Energiselskapene er avhengig av sine IKT-leverandører, men oppfølgingen av dem er mangelfull. I tillegg har NVE (Norges vassdrags- og energidirektorat) lite informasjon om leverandørenes IKT-sikkerhet og beredskap. Dette utgjør en risiko for IKT-sikkerheten i kraftforsyningen, slår Riksrevisjonen fast. Mange av selskapene i kraftforsyningen har helt eller delvis tjenesteutsatt driften av IKT-systemer – også driftskontrollfunksjoner hos noen.
Riksrevisjonen har undersøkt NVEs arbeid med IKT-sikkerhet i kraftforsyningen (Dokument 3:7 (2020–2021)). Om lag 20% av IKT-sikkerhetskoordinatorene i energiselskapene svarte i undersøkelsen at det i stor eller svært stor grad er utfordrende å etterleve kravene til anskaffelser og tjenesteutsetting.
Mange av selskapene i kraftforsyningen har helt eller delvis tjenesteutsatt driften av IKT-systemer, og for noen av selskapene gjelder dette også driftskontrollfunksjoner. Kraftforsyningens IKT-sikkerhet og beredskap er derfor i stor grad avhengig av leverandørenes IKT-sikkerhet. Riksrevisjonens undersøkelse viser at det er utfordrende for selskapene å sørge for at de har nok IKT-kompetanse internt, og at leverandørene deres har god nok IKT-sikkerhet. Mange av selskapene i kraftbransjen er små, mens mange leverandører er store multinasjonale selskaper. Dette, påpeker Riksrevisjonen, kan gjøre det utfordrende for selskapene å få gjennomslag for sikkerhetskrav ved kontraktsinngåelse og å gjennomføre sikkerhetsrevisjoner av leverandørene.
Samme leverandører
Mange selskaper i kraftforsyningen benytter seg av de samme leverandørene av IKT-systemer. Et vellykket angrep mot en leverandør eller et system som er utbredt i kraftforsyningen, vil ramme flere selskaper og større områder, og det er risiko for at leverandørene ikke har dimensjonert beredskapen for hendelser som rammer flere selskaper samtidig.
NVE kan per i dag ikke føre tilsyn med leverandørenes IKT-sikkerhet eller beredskapskapasitet. Leverandørene plikter heller ikke å varsle NVE om hendelser og kan ikke pålegges oppgaver av NVE ved ekstraordinære situasjoner.
Tilsyn i liten grad
I en undersøkelse utarbeidet for NVE om energiselskapers anskaffelser i 2018 oppga kun ett av de seks intervjuede selskapene at de hadde gjennomført tilsyn hos leverandøren etter kontraktsinngåelsen. Også en NVE-undersøkelse fra 2020 viser at enkelte selskaper i energiforsyningen i liten grad gjennomfører tilsyn med leverandørenes informasjonssikkerhet.
Dessuten har selskapene en rekke IKT-løsninger utover fellesløsningene, og det kan være vanskelig og dyrt for selskapene å gjennomføre sikkerhetsrevisjoner av disse systemene. Det fremgår også i Riksrevisjonens rapport at det oppleves at leverandørene er mer opptatt av funksjonaliteten enn av IKT-sikkerheten i systemene de tilbyr. Gjennomgående er det dessuten uoverensstemmelser mellom hvordan sikkerheten i systemene blir presentert av leverandører før en kontraktsinngåelse, og det selskapene senere ser ved sikkerhetsrevisjoner.
Sjekkliste
NVE har gitt ut en sjekkliste for IKT-sikkerhet i anskaffelser og tjenesteutsetting i kraftforsyningen. Ifølge NVE er det viktig at det blir tatt hensyn til IKT-sikkerheten allerede i en tidlig fase av en anskaffelse eller tjenesteutsetting. Samtidig må IKT-sikkerhet være et tema gjennom hele levetiden til produktet eller tjenesten som er anskaffet, inkludert ved avhending eller skifte av leverandør. Flere aktører gir uttrykk for at denne sjekklisten er et godt tiltak fra NVEs side, skriver Riksrevisjonen.
Bli den første til å kommentere på "Mangelfull leverandør-oppfølging gir risiko for IKT-sikkerheten i kraftforsyning"