– Det er alvorlig når vi vet at risikoen for dataangrep i strømforsyningen øker. Hvis vi ikke tar dette på alvor nå, kan det komme et angrep som vil få fatale konsekvenser, sier riksrevisor Per-Kristian Foss.
Kraftforsyningen utsatt for angrep
Strøm er en av disse tingene som bare er der – og fungerer – uten at vi tenker noe særlig på det. Men hva om strømmen plutselig forsvinner? Og hva om den blir borte over lang tid?
Det kan få katastrofale følger for samfunnet. Nesten alle samfunnsfunksjoner er i dag avhengig av strøm for å fungere.
Les Riksrevisjonens nye rapport her
Et dataangrep er en av flere typer hendelser som kan føre til at strømmen forsvinner. Ifølge nasjonale trusselvurderinger utgjør systemer i kraftsektoren kritisk infrastruktur som er spesielt utsatt for etterretning og avanserte nettverksoperasjoner.
Ikke god nok oppfølging av beredskapen
Det er kraftselskapene selv som har ansvaret for at datasikkerheten er i tråd med regelverket. Norges vassdrags- og energidirektorat (NVE) skal følge opp at kraftselskapene gjør det de skal for å sikre beredskapen.
Dette har Riksrevisjonen undersøkt om NVE gjør.
Hovedkonklusjonene fra rapporten er at:
• NVE ikke i tilstrekkelig grad har påsett at det er god beredskap for å håndtere dataangrep i kraftforsyningen.
• Olje- og energidepartementet ikke sikrer seg god nok styringsinformasjon om datasikkerhetstilstanden i kraftforsyningen og resultatene av NVEs arbeid med datasikkerhet.
Svakheter i styring og oppfølging
Undersøkelsen viser blant annet svakheter i styringen og oppfølgingen av datasikkerhet i kraftforsyningen.
– NVE har verken satt av nok ressurser eller sørget for å ha verktøyene som skal til for å styre og følge opp. Her har det sviktet i prioriteringene, sier Foss.
Lite informasjon om datasikkerheten
NVE har gjennomført få tilsyn med kraftselskapene på dette området de siste seks årene, og undersøkelsen viser at tilsynsmetodikken i liten grad avdekker den faktiske tilstanden for datasikkerheten i selskapene.
I tillegg er NVEs informasjon om datasikkerhetshendelser mangelfull.
Øver ikke nok
NVE skal samordne arbeidet med beredskapen i kraftforsyningen. Undersøkelsen viser at NVE har lite erfaring med å håndtere dataangrep, og at de i liten grad har øvd på dette sammen med selskaper og leverandører i kraftforsyningen. Etaten har ikke et oppdatert planverk for beredskap eller en oppdatert plan for øvelser.
– Det er urovekkende at dette ikke prioriteres. Dette kan føre til at NVE er dårlig forberedt hvis et alvorlig angrep rammer kraftforsyningen, sier Foss.
Skjerpete krav til datasikkerhet
Fra 2019 har NVE skjerpet kravene til datasikkerhet i kraftforsyningen og styrket systemet for å dele informasjon om trusler, sårbarheter og datasikkerhetshendelser mellom aktørene i kraftforsyningen.
– Det er positivt at regelverket er styrket, men rapporten viser at mange selskaper mangler kompetanse innen datasikkerhet. Det er derfor viktig at NVE følger opp med god veiledning til selskapene, sier Foss.
NVE ser på rapporten
NVE vil nå se nærmere på innholdet i rapporten og følge opp anbefalingene som gjør at de kan bidra til at den norske kraftforsyningen fortsetter å ha et høyt sikkerhetsnivå. Det meder NVE i en pressemelding i dag.
Kraftforsyningen er svært viktig for de aller fleste samfunnsfunksjoner, og har i likhet med alle andre samfunnsområder de senere årene blitt digitalisert. Det gjør at et data-angrep mot det norske kraftsystemet kan få store konsekvenser. Forebyggende sikkerhet og beredskap er derfor prioriterte områder for både NVE og kraftbransjen.
– Vi er fornøyde med at Riksrevisjonen trekker frem at det på flere punkter gjøres et godt arbeid med datasikkerhet i kraftforsyningen, og så vil vi følge opp forslagene til forbedringstiltak, sier Ingunn Åsgard Bendiksen, direktør for Tilsyn- og beredskapsavdelingen i NVE.
FLERE SAKER
Black Week: Fire av 10 har funnet bilen bulket på parkeringsplass
Vil ha bedre forutsigbarhet for HV-soldatene
Nye krav: Nå skal vi kildesortere mer på jobben