Innen 2019 skal alle norske husstander ha fått installert en ny automatisk strømmåler. Måleren skal lese av strømforbruket hver time, og gi husholdningene mer nøyaktig informasjon om eget forbruk, mens informasjonen skal lagres i en nasjonal database.
Norges vassdrags- og energidirektorat (NVE) har gjennomført den første offisielle undersøkelsen blant alle norske nettselskap, som er ansvarlige for utrullingen av avanserte måle- og styringssystemer (AMS) innen 1. januar 2019.
Den ferske statusrapporten tar blant annet for seg hvordan nettselskapene vurderer datasikkerheten under hele AMS-utrullingen.
Undersøkelsen viser at majoriteten av norske nettselskap mener det er middels eller stor risiko for misbruk av data fra strømmålinger hos den enkelte husstand, gjennom hacking, uønsket tilgang til styrefunksjoner eller generell misbruk av måledata.
Mens 15 selskap mener risikoen er liten, mener hele 55 nettselskap at det er middels risiko for datasikkerheten i forbindelse med AMS-utrullingen.
Elleve nettselskap mener risikoen for misbruk av data er stor.
Les også: Slik kan hackere mørklegge Norge
Høyt antall
– Det er et høyt antall. Når det nå blir timesavlesning involverer dette store mengder måledata med finere oppløsning og dermed mer sensitiv data. Nettselskapene har selv ansvar for å sørge for at private strømdata ikke kommer på avveie. For at AMS-utrullingen skal bli en suksess er det viktig at nettselskapene ivaretar sikkerheten forsvarlig, sier seksjonssjef Heidi Kvalvåg i NVE.
– Hva kan skje dersom strømdata misbrukes?
– Det absolutt verste som kan skje er om noen hacker systemet og kobler ut strømforsyningen, slik at det blir mørkt hos folk. Sannsynligheten anses som svært liten, men kan ikke utelukkes, sier Kvalvåg.
AMS-brytere gjør nettselskap i stand til å koble ut strømmen til en husstand uten at de må rykke ut til adressen, såkalt fjernutkobling.
NVE følger med på utrullingen av automatiske strømmålere i Sverige og Finland. Ifølge Kvalvåg har energimyndighetene i disse landene så langt ikke meldt om tilsvarende hendelser.
Les også: Forskere har utviklet 90 prosent billigere LED-pærer
Jukser med strømregning
Men data fra de nye strømmålerne kan brukes til langt mer, fra å kartlegge en persons daglige rutiner gjennom strømforbruket, til å manipulere beløpet på egen strømregning på bekostning av for eksempel naboens.
Kvalvåg forteller at manipulering av målerdata er avdekket både i USA og enkelte steder i Europa.
– Hvis datasikkerheten ikke håndteres forsvarlig, og aktører får urettmessig tilgang til måledata, kan en se for seg en rekke uheldige scenarier. Derfor er vi svært opptatt av IKT-sikkerheten, informasjonen skal krypteres fra ende til ende, sier Kvalvåg.
I tillegg skal nettselskapene ha rutiner på plass dersom det oppstår hendelser, såkalte avvik.
Les også: – Kraftsystemet må ikke bli lavterskel-tilbud for terrorister
Mangler kompetanse
NVE-rapporten avdekker også at majoriteten av norske nettselskap mener det er risiko for at manglende kompetanse og interne ressurser vil bremse eller påvirke AMS-arbeidet.
Hele 55 nettselskap mener risikoen er moderat, mens 11 selskap mener risikoen er stor. Bare 15 selskap mener risikoen er liten.
Kvalvåg setter funnet i sammenheng med manglende IKT-kunnskap internt i nettselskapene.
Hun forteller at enkelte nettsjefer sammenligner AMS-utrullingen med det å skulle opprette en egen telekomvirksomhet i nettselskapet.
– Nettselskapene er dyktige på å drive strømnettet, men nå skal de i tillegg etablere kommunikasjonsnettverk ut til alle kundene. Automatiske strømmålere fortsetter avansert IKT-kunnskap, og det er et nytt felt for mange, sier Kvalvåg - og supplerer:
– Økt bruk av IKT innebærer nye utfordringer, men første del er å erkjenne at ny kunnskap trengs. Det er det viktig for oss at nettselskapene gjør, sier Kvalvåg.
Les også: Løpende informasjon kan redusere kraftforbruket med 11 prosent
Venter hendelser
Datatilsynet har lenge vært kritisk til at informasjon om hver enkelt strømkunde skal måles hver time.
Tilsynet er også kritisk til at timesmålinger fra alle norske husstander skal lagres i en felles database (Elhub) Denne skal stå klar i 2017 og driftes av Statnett.
– Det ligger et overvåkingspotensial her. Det vil finnes databaser hvor vi ned på timesnivå kan se om norske hjem er i bruk eller ikke. Det er det store bildet. Jeg blir overrasket om vi ikke opplever uheldige hendelser knyttet til AMS i løpet av de neste årene. Det opplever vi for mye elektronisk utstyr, sier avdelingsdirektør Helge Veum i Datatilsynet til Teknisk Ukeblad.
Datatilsynet har dialog med både NVE og Statnett underveis i etableringen av den nasjonale databasen.
– Vi er bekymret når de selskapene som er ansvarlig for datasikkerheten selv peker på at de ser utfordringer. Samtidig er bra at de faktisk identifiserer risikoen. Det er første skritt i arbeidet med å gjennomføre sikkerhetstiltak, sier Veum, og understreker at det er viktig at undersøkelsen blir fulgt opp av bransjen.
Les også: Vil endre nettleien: Dyrere å bruke mye strøm på én gang
Vil bryte seg inn
NVE varsler at de vil sjekke om det går an å hacke seg inn på det enkelte nettselskaps systemer etterhvert som installasjonsarbeid blir ferdig i løpet av de to-tre kommende årene.
– Vi utelukker ikke tilsyn, for eksempel penetrasjonstester, for å se om det går an å bryte seg inn på nettselskapenes systemer og hente ut måleinformasjon. Det er viktig for oss å avdekke en eventuell digital sårbarhet hos det enkelte nettselskap, sier Kvalvåg.
Forskere: Forskere: AMS uten display kan ramme familier med lav inntekt
– Komplekst
Agder Energi startet arbeidet med automatiske strømmålere allerede i 2009. Administrerende direktør i Agder Energi mener det å få data fra hver enkelt husstand til å strømme gjennom systemene på en sikker måte, er noe av det mest krevende ved hele AMS-utrullingen.
– Jeg mener AMS utgjør en stor risiko for datasikkerheten, og konsekvensene kan være store. De tiltakene vi har gjort gjennom årene, har redusert risikoen for hendelser i vårt selskap. Samtidig tror jeg en del av de mindre nettselskapene ikke har tatt nok innover seg hvor komplekst dette arbeidet er, sier Folgerø, og påpeker at det er avgjørende å foreta grundig analyse av kommunikasjonsflyten i systemene.
Agder Energi-direktøren berømmer mindre nettselskap som har gått sammen i klynger på Østlandet, i Trøndelag og på Vestlandet, for å trekke lærdom av hverandre.
– Å montere strømmåler og håndtere logistikk utgjør 80 prosent av kostnadene, men bare 20 prosent av kompleksiteten ved AMS-utrullingen. Å håndtere strømdata på en sikker måte, og skape nytteverdi utgjør bare 20 prosent av kostnadene, men 80 prosent av kompleksiteten. Det er viktig å ta inn over seg, sier Folgerø.
Rapporten viser at hele 63 av nettselskapene har inngått samarbeidsavtale med andre nettselskap, mens 18 selskap ikke har inngått noen form for samarbeidsavtale.
Les også: – Automatiske strømmålere kan bli en gigantisk feilinvestering