Kritisk infrastruktur er de systemer og funksjoner som er nødvendig for å opprettholde samfunnsviktige tjenester. Energi har her en spesielt sentral rolle, da alle andre systemer i den kritiske infrastrukturen er avhengige av strøm for selv å fungere. Det fokuset vi nå har på å utvikle robuste og bærekraftige energikilder vil også kreve et høyt fokus på sikkerhet fra første stund.
Alle sektorer gjennomgår i våre dager en moderniserings- og digitaliseringsprosess, herunder energi. Transformasjon av energiproduksjon er også sentralt for å lykkes med våre klimamål. Vi er derfor mer avhengige enn noensinne av at strømnettet er godt beskyttet og velfungerende.
Tor Saltveit
CISO, Huawei Norge, og forfatter av denne artikkelen
Energi – et ettertraktet mål
Dette poenget har trusselaktører også fått med seg. Det siste tiåret har både statlige og kriminelle grupper gjennomført omfattende angrep mot energisektoren i flere land. En stor elektrisitetsleverandør i Johannesburg ble i 2019 utsatt for et ransomware-angrep, og innbyggere ble sittende uten strøm i over tolv timer.
I desember 2015 ble tre distribusjonssentre i Ukraina tatt ned i et digitalt angrep, der en russisk statlig sponset gruppe trolig sto bak. 230 000 mennesker satt uten strøm en halv dag. Ett år senere ble angrepet gjentatt, noe som resulterte i at en femtedel av Kiev mistet strømmen i en time. Selv om tjenesten ble gjenopprettet relativt fort, slet strømnettverket likevel med ettervirkninger av angrepet langt ut i 2016.
I senere år har cyberangrep blitt stadig vanligere i politisk og militært spill, og i såkalt hybrid krigføring er kritisk infrastruktur et attraktivt mål. Som NATOs nordre flanke og vert for mange allierte nasjoners vintertrening, kan man se for seg at konflikter mellom større stater også kan ramme Norge.
Security by design
Energibransjen har en stolt historie som går nesten 150 år tilbake, herunder en teknologiarv som nå må moderniseres og effektiviseres. Der man tidligere har hatt begrenset eksponering utad med lukkede nett og lokale styringsterminaler, kommer nå nye typer risiko som sentralisert styring, internettilkobling, automatisering og smarte anlegg.
Dette er risiko hvor sikkerheten må være integrert helt fra design-stadiet. Teknologien vil bare bli mer kompleks, og sikkerhetskulturen må modnes deretter. Verifisering og testing må bli en like selvsagt del av et design som funksjonalitet.
Ikke en kamp som kan tas alene
En realitet vi må ta inn over oss er at vi vil bli stadig mer avhengige av spisskompetanse og partnere. Når helheten blir mer kompleks, må vi bryte den ned og avgrense den. Skylagring, applikasjonsutvikling og forvaltning av infrastruktur er eksempler på tradisjonelle typer tjenester mange norske virksomheter setter ut, men i fremtiden må vi med samme selvfølgelighet oppsøke spesialister på verifikasjon, sikkerhetsovervåkning og funksjonsforståelse. For er det en ting verdens mest digitaliserte nasjon ikke har råd til, så er det et energinett og en infrastruktur som eksterne trusler kan forstyrre eller ta kontroll over.
Av Tor Saltveit