Norsk senter for informasjonssikring (NorSIS) er en del av regjeringens helhetlig satsing på informasjonssikkerhet i Norge. De jobber med opplysning, bevisstgjøring og rådgivning. Målet er at informasjonssikkerhet skal bli en naturlig del av hverdagen.
Ryggmargsrefleks

Også i energiforsyningen ser vi at flere og flere systemer kobles opp mot internett. I dagens trusselsituasjon er det viktig at de ansatte har en bevissthet rundt informasjonssikkerhet. Peggy SandbekkenMedarbeideren kan være den største trusselen. Sosial manipulering utgjør en betydelig del av trusselbildet. Eksempelvis kan man få lokkende e-poster med lenker, da dette er en kjent måte å få installert bakdører i virksomhetens systemer. I slike tilfeller bør varsellampene på, sier Peggy Sandbekken Heie i NorSIS.

Heie peker på at kraftbransjen er en viktig del av kritisk infrastruktur og at de derfor er et attraktivt mål for en angriper. Det er derfor viktig at alle ansatte i bransjen får god kompetanse om hvilke farer som truer i dagens risikobilde. Kompetansen bør være på et nivå som medfører at ryggmargsrefleksen slår inn hvis man blir utsatt for et angrep, eller forsøkt sosialt manipulert.

Skisserer tiltak

Også SINTEF setter søkelys på utfordringene rundt informasjonssikkerhet knyttet til kraftbransjen. Maria Bartnes Line er forsker hos SINTEF IKT og jobber med en doktorgradsavhandling hvor hun ser på håndtering av ikt-sikkerhetsbrudd i kraftsektoren. I tillegg jobber hun i DeVID-prosjektet med arbeidspakken for informasjonssikkerhet og personvern. Et av målene er å utarbeide forslag til metodiske tiltak som kan gi praktisk støtte til risikovurdering ved AMS.

DeVID skal også utarbeide generelle informasjonssikkerhetskrav til alle IT-systemer i bransjen og anbefalinger til god praksis knyttet til personvern. Men risikovurderings-oppgaven står først på tidsplanen.

Utfordringene

Maria B. Line skisserer tre hovedutfordringer knyttet til ikt og smartgridsikkerhet: bestillerkompetanse, samarbeid og personvern.

Line_Maria_B_2012_04_19_small%2B%5B150%2Bdpi%2Brgb%5D– Kraftbransjen er tidlig ute med å tenke på sikkerhet. Men det å ha bestillerkompetanse slik at man kan stille de rette sikkerhetskravene tidsnok er en utfordring, sier hun.

Line løfter også fram at det dukker opp utfordringer når de vanlige it-systemene og SCADA-systemene får tettere kobling enn de har hatt til nå.

– Dette gir samarbeidsutfordringer. For det er ulikt personell som hittil har jobbet med de ulike systemene. De har ulik kultur, ulik terminologi, ulike arbeidssett og krav, samt ulike prioriteringer. Når AMS kommer og smartgrid utvikler seg videre, må disse systemene fungere som ett, poengterer hun.

Også personvern kan by på vanskeligheter for bransjen mener hun.

– Lovverket er klart, men hvordan store mengder personopplysninger skal håndteres er nytt for bransjen, påpeker hun.

Konferanse om informasjonssikkerhet

I midten av november arrangerer NorSIS i samarbeid med  NVE, konferansen Kraft IS om informasjonssikkerhet. Her er kraftbransjen, og alle som bruker SCADA-systemer, målgruppen. På konferansen kommer blant annet NorCERT for å gi en beskrivelse av trusselbildet. I tillegg kommer det eksperter på SCADA-systemer, Smart Grids og kryptering.

– Norsk Helsenett har etablert CSIRT for å håndtere og rapportere dataangrep i helsesektoren. Kanskje kan dette også være løsningen for energiforsyningen, og et av foredragene holdes av leder i Norsk HelseCSIRT, sier Peggy Sandbekken Heie i NorSIS.

Les mer om konferansen: www.norsis.no/nyheter/2012-09-09-kraftis.html