Debat: Sådan kan kommunerne beskytte energiforsyningen mod cyberangreb

DEBAT: Energiforsyning er blandt de største udfordringer for Danmark, når det kommer til cybersikkerhed. Mange kommunalt ejede kraft- og varmeværker skal beskyttes, hvilket kræver støtte til opmærksomhedsopbygning, strategisk analyse og -planlægning samt hardcore teknisk sårbarhedsudbedring, skriver Morten Stilling.

Af Morten Stilling
Ph.D. og direktør, ICS Security Solutions ApS

Den største udfordring for Danmark, når vi taler om cybersikkerhed, er beskyttelse af de industrielle kontrolsystemer, der styrer vores energiforsyning og anden kritisk infrastruktur. Kommunerne er ansvarlige for beskyttelsen af mange af landets 1.146 kraft- og varmeværker og kan med rimelighed forvente en eller anden form for støtte til at løfte dette ansvar.

Belært af erfaring fra et stort internationalt forsyningsselskab vil jeg fremhæve tre konkrete skridt, som bør danne rammen for denne støtte.

Først skridt: Opmærksomhedsopbygning 
Cybersikkerhed er for de fleste danskere ganske abstrakt og fjernt. Vi hører en masse om det i medierne, men det opleves alligevel som noget fra en dystopisk science fiction-roman. Beslutningstagere i landets kommuner og kommunale forsyningsselskaber kan have gavn af at få bragt emnet tættere på deres hverdag.

Jeg har god erfaring med at introducere tre forskellige typer af eksperter, der kan gøre emnet håndgribeligt og relevant:

  • En troværdig person fra for eksempel Center for Cybersikkerhed beskriver det trusselsbillede, som Danmark står over for med speciel fokus på trusler mod energiforsyningen. Dette skaber forståelse.
  • En modig repræsentant fra en relevant virksomhed, der selv er blevet lagt ned af et hackerangreb, beskriver følelsen af at miste kontrollen, når det går galt. Dette skaber indlevelse.
  • En etisk hacker foretager en penetrationstest af et forsyningsselskabs kontrolsystemer live, så det bliver tydeligt, hvor nemt det er at lukke systemerne ned. Dette skaber chok, angst og et kæmpestort ønske om at gøre noget.

Andet skridt: Strategisk analyse og -planlægning
Ingen kan fuldstændigt beskytte sig mod hackerangreb. Dette gælder også vores kommuner. De kan bruge uendelige ressourcer på at beskytte energiforsyningen, men vi kan alligevel ikke være 100 procent sikre. Det er derfor vigtigt, at kommunerne kan prioritere, så vi får mest mulig beskyttelse for pengene.

For at kunne prioritere må kommunerne starte med at gøre sig klart, hvad der er vigtigt, og hvad der er mindre vigtigt. Energisystemer, der forsyner mange borgere, er alt andet lige vigtigere, end systemer der kun forsyner få. Ligeledes er energisystemer, der forsyner samfundskritiske installationer, for eksempel hospitaler og telenetværk, ekstra vigtige at beskytte.

Endelig findes der nogle overordnede systemer, der ved nedbrud vil trække mange andre systemer med sig ned på grund af den sammenkobling, der i dag er i vores energiinfrastruktur. Disse bør også have speciel opmærksomhed.

Kommunerne kan have stor gavn af støtte til at skabe overblik over, hvad der er vigtigt at beskytte, og hvad der er mindre vigtigt. Dette overblik skal sammenholdes med det trusselsbillede, som energisystemerne står over for, samt de sårbarheder som de har. Med overblik over prioriteter, trusselsbillede og sårbarheder kan en cyberstrategi udformes for de kommunalt ejede forsyningssystemer.

Tredje skridt: Hardcore teknisk sårbarhedsudbedring
Når den overordnede strategi er på plads, får kommunerne brug for støtte til at udarbejde detailplaner for de enkelte værker samt udbedring af de sårbarheder, der er identificeret som de vigtigste.

Dette vil kræve en hær af ingeniører og teknikere med ekspertviden om SCADA-systemer, firewalls, netværkssegmentering med mere. Disse kan ikke forventes at være umiddelbart til rådighed, da der er stor mangel på medarbejdere med viden om cybersikkerhed i Danmark og i Vesteuropa generelt, specielt når det drejer sig om industrielle kontrolsystemer. Derfor må alle tilgængelige kompetente ressourcer bringes i spil. Det kræver tæt samarbejde mellem staten, kommunerne og private aktører.

Det er et kæmpestort ansvar at skulle beskytte de mange kommunalt ejede forsyningsselskaber mod cyberangreb, og kommunerne kan have gavn af støtte til at løfte dette ansvar. Det er min erfaring, at de tre ovenstående skridt er en god ramme for styrkelse af cybersikkerheden for energiselskaber.

Forrige artikel Lars Frelle: Vi skal investere i fremtiden, hvis vi vil gøre os håb om at vinde den Lars Frelle: Vi skal investere i fremtiden, hvis vi vil gøre os håb om at vinde den Næste artikel Dithmer: Vi skal op i gear for at kunne følge med den digitale omstilling Dithmer: Vi skal op i gear for at kunne følge med den digitale omstilling
  • Anmeld

    John Foley

    ISAC's er vejen frem

    Ligesom i finanssektoren bør energisektoren oprette et "Information Sharing and Analysis Center(ISAC), som allerede gennemført i andre lande vi normalt sammenligner os med.
    Som Danmarks repræsentant i EU's Network and Information Security Platform har jeg været med til beskrivelse og forklare hvad en sektorspecifik ISAC er for en størrelse, der kan tilgodese alle de forhold som forfatteren af denne artikel beskriver.

  • Anmeld

    Morten Stilling · Founder and Owner

    KraftCERT

    John Foley har ret. Et samarbejde blandt mindre spillere i branchen vil kunne hjælpe en hel del.

    I Norge har de oprettet KraftCERT (www.kraftcert.no), et samarbejde på tværs af energisektoren. Måske vi kunne lære af vores naboer.