Internasjonalt har det vært en rekke angrep rettet mot energi- og nettselskaper. I fjor sommer kom det første anslaget mot norsk kraftbransje. Nasjonal sikkerhetsmyndighet avdekket da over 50 forsøk på datainnbrudd mot energi- og oljesektoren.

Det fikk nettselskapene til å sperre opp øynene.

• Les også: Kraftselskapene trener ikke på dataangrep

Men selv om trusselen om ondsinnede datainntrengere og mørklegging av Norge er overhengende, virker den norske kraftbransjen ennå ganske avslappet.

Tre øvelser ga erfaringer

– Vyene er store med tanke på innføringen av SmartGrid, neste generasjons strømnett, sier Sintef-forsker Maria Line.

– Men store teknologiske endringer og investeringer fører også til større sårbarhet. Dette må selskapene snart ta inn over seg, sier Line, som også er stipendiat ved NTNU.

Sammen med Sintef-kollega Nils Brede Moe har hun nylig observert IT-beredskapsøvelser i tre nettselskaper. Disse selskapene gjennomførte en slik øvelse for første gang. Erfaringene forskerne sitter igjen med, har munnet ut i en rekke anbefalinger.

Alle må delta i øvelsene

En hovedanbefaling er at alle som innehar en rolle i en reell hendelse, som ledelse og leverandører av IT-systemer, bør delta i øvelser.

– Det er en vanlig utfordring å få med øverste ledelse på slike øvelser, siden dette er travle folk med dårlig tid. Samtidig er det ille om de aldri har øvd ettersom de utvilsomt vil bli involvert i en reell situasjon, sier Moe.

– Et av selskapene vi snakket med, hadde for eksempel en avtale om å ringe og støtte seg på leverandøren hvis det oppsto en krise. Likevel var ikke leverandøren med i beredskapsøvelsen, sier Line.

Hun forteller at IT-sikkerhet ofte behandles som en «IT-greie», men at et angrep vil også ha sterk innvirkning på forretningssiden.

– På et eller annet tidspunkt kan det være riktig å stenge ned systemet for å begrense konsekvensene. I diskusjonen om når dette skal skje, er det viktig å ha både fageksperter og beslutningstakere samlet, sier Line.

Utallige scenarier

Å øve på noe man ikke vet hva er, er vanskelig. Krisesituasjoner kan være så vidt forskjellige at det er viktig å trene på ulikheter.

Scenariet som ble brukt i studien, beskrev en hendelse som bygget seg opp gjennom fem steg. Først ble det avdekket unormalt mye IT-trafikk fra kontornettet ut på internett.

Etter to uker ble selskapet kontaktet av leverandør av kontrollsystemer – det vil si systemet som styrer strømmen ut til produksjonen. Det ble tatt kontakt på en uvanlig måte, med oppfordring om å installere en sikkerhetsoppdatering.

Tre måneder etter oppsto det strømbrudd i et boligområde uten at alarmen i kontrollsystemet ble utløst. I tiden som fulgte, kom det meldinger om flere mørklagte områder. I siste fase var både mobilnettet og internett nede.

Trekke sammenhenger

– Det ligger en klar utfordring i om de ansatte greier å avdekke sammenhenger ved hendelser som går over lang tid, sier Moe.

– Det er nødvendig å øve for å se at slike ting faktisk kan skje. At enkelthendelser over tid kan kobles sammen til en farlig sak, er igjen avhengig av rapportering og deling av informasjon.

– Det verste er om man øver på noen få scenarier mange ganger, eller at man ikke øver i det hele tatt, sier Line.

– Hvert scenario bør bare brukes én gang, ellers begrenses nytteverdien av øvelsen. Nye scenarier må derfor stadig utvikles.

Samspillet må fungere

Forskerne understreker at anbefalingene de kommer med, ligger litt fram i tid. I første omgang er det viktig at øvelser blir gjort – mer enn at de blir gjort på riktig måte.

Det aller viktigste, mener de, er å øve sammen og å øve ofte for å få samspillet til å fungere. For å kunne ta gode beslutninger må man ha all kunnskap og riktig kunnskap til stede. Derfor må alle involverte være på plass.

Referanse:

Maria B. Line og Nils Brede Moe: Understanding Collaborative Challenges in IT Security Preparedness Exercises (pdf). Artikkelen er akseptert til konferansen «ICT Systems Security and Privacy Protection» som arrangeres i Hamburg 26.–28. mai 2015