Holte Fjernvarme om cybersikkerhed: Risiko og indsats skal stå mål med hinanden

DEBAT: Hvis hackere angriber Energinet, kan det nedlukke hele Danmarks elforsyning. Hvis hackere derimod angriber lokale fjernvarmeanlæg, er det til stor gene for områdets forbrugere, men har ikke samme samfundsmæssige skadevirkning. Derfor må risiko og indsats stå mål med hinanden, skriver Bjørk Paamand Olsen.

Af Bjørk Paamand Olsen
Administrerende direktør i Holte Fjernvarme

Cybersikkerhed er en udfordring hos mange forsyningsvirksomheder, også hos os i Holte. Vi er et mellemstort forbrugerejet fjernvarmeværk med 4.000 forbrugere og 5 varmecentraler, drevet af 9 fuldtidsansatte.

Som mange andre forbrugerejede forsyningsvirksomheder har vi digitaliseret ret sent – vi er inden for de sidste 10 år gået fra papirarkiver og centraler uden overvågning, til elektroniske arkiver og fuld overvågning af alle centralerne. Det har givet en stor – påkrævet – effektivisering, der også har givet gevinst på bundlinjen til glæde for vores forbrugere. Men med de nye muligheder kommer også nye udfordringer med IT-sikkerhed.

Meget kan man sige om de gamle papirarkiver, manuelle ventiler og håndaflæste målerrapporter i mapper på centralerne – men de var ikke så nemme at hacke.

De første skridt
I Holte Fjernvarme har vi taget de første skridt. Vi har adskilt vores administrations- og teknikservere, indført passwordbeskyttelse af SCADA-systemet, sendt de sidste XP-maskiner på pension, nedlagt fælles-PC'er på varmecentralerne, opdateret virusbeskyttelse og så videre. Vi er som medarbejdere rimeligt godt med – det gælder også de lavpraktiske ting, som at vi ved, man ikke skal tage en fremmed USB-stick og sætte i sin computer og så videre.

Vi er også allerede i gang med at tage de næste skridt – opdatering af routere, kryptering, stærkere kodeord på enheder og tjenester og løbende uddannelse af personale i IT-sikkerhed, så alle medarbejdere er helt opdaterede på reelle risici, og så alle efterlever samme høje IT-standarder.

Den nuværende regulering af fjernvarmen giver os mulighed for, at vi kan være åbne om vores selskaber og vores prioriteringer – også om IT-sikkerhed. Dansk Fjernvarme har både på fællesmøder, temadage og egentlige kurser sat fokus på IT-sikkerhed de senere år og vil fortsat følge op. Her bruger vi hinanden i branchen til at dele erfaringer og blive dygtigere sammen.

Brug ressourcerne rigtigt
Vi har brugt mange ressourcer på EU's persondataforordning (GDPR) i det seneste år – men det er vigtigt at skelne imellem privatliv og sikkerhed. Med GDPR er vi nu med til at beskytte privatlivet bedre for vores forbrugere og os selv ved at håndtere data korrekt – men hvad så, hvis der er hackere, som tiltvinger sig adgang til vores data?

Inden vi alle investerer milliarder i cybersikkerhedsløsninger, så skal der være en analyse af risiko ved angreb. Investeringer skal derfor være risikobaserede. Hvis hackere får adgang til Energinets kontrolrum og kan nedlukke hele elforsyningen i Danmark, så er det i løbet af minutter og timer en national katastrofe.

Hvis hackerne stopper SCADA-systemet hos Holte Fjernvarme og hindrer fjernvarmeforsyning i nogle timer, så er det lokalt til stor gene, men – med al respekt – ikke af samme skadevirkning for samfundet. Derfor skal vi være meget opmærksomme på, at investeringer i nye IT-sikkerhedssystemer skal stå mål med de reelle risici i den enkelte sektor og i det enkelte selskab.

Derfor hilser vi også regeringens nationale strategi for cyber- og informationssikkerhed velkommen, da der lægges op til både en generel indsats og en målrettet indsats mod de kritiske sektorer.

Vi er dygtige til at producere og levere fjernvarme til vores forbrugere – det er det, vi som medarbejdere på et fjernvarmeværk er specialister i, og sådan skal det være. Håndtering af cybersikkerhed hos os kræver derfor, at vi har adgang til dygtige eksterne partnere, som kan hjælpe os med denne opgave – og det koster penge.

Når man fra Christiansborg kræver, at forsyningerne bliver "mere effektive" – læs: billigere – skal det tages med i beregningerne, at forsyningsselskaberne samtidig skal løse større opgaver, som i dette tilfælde IT-sikkerhed og databeskyttelse. Professionel og effektiv drift kræver gode IT-løsninger, og sikker håndtering af disse er en udfordring, som vi tager hånd om.

Forrige artikel Astrid Haug: Her er 5 bud på, hvad der kommer efter Facebook Astrid Haug: Her er 5 bud på, hvad der kommer efter Facebook Næste artikel IT-Branchen: Ikke meget nationalt i regeringens cybersikkerhedsstrategi IT-Branchen: Ikke meget nationalt i regeringens cybersikkerhedsstrategi
  • Anmeld

    Morten Stilling · Founder and Owner, ICS Security Solutions

    Analyse og samarbejde

    Mange tak for et rigtigt godt - og konkret! - indlæg i debatten, Bjørk! Det er sjældent, at virksomheder er villige til at stikke hovedet frem og drøfte deres egen forretning, hvorfor debatten ofte bliver abstrakt og teoretisk. Her har vi muligheden for at blive konkrete. Tak!

    Du skriver hen mod slutningen af dit indlæg, at I har brug for "adgang til dygtige eksterne partnere, som kan hjælpe [jer] med denne opgave". Hvilken form for hjælp tænker du, at I hos Holte Fjernvarme har brug for?

    Jeg har selv i Altinget den 14. juni foreslået en tre-punkt plan for at arbejde med cybersikkerhed i energiforsyningen. Se eventuelt https://www.altinget.dk/forsyning/artikel/debat-saadan-kan-kommunerne-beskytte-energiforsyningen-mod-cyberangreb

    Når jeg læser dit indlæg, tænker jeg umiddelbart to ting:

    1) Der er brug for en overordnet analyse af den danske energiforsyning, så vi kan få fakta på bordet og forstå, hvad der er stort, og hvad der er småt, hvad der er kritisk, og hvad der er ikke-helt-så-vigtigt. Det er alt andet lige vigtigere, som du skriver, at beskytte Energinet's transmissionsnetværk end Holte Fjernvarme's SCADA system.

    2) Vi kunne med gavn foretage denne analyse i et bredt samarbejde på tværs af sektoren, i stedet for at lave analysen for hvert enkelt forsyningsselskab separat. Det ville være rart at have overblik over, hvilke typer af systemer, vi som nation bør have speciel fokus på, og hvilke specifikke systemer, der kræver opmærksomhed her og nu.

    Ræsonnerer dette med din verden hos Holte Fjernvarme?

  • Anmeld

    John Foley

    Forespørgsel

    Er du og Holte fjernvarmeværk en såkaldt Operatør af Væsentlige Tjenester i EU's NIS direkettivet fostand? Og hvem fatsætter egentlig om I er det eller ej?
    Har du/I de fornødne vejledninger fra besluttende myndigheder og i givet fald, hvad er så staus i dette arbejde.

  • Anmeld

    Bjørk Paamand Olsen · Adm. direktør, Holte Fjernvarme

    Svar til John Foley

    Holte Fjernvarme er ikke en operatør af væsentlige tjenester, men kun pga. vores størrelse - kriteriet jf. bekendtgørelsen er "mere end 50.000 brugere, herunder patienter og sundhedspersoner, der er afhængige af tjenesten". Vi forsyner - ligesom de fleste fjernvarmeselskaber - bl.a. plejehjem og daginstitutioner, hvor svigt i varmeforsyningen kan være afgørende for beboernes/brugernes sundhed. Der er flere fjernvarmeselskaber der forsyner hospitaler med varme, og her er vi helt sikkert inde på et kritisk område. Derfor mener jeg, at det er en vigtig pointe, at cybersikkerhed også på fjernvarmeområdet er en opgave, der skal løses samvittighedsfuldt og professionelt - hvilket vi som fjernvarmeselskaber er klare over, og parate til. Det skal naturligvis også afspejles i vores reguleringsmæssige rammer.

  • Anmeld

    Bjørk Paamand Olsen · Adm. direktør, Holte Fjernvarme

    Svar til Morten Stilling

    Selv tak, og tak for link til dit fremragende debatindlæg, som meget konkret viser, at det, du kalder "hardcore teknisk sårbarhedsudbedring" faktisk er toppen af isbjerget. Jeg kunne ikke være mere enig - kvaliteten af arbejdet med cybersikkerhed afhænger i store træk af kvaliteten af den forudgående analyse.
    Du foreslår en tværsektor-analyse. I fjernvarmesektoren i Nordsjælland er vi lykkedes med et andet tværgående projekt, nemlig "Energi På Tværs", som blev drevet af Region Hovedstaden og kommunerne i hovedstaden, samt de største forsyningsselskaber. Holte Fjernvarme deltog også i projektet, og bidrog med vores data, ligesom rigtig mange andre forsyningsselskaber. Resultatet blev en god og gennemgribende analyse, som gentænkte energistrømme fra produktion og forbrug på tværs af kommune- og selskabsgrænser. Vi arbejder i dag stadig ovenpå det fundament, denne analyse gav. Måske vil et lignende forum være den rette "ejer" af en bred risikoanalyse på cybersikkerhedsområdet?

Forsvarets Efterretningstjeneste retter sigtet mod techgiganterne

Forsvarets Efterretningstjeneste retter sigtet mod techgiganterne

NY VERDENSORDEN: Koncentrationen af magt hos få teknologivirksomheder er i gang med at ændre verden. Virksomhederne er ikke en aktuel trussel, men de har en hidtil uset magt til at påvirke politik nationalt og globalt, konstaterer Forsvarets Efterretningstjeneste i en ny udgivelse.