Tidningen Energi 1
Tema It-säkerhet P å bara några få år har it-hote
n i samhället gått från virus, spam och hacking till cyberangrepp och strukturkollaps. Idag är kommersiellt och politiskt spionage en barnlek för alla med resurser och låg moral. – Tidigare pratade vi om hotet mot elnätet som något teoretiskt som säkerhetsexperter varnade för kunde komma. Men det är på riktigt nu. Mer och mer står på spel. Dataintrång kan idag orsaka otroligt mycket större skada än för få år sedan. Det kan äventyra ekonomi, demokrati och ett helt lands säkerhet, säger Linus Larsson, teknikskribent på Dagens Nyheter. 2011 skrev han boken Svenska hackare tillsammans med Daniel Goldberg – om internets ”mörka sida” på den tiden hotet bestod av nattsuddande pc-nördar med bekräftelsebehov. Därefter ändrades hot till hat. I vintras citerade Dagens Nyheter försvarsminister Peter Hultqvist som hade uttalat att svenska elnät är hotade. – Elbranschen är bland det mest intressanta för den som vill komma åt kritisk samhällsstruktur. Utslagning av elnät har skett på flera håll, inte enbart i Ukraina, säger Linus Larsson. kan känna sig trygga med att säkerheten kan garanteras när man avropar från Sinfras ramavtal. Varje upphandling är unik med avseende på att säkerställa säkerhetskraven, säger Lars-Eric Larsson. – Vi har inga specifika mallar för hur säkerhetsfrågor ska behandlas i varje upphandling, utan konsulterar alltid specialister från branschen vid varje tillfälle. Vi har själva inte möjlighet att ha spetskompetens inom alla områden, det har vi inte resurser till. Ett problem är att kompetensen kring säkerhetsfrågorna varierar mellan elnätsbolagen och de har därför ofta skilda resurser inom området, menar Lars-Eric Larsson. Stora koncerner och elnätsverksamheter har mångfaldigt större möjligheter till hantering av it -säkerhetsfrågorna än små företag har. Det påverkar den digitala kompetensen, som i branschen blir mycket ojämlik. – Därför tycker vi att it-säkerhet snarare är en branschfråga än en upphandlingsfråga, säger Lars-Eric Larsson. Mälarenergi är en flitig Digitalhot 2.0 Ungefär samtidigt som Linus Larsson skrev sin hackerbok släppte USA och Israel loss Stuxnet, ett virus som blev startskottet till modern cyberkrigföring. Syftet var att knäcka Irans styrsystem för kärnkraftscentrifuger, något det också gjorde, men samtidigt spreds Stuxnet okontrollerat till europeisk industri och infrastruktur genom att infektera styrsystemet SCADA. Sedan dess har sabotagetekniken finputsats och den tekniska utvecklingen exploderat. När it blev AI (artificiell intelligens) hann riskerna ifatt den mest fantasifulla spionroman. Idag finns enkla appar för amatörsabotören. Elnätsbranschen står inte handfallen i denna storm. Hos Energiföretagen Sverige finns sedan länge ett säkerhetsarbete i bland annat EBITS, arbetsgruppen för informationssäkerhet, som även är branschens remissorgan gentemot myndigheterna. I den praktiska vardagen köps elnätstekniken in direkt av elnätsägarna eller upphandlas via upphandlingsorganisationer. På energiområdet är medlemsföreningen Sinfra en stor aktör. – Vi ser ett ökande behov av informationssäkerhet och vi tar alltid in säkerhetsfrågorna inom ramen för upphandlingarna, säger Lars-Eric Larsson, affärsområdeschef för upphandling. Enligt Lars-Eric Larsson ställer Sinfra höga krav på anbudslämnare som måste beskriva hur de säkerställer sina produkter, system och tjänster i förhållande till standarder och gällande lagstiftning. – Det är givetvis viktigt att energibranschens aktörer 34 Tidningen ENERGI Nr 2 2019 ”Det går inte längre att bocka av it-säkerhet på en blankett och säga ’yes, då var det klart’” användare av Sinfras upphandlingssystem. I upphandlingen av 110 000 elmätare tog man in en separat säkerhetskonsult, berättar Tobias Dubois, projek tledare på Mälarenergi Elnät AB. – Upphandlingen sköttes via Sinfra men den är ganska ospecificerad vad gäller säkerhet, så vi kompletterade med en förfrågan kring våra högt ställda krav. Även om vi har många kompetenta medarbetare så tycker vi det är viktigt att ta in en tredjepart. Elnätsbranschens generationsskifte, både vad gäller riskvärdering, teknik och regleringar, blir samtidigt en vägkorsning där bolagen och branschen måste välja riktning, menar Tobias Dubois. Det går inte att smyga undan. – Informationssäkerhet är mer än någonsin ett fortlöpande arbete som oavsett upphandlingar, utrullningar och externa konsulter kräver stenhårt arbete hela tiden. Tobias Dubois. Kineser i sladden – Det går inte längre att bocka av it-säkerhet på en blankett och säga ”yes, då var det klart”. Elnätsägarna är framöver tvungna att lägga stora resurser på säkerheten, både organisatoriskt och processmässigt, säger Tobias Dubois. Ingen går dock säker. Det är nära ödets ironi att mitt under reportagets research kommer nyheten att den stora it-koncernen Visma bekräftar att deras norska verksamhet har utsatts för en stor it-attack. Sinfra sköter samtliga upphandlingar i Vismas upphandlingssystem Tendsign, Sveriges mest använda digitala upphandlingssystem som tar hand om processen mellan upphandlare och anbudsgivare. Angreppet