- Truslene blir tatt på alvor, men enda viktigere at det blir tatt tak i og også faktisk gjort noe med. Her er det større hull , sier Knut Andreas Aas, sikkerhetsrådigver i Netsecurity, til kode24.
Rett før sommeren leverte Aas og Brage Fagstad masteravhandlingen "Cyber Security in Procurement of Third Party Suppliers: A Case Study of the Norwegian Power Sector". Her undersøkte de hvordan cybersikkerhet blir ivaretatt i anskaffelsesprosessen av tredjepartsleverandører av IT og OT i den norske strømsektoren. Aas og Fagstad fant flere alvorlige mangler:
- Manglende kapasitet og kompetanse på cybersikkerhet
• Komplekse leverandørkjeder som strekker seg på tvers av landegrenser som kompliserer sikkerhetsarbeidet
• Sårbarheter relatert til tillitsbaserte forhold
• Begrenset innsikt og oversikt i flere ledd i leverandørkjeden
Fant alvorlige mangler i Forsvarets systemer: - Kan få store konsekvenser
Angrep kan få store konsekvenser
Aas mener at oppgaven viser at dette er et område som det bør fokuseres enda mer på cybersikkerhet.
- Mange er i gang, men å etablere sikkerhetsrutiner er en omfattende prosess som krever kontinuerlig arbeid, sier han.
- Hvilke konsekvenser kan de få?
- Blir du utsatt for et cyberangrep, har det mange konsekvenser: Tap av omdømme, tapte markedsandeler, økonomiske tap og i ytterste konsekvens vil det også kunne påvirke liv og helse.
Han legger til at dette gjelder for strømsektoren som flere andre bransjer.
- Som en del av Norges kritiske infrastruktur gjelder dette spesielt strømsektoren, ettersom at et cyberangrep kan resultere i store samfunnsmessige konsekvenser, sier Aas.
NSM advarer mot økning i cyberangrep
Økt digitalisering = økt sårbarhet
Aas og Fagstad fant at den økte digitaliseringen i strømsektoren gir en økt sårbarhets- og angrepsflate for trusselaktører.
- Når stadig flere enheter blir koblet sammen, må det stilles helt andre krav til cybersikkerhet enn tidligere. Sårbarheter blir overført fra det fysiske til det digitale domenet, sier Aas.
Han legger til at det også er et stort behov for flere teknologer på fagområdet cybersikkerhet også i strømsektoren, som både vil kunne øke kompetansen når det kommer til å stille krav til it-sikkerhet og samt sikre et kontinuerlig og strategisk arbeid med it-sikkerhet.
- Ved å ha flere teknologer involvert, vil det være mulig å ha en tettere oppfølging av etterlevelse av disse kravene, samt utforme rutiner som er mulig å gjennomføre regelmessig, sier Aas.
«At kraftbransjen ikke har god nok ekspertise henger kanskje sammen med et bredere problem med å få tak i folk»
Situasjonen er alvorlig
Ifølge Aas gjør krigen i Ukraina gjør at situasjonen rundt cybersikkerhet er mer anspent enn tidligere.
- Vårt synspunkt er at situasjonen rundt cybersikkerhet er mer anspent enn tidligere. Den nylig publisert pressemelding fra Nasjonal sikkerhetsmyndighet (NSM) oppfordrer norske virksomheter til «økt årvåkenhet», og oppfordrer til å ha en lav terskel for å ta kontakt med dem eller Nasjonalt cybersikkerhetssenter (NCSC) etter hendelsene som har skjedd nylig, sier han.
NSM anbefaler videre at virksomheter iverksetter hensiktsmessige tiltak for å øke sin motstandsevne mot cyberoperasjoner.
- Det er også viktig å ha oppdaterte og gjennomarbeidede beredskapsplaner klart. At kraftbransjen ikke har god nok ekspertise henger kanskje sammen med et bredere problem med å få tak i folk, sier Aas.
Kripos har klart å låse opp dataene til Hydro: - En stor seier!
Må synliggjøre behovet
- Hvilke grep bør man ta?
- Vi mener man kan komme langt med å synliggjøre at det er det behov og et ønske om å få tak ulike typer ekspertise. Digitaliseringen vil fortsette, noe som resulterer i nye sårbarheter som kan utnyttes av trusselaktører som igjen resulterer i et økt behov for kompetanse innen flere ulike fagområder, sier Aas.
Han mener at man må begynne tidlig med å få tak i ressurser, gi rom for nyutdannede og gi dem grundig opplæring.
- Personlig tror jeg vi skaper et mer helhetlig sikkerhetsarbeid ved å jobbe sammen, og det å ha egne fagmiljøer som kontinuerlig arbeider for å sikre både fysiske og digitale verdier vil ha en positiv effekt på sikring av hele leverandørkjeden, sier Aas.
As mener at ansvaret ikke ligger hos enkeltpersoner eller bestemte organisasjoner.
- Dette er et felles ansvar som handler om å skape en sikrere leverandørkjede, sier han.