Cybersikkerhet i energisektoren

Verden opplever et forsterket trusselbilde på et geopolitisk nivå. Samtidig digitaliseres energisektoren i høyt tempo. Digitaliseringen av energiforsyningen, og økningen i verdien av digital infrastruktur, påvirker risikobildet. Aktørene i bransjen blir sårbare for bortfall av tjenester, manipulering med sensitiv og kritisk data, og uønsket overtakelse av informasjonssystemer.

Virksomheter i energisektoren håndterer ofte i tillegg systemer av kritisk samfunnsverdi. Dette gjør det ekstra viktig å håndtere det digitale trusselbildet på en god måte, men gir samtidig også ekstra utfordringer med å implementere tilstrekkelige sikkerhetstiltak.

Cyberkriminelle finner veien inn i systemene, utnytter store forandringer, og manipulerer ansatte i situasjoner hvor det hersker usikkerhet. Gjennom strukturert arbeid med rutiner og prosesser, systematisk testing av systemer og nettverk, opplæring og bevisstgjøring av ansatte, samt deling av erfaringer på tvers av sektoren vil selskapene stå bedre rustet skulle et cyberangrep inntreffe.

Gjennom webinar og relevant innhold ønsker vi å rette søkelyset mot cybersikkerhet i energisektoren, og dele våre råd og erfaringer fra mange års arbeid innen den sektoren. På denne siden finner du blant annet:

Podcasten "Energidebatten" hvor Christopher Kiønig deltok i panelet med NSM (Nasjonal Cybersikkerhetssenter) og KraftCERT.

Webinar om "Innebygd sikkerhet og sikkerhet i verdikjeden" sammen med Sintef og KraftCERT.

Webinar om "Sikkerhetstesting og etterlevelse av regulaoriske krav"

En oversikt over viktige krav fra Kraftberedskapsforskriften.

 

Energidebatten - Energibransjen er under angrep!

Cybersikkerhet er ikke en jobb som kan delegeres til IT-avdelingen eller IT-leverandøren, det er en jobb for alle i hele kraftselskapet.

Den 21. juni arrangerte enerWE Partner energidebatten om cybersikkerhet, hvor vår Christopher Kiønig debatterte noen av utfordringene og mulighetene knyttet til cybersikkerhet i kraftbransjen sammen med Margrete Raaum fra KraftCERT og Harald Næss fra Nasjonal Sikkerhetsmyndighet (NSM).

LYTT TIL HELE DEBATTEN HER (PODCAST).

Christopher Kiønig understrekte i tillegg behovet for økt bestillerkompetanse. Det er essensielt at de som kjøper inn produkter og tjenester baserer forespørslene på riktig og oppdatert grunnlag, og Kiønig viste til gode og kostnadseffektive tiltak som f.eks. å ta i bruk noen av de mange gode gratis rammeverkene for cybersikkerhet, blant annet NSMs "Grunnprinsipper for IKT-sikkerhet".

 

Innebygd sikkerhet og sikkerhet i verdikjeden

Sammen med senior sikkerhetsanalytiker i KraftCERT, Lars Erik Smevold, og forskningssjef i Sintef, Maria Bartnes, diskuterte vi sikkerhetstilstanden i sektoren, så på betydningen av god cybersikkerhet i verdikjeden, og hva vi kan lære av den senere tids hendelser.

Om foredragene

Alvorlige hackerangrep – kan vi håndtere dem? Eller kan vi unngå dem? 

v/ MARIA BARTNES, FORSKNINGSSJEF, SINTEF

Alvorlige hackerangrep mot kritisk infrastruktur skjer stadig oftere, som i USA hvor drivstoffleveringen ble satt ut av spill i deler av landet. Hvor godt forberedt er vi på å håndtere noe slikt i Norge? 

Samtidig kan vi bli mye bedre på å utvikle sikre og robuste digitale tjenester. Innebygd sikkerhet er en nødvendighet – her er vi ikke gode nok, enda kunnskapen er høy. 

Kanskje er det på tide å la sikkerhet, ikke funksjonalitet, bestemme tempoet på digitaliseringen nå?

Sikkerhet i verdikjeden - erfaringer og anbefalinger 

v/ LARS ERIK SMEVOLD, SECURITY ANALYST, KRAFTCERT

Den siste tids hendelser har vist hvor viktig det er med god sikkerhet i hele verdikjeden. Gjennom praktiske eksempler ser Lars Erik nærmere på hvordan virksomheter bør bruke beste praksis og involvere verdikjeden i sikkerhetsarbeidet.

SE WEBINARET HER

 

Sikkerhetstesting og etterlevelse av regulatoriske krav

Vi ser nærmere på betydningen av sikkerhetstesting, hvordan virksomheter i sektoren på en god og kostnadseffektiv måte kan etterleve regulatoriske krav, og deler vår erfaring med sikkerhetstesting gjennom 16 år.

I webinaret svarer vi blant annet på...

  • Hvorfor og hvordan gjennomføre sikkerhets- / penetrasjons- / inntrengningstesting i sektoren?
  • Hvilke tester gir størst verdi, både for virksomheten og for etterlevelse av regulatoriske krav?
  • Hvordan møter vi de geopolitiske utfordringene gjennom sikkerhetstesting?
  • Hvordan gjennomføre tester mot IT og OT miljøer, spesielt i overgangen mellom miljøene?
  • Hvordan gjennomfører man sonetesting? Vi deler våre erfaringer med sikkerhetstesting av interne nettverk oppdelt i soner, og ser på verdien dette kan ha for energisektoren

SE WEBINARET HER

 

Kristisk infrastruktur underlagt regulatoriske krav

Deler av energisektoren forvalter kritisk infrastruktur (KI), og er underlagt kraftberedskapsforskriften§ 6-9 - Digitale informasjonssystemer gir retningslinjer for hvilke aktiviteter som skal gjennomføres på jevnlig basis.

Virksomheter skal ha en grunnsikring for digitale informasjonssystemer i henhold til anerkjente standarder og normer, herunder:

a) Identifisere og dokumentere

Virksomheter skal identifisere og dokumentere verdier, leveranser, tjenester, systemer og brukere i sine digitale informasjonssystemer.

b) Risikovurdering

Virksomheter skal gjennomføre risikovurdering ved systemendringer.

c) Sikre og oppdage

Virksomheter skal sikre sine digitale informasjonssystemer for å motstå eller begrense skade fra uønskede hendelser.

Virksomheter skal overvåke sine digitale informasjonssystemer slik at uønskede hendelser oppdages og registrere.

Virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til den beredskapsmyndigheten bestemmer.

d) Håndtere og gjenopprette

Virksomheter skal håndtere uønskede hendelser i sine digitale informasjonssystemer og gjenopprette normaltilstand uten ugrunnet opphold.

e) Tjenesteutsetting

Virksomheter skal sørge for at sikkerhetsnivået opprettholdes eller forbedres ved utsetting av tjenester.

f) Sikkerhetsrevisjon

Virksomheter skal jevnlig gjennomføre revisjoner av iverksatte sikringstiltak for digitale informasjonssystemer.

Revisjoner skal påse at tiltakene faktisk er etablert og fungerer etter sin hensikt. Hver revisjon kan ta for seg deler av sikringstiltakene.

Vi har i flere år jobbet med energisektoren og opparbeidet oss verdifull kunnskap og kompetanse. Dette omfatter alle deler av cybersikkerheten, men spesielt innenfor sikkerhetstesting / penetrasjonstesting / inntrengningstesting.