For å kunne gi kraftsektoren god digital beskyttelse, holder det ikke bare å ha brannmurer, virusbeskyttelse og opplæring av ansatte på plass. Vi må tenke som en cyber-skurk.
Å beskytte seg blindt mot enhver trussel uten å ane hvor den kommer fra er for omfattende. I stedet må vi gå metodisk til verks når vi skal vokte kraftsektoren.
Faren kan bekjempes gjennom tre sikkerhetsnivåer.
Sikkerhetsnivå 1: Elektronisk beskyttelse
Olje-, vind-, sol- og vannkraft har til felles at de krever en rekke styringssystemer for å fungere. I takt med samfunnets digitalisering vil kraftsektorens systemer også måtte utveksle informasjon med systemer i andre sektorer.
Utbredelse og sammenkobling i den digitale arkitekturen gjør at en angriper kan spore svakheter. Via en brist eller et smutthull i et perifert system kan fienden føres inn til verdifulle målsystemer. Selv godt sikrede strukturer kan derfor bli angrepet via andre sammenkoblede nettverk.
Ved å tenke som en skurk kan vi lete etter våre egne svakheter. Når vi forstår skurkens mål, kan vi metodisk arbeide for å forsvare det.
Vårt digitaliserte samfunn er avhengig av kraftsektoren. Sektoren må derfor tenke på elektronisk beskyttelse som går utover de selvsagte mekanismene som brannmurer, sikkerhetsovervåkning og virusbeskyttelse. Denne programvaren vil bare beskytte mot kjente og ordinære angrep og er derfor det laveste nivået av sikkerhet.
Sikkerhetsnivå 2: Menneskelig kontroll
Daglig blir vi minnet på at virus som rammer mennesker kan innta nye former. Slik er det også med virus som kan spres fra maskin til maskin. Forskjellen er at nye former for data-virus alltid vil ha menneskers onde hensikter bak sin eksistens. Programvaren fungerer som elektroniske skjold og hjelper oss i første ledd, men neste sikkerhetsnivå må håndteres av mennesker. Det handler om kunnskap, cyberhygiene og kontroll.
Menneskene som bruker systemene må vite hva de kan og ikke kan gjøre når de skal gjennomføre forandringer i arkitekturen. Sikkerhetsregimene for lagring, autentiseringer og utveksling av informasjon må gjøres enkle nok for alle, samtidig som de må være strenge nok til at systemene ikke blottstilles.
Gjennom konfigurasjonskontroll kan man finne ut av endringenes konsekvenser og avvik før de iverksettes. Vi må vite effekten av forandringene for å beskytte systemet effektivt. Cyberhygiene og konfigurasjonskontroll går utover de tekniske systemene og ansees således som et høyere og mer omfattende nivå i beskyttelsespyramiden.
Sikkerhetsnivå 3: Tenk som en skurk
De med onde hensikter er oppfinnsomme – kraftbransjen må derfor avdekke egne svakheter. En mektig motstander med uendelige ressurser, vil kunne tenkes å finne angrepsveier rundt beskyttelsesmekanismene fra de to første nivåene. Kraftsektoren trenger derfor, i tillegg til grunnleggende beskyttelse, cyberhygiene og kontroll, å heve beskyttelsen til et høyere nivå.
Ved å tenke som en skurk kan vi lete etter våre egne svakheter. Når vi forstår skurkens mål, kan vi metodisk arbeide for å forsvare det. Dette vil gi oss en rimelig sjanse til å tette smutthullene som morgendagens cybervirus prøver å finne.
Den reaktive tilnærmingen vi inntar i de laveste sikkerhetsnivåene vil ikke være nok når kraftsektoren skal gi strøm til morgendagens PC-er. Det vil være en evig kamp mellom det gode mot det onde, og vi har ikke råd til å tape.
