Behovet har vært diskutert i en årrekke. Nå skjer det.
I løpet av første kvartal neste år er planen at kraftbransjens eget sikkerhetsselskap, Kraftcert, skal etableres for å styrke kraftforsyningens motstandskraft mot dataangrep.
Kriseteam
Hafslund og Statkraft har allerede bestemt seg. I dag er det ventet at også Statnett formelt fatter vedtak om å garantere for finansiering av selskapet.
Kraftcert skal samarbeide med Norcert, operasjonssenteret til Nasjonal sikkerhetsmyndighet (NSM). Norcert varsler og håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon, og er inne i tusenvis av saker hvert år.
– Kraftbransjen har systemer og løsninger som er helt spesielle for vår bransje. Norcert har ikke kapasitet til å lage gode overvåkingsløsninger og sikringsmekanismer for alle sektorene i Norge, derfor har Norcert og NVE ivret for dette i lengre tid, sier Lars Holten i Statkraft.
Fra før har blant annet helse-, finans-, og justissektoren etablert egne såkalte "certs" i Norge, i tillegg til universitets- og høgskolesektoren. Cert står for Computer emergency response team.
– Vår situasjon er spesiell, vi har litt andre behov enn andre sektorer. Uansett hva slags angrep eller hendelser som inntreffer, må våre systemer holdes oppe. Strømmen må leveres, sier Margrete Raaum, rådgiver for informasjonssikkerhet i Statnett.
Les også: Slik kan hackere mørklegge Norge
Tre ulike tjenester
Raaum viser til at sårbarheten i kraftsektoren har økt de siste årene, i takt med at stadig flere prosesser styres via datasystemer.
– Det rulles ut IKT-løsninger, standardløsninger, midt i vår prosesskontroll-verden. Det er delikat, for det åpner seg en angrepsflate mot prosessanlegg som ikke har vært der tidligere, sier Raaum.
Kraftcert skal få 3-4 ansatte på heltid. Hvor selskapet skal holde til er foreløpig ikke bestemt, men det er et ønske å plassere teamet sammen med tilsvarende miljøer i andre bransjer.
– Selskapet må ha egnede lokaler med en robust infrastruktur, ettersom de kommer til å sitte på sensitiv informasjon. Det vil være underlagt samme sikkerhetsklarering og krav til sikring av data som Norcert. Det kan ikke bare holde i standard kontorlokaler, sier Holten i Statkraft.
Kraftcert skal levere tre tjenester:
- Hendelseshåndtering: Hjelpe energiselskap som er utsatt for dataangrep med å håndtere hendelsen, gi forslag til tiltak, samt koordinere responsen dersom flere selskap blir angrepet samtidig.
- Overvåking, analyse og informasjonsspredning: Skaffe informasjon om IKT-hendelser og trusler inn mot kraftbransjen i Norge og i tilsvarende selskaper i utlandet, også gjennom Norcert.
- Overvåking og deteksjon: Energiselskap som ønsker det kan etablere interne overvåkingsnettverk, og samle inn data fra egne systemer og kommunikasjonslinjer og sende en sammenstilling til Kraftcert. Sikkerhetsekspertene analyserer og oppdager eventuelt uønskede hendelser gjennom materialet, og bistår i å håndtere situasjonen.
Les også: Sjekk hvordan Statnetts toppliner ises ned om vinteren
Vanskelig å løse selv
Holten mener det nærmest er umulig for vanlige kraftselskap å få tilgang til den informasjonen en Cert kan få, eller etablere et like godt fagmiljø.
– Forvaltningen har store krav til denne typen tjenester. Mange av oppgavene er vanskelig å løse selv, ikke minst for de små selskapene. Bare det å innhente informasjon om hendelser andre selskap har vært utsatt for, vil være svært vanskelig. Det krever profesjonalitet og konfidensialitet. Man skal også ha kapasitet til å distribuere sensitive informasjon på en fornuftig måte, sier Holten.
– Vi tror vi står mye sterkere om vi står sammen. De største energiselskapene klarer kanskje dette på egen hånd, men disse oppgavene er vanskelig å løse selv for oss, sier Raaum i Statnett.
Olje- og gass-samarbeid
Raaum ser ikke bort i fra at også olje- og gass-sektoren kan involveres i Kraftcert.
– Oljesektoren i Norge er ganske liten. Får de på plass en avtale med egne regulerende myndigheter, er det ingenting i veien for det. Statoil har et eget, veldig erfarent team. Det hadde vært flott å samarbeide med dem, sier Raaum.
I slutten av september inviterer de tre selskapene til et informasjonsmøte for alle større og mellomstore energiselskap i Norge. Her får selskapene høre om de konkrete planene, hva slags tjenester de kan forvente og hva det vil koste.
– Kraftcert vil ikke bli finansiert av myndighetene. Vi regner med at det koster 3-5 millioner å etablere selskapet, og 8-10 millioner kroner i årlige driftskostnader. Vi ønsker flere investorer med, selv om vi garanterer for oppstarten av selskapet, sier Holten.
Les også: Verdens største solvarme-kraftverk griller fugler i luften
Bemanning
Håpet er at så mange selskaper som mulig skal delta i finansieringen av Kraftcert, men Holten understreker at Kraftcert skal tilby tjenester til alle i energibransjen uavhengig om de er med på eiersiden.
Tjenestene skal finansieres med medlemsskap, og Holten tror at de aller fleste kraftselskapene vil være interessert deler av tjenestene.
Intensjonen er at Kraftcert skal være operativ slutten av første kvartal neste år. Det er imidlertid en risikofaktor som kan utsette oppstarten.
– Det avhenger av at vi klarer å rekruttere de rette personene til å bemanne selskapet. Rekrutteringen kan bli en stor utfordring, det er stor etterspørsel etter folk med sikkerhetskompetanse, sier Holten.
Nødvendig
Norges vassdrags- og energidirektorat (NVE) har i lang tid ivret for et eget datasikkerhetsorgan for kraftbransjen.
– IKT-sikkerhet er krevende og trusselbildet må tas på alvor. NVE stiller krav til de enkelte nett- og produksjonsselskapene, men det er lov å samarbeide om ressurser, kompetanse og tiltak. Ikke bare lov, men lurt og kanskje til og med helt nødvendig for å holde sikkerheten oppe i en tid med stor endringstakt og dynamisk trusselbilde, sier beredskapssjef Arthur Gjengstø i NVE til Teknisk Ukeblad.
Les også:
Se hvordan Statnett kan se mulige strømbrudd før de skjer
Ny programvare slår tilbake dataangrep ved å imitere våpenet