Holte Fjernvarme om cybersikkerhed: Risiko og indsats skal stå mål med hinanden

DEBAT: Hvis hackere angriber Energinet, kan det nedlukke hele Danmarks elforsyning. Hvis hackere derimod angriber lokale fjernvarmeanlæg, er det til stor gene for områdets forbrugere, men har ikke samme samfundsmæssige skadevirkning. Derfor må risiko og indsats stå mål med hinanden, skriver Bjørk Paamand Olsen.

Af Bjørk Paamand Olsen
Administrerende direktør i Holte Fjernvarme

Cybersikkerhed er en udfordring hos mange forsyningsvirksomheder, også hos os i Holte. Vi er et mellemstort forbrugerejet fjernvarmeværk med 4.000 forbrugere og 5 varmecentraler, drevet af 9 fuldtidsansatte.

Som mange andre forbrugerejede forsyningsvirksomheder har vi digitaliseret ret sent – vi er inden for de sidste 10 år gået fra papirarkiver og centraler uden overvågning, til elektroniske arkiver og fuld overvågning af alle centralerne. Det har givet en stor – påkrævet – effektivisering, der også har givet gevinst på bundlinjen til glæde for vores forbrugere. Men med de nye muligheder kommer også nye udfordringer med IT-sikkerhed.

Meget kan man sige om de gamle papirarkiver, manuelle ventiler og håndaflæste målerrapporter i mapper på centralerne – men de var ikke så nemme at hacke.

De første skridt
I Holte Fjernvarme har vi taget de første skridt. Vi har adskilt vores administrations- og teknikservere, indført passwordbeskyttelse af SCADA-systemet, sendt de sidste XP-maskiner på pension, nedlagt fælles-PC'er på varmecentralerne, opdateret virusbeskyttelse og så videre. Vi er som medarbejdere rimeligt godt med – det gælder også de lavpraktiske ting, som at vi ved, man ikke skal tage en fremmed USB-stick og sætte i sin computer og så videre.

Vi er også allerede i gang med at tage de næste skridt – opdatering af routere, kryptering, stærkere kodeord på enheder og tjenester og løbende uddannelse af personale i IT-sikkerhed, så alle medarbejdere er helt opdaterede på reelle risici, og så alle efterlever samme høje IT-standarder.

Den nuværende regulering af fjernvarmen giver os mulighed for, at vi kan være åbne om vores selskaber og vores prioriteringer – også om IT-sikkerhed. Dansk Fjernvarme har både på fællesmøder, temadage og egentlige kurser sat fokus på IT-sikkerhed de senere år og vil fortsat følge op. Her bruger vi hinanden i branchen til at dele erfaringer og blive dygtigere sammen.

Brug ressourcerne rigtigt
Vi har brugt mange ressourcer på EU's persondataforordning (GDPR) i det seneste år – men det er vigtigt at skelne imellem privatliv og sikkerhed. Med GDPR er vi nu med til at beskytte privatlivet bedre for vores forbrugere og os selv ved at håndtere data korrekt – men hvad så, hvis der er hackere, som tiltvinger sig adgang til vores data?

Inden vi alle investerer milliarder i cybersikkerhedsløsninger, så skal der være en analyse af risiko ved angreb. Investeringer skal derfor være risikobaserede. Hvis hackere får adgang til Energinets kontrolrum og kan nedlukke hele elforsyningen i Danmark, så er det i løbet af minutter og timer en national katastrofe.

Hvis hackerne stopper SCADA-systemet hos Holte Fjernvarme og hindrer fjernvarmeforsyning i nogle timer, så er det lokalt til stor gene, men – med al respekt – ikke af samme skadevirkning for samfundet. Derfor skal vi være meget opmærksomme på, at investeringer i nye IT-sikkerhedssystemer skal stå mål med de reelle risici i den enkelte sektor og i det enkelte selskab.

Derfor hilser vi også regeringens nationale strategi for cyber- og informationssikkerhed velkommen, da der lægges op til både en generel indsats og en målrettet indsats mod de kritiske sektorer.

Vi er dygtige til at producere og levere fjernvarme til vores forbrugere – det er det, vi som medarbejdere på et fjernvarmeværk er specialister i, og sådan skal det være. Håndtering af cybersikkerhed hos os kræver derfor, at vi har adgang til dygtige eksterne partnere, som kan hjælpe os med denne opgave – og det koster penge.

Når man fra Christiansborg kræver, at forsyningerne bliver "mere effektive" – læs: billigere – skal det tages med i beregningerne, at forsyningsselskaberne samtidig skal løse større opgaver, som i dette tilfælde IT-sikkerhed og databeskyttelse. Professionel og effektiv drift kræver gode IT-løsninger, og sikker håndtering af disse er en udfordring, som vi tager hånd om.

Forrige artikel Juraprofessor: Giv mig dine målerdata, og jeg skal fortælle dig, hvem du er Juraprofessor: Giv mig dine målerdata, og jeg skal fortælle dig, hvem du er Næste artikel KTC: Grøn omstilling forudsætter et integreret energisystem KTC: Grøn omstilling forudsætter et integreret energisystem