, norsk leverandør og transnasjonal leverandør. Datainnsamlingen har bestått av relevante dokumenter og åtte intervjuer av nøkkelpersoner innenfor studiets problemstilling. Det teoretiske kapittelet bidrar med begrepsforklaring av cybersikkerhet, sikkerhetskultur og risiko knyttet til sårbarhet, trussel og verdi.

Resultater fra risikoanalysen viser at det er størst risiko knyttet til tap av måledata. Dagens måleinfrastruktur er utrustet med gode tekniske barrierer for å sikre redundans. Risikoen ligger derimot på den stadig mer komplekse og uoversiktlige verdikjeden, hvor man ikke har tilstrekkelig med kontroll på leverandører. Samtidig blir det avdekt manglende gode rutiner for en tverrsektoriell risiko. Menneskelige feilhandlinger som verdivurdering av skjermingsverdig informasjon og mangelfulle risikovurderinger er fremhevet ved flere anledninger. Disse feilhandlingene er potensielle sårbarheter som kan føre til integritets- og konfidensialitetsbrudd.

Studien konkluderer med at risikoen er betydelig høyrere for de eksterne verdikjedene grunnet manglende mulighet for kontroll. Konklusjonen avslutter med anbefalte tekniske og organisatoriske sikringstiltak: segregerte nettverk, logging av aktivitet, minimere administratorrettigheter, skaffe oversikt over alle åpne porter (brannmur, ruter, svitsjer), gjennomføre inntrengingstester, ende-til-ende kryptering, overordnet rammeverk for cybersikkerhet med tilhørende anbefalte aktiviteter.