Tidningen Energi 1
GÄ S TKRÖNIKA Energibranschen behöver ta cybersäk
erhet på större allvar Behoven av stärkt informations- och cybersäkerhet blir allt mer tydliga. Enligt en undersökning som PwC har tagit fram svarar sju av tio större svenska bolag att de bedömer att cyberbrotten kommer öka. Än så länge har vi i Sverige varit förskonade från riktigt allvarliga cyber händelser inom energiområdet, men tyvärr är sannolikheten hög för att en sådan händelse inte ligger särskilt långt bort i tiden. EU har också pekat ut energiförsörjningen som en av sju kritiska sektorer för ökad cybersäkerhet och nu är NIS-direktivet infört i svensk lag från och med 2018. Vi ser nu att den ökade diresultat. En annan central del är att ha en kontinuitetsplan. Vad gör vi när våra viktigaste tjänster inte fungerar? Vilka reservförfaranden har vi etablerat? Och så avslutningsvis, se till att öva detta! gitaliseringen har en baksida i form av större risker för attacker och intrång med skiftande syften. Cyberbrottslighet, ideologiskt motiverad hackning och national staters strategiska agendor ligger till stor del bakom det ökade antalet attackerna vi ser. Energibranschen behöver nu ta sitt ansvar och öka takten och systematiskt integrera informations- och cybersäkerhet på alla nivåer i verksamheten. Jag vill här lyfta fyra exempel där det finns stora behov av utveckling. 1. Lyft cybersäkerhet till styrelserummet. Cybersäkerhet behöver lyftas hela vägen upp och in i styrelserummen. Förvånansvärt många styrelser och ledningar i Sverige ser fortfarande cyberhot som en it-fråga. I en global PwCundersökning som genomfördes för ungefär ett år sedan och riktades till ansvariga för cybersäkerhet så angav två tredjedelar av respondenterna att de rapporterade direkt till vd eller styrelsen. I Sverige så är det betydlig färre, endast en femtedel av de ansvariga för cybersäkerhet rapporterar direkt till vd eller styrelse. Här ligger Sverige efter! 2. Bygg helhetslösningar utifrån risk- och sårbarhetsanalyser. Alla organisationer behöver göra en risk- och sårbarhetsanalys, alternativt en säkerhetsskyddsanalys om verksamheten omfattas av säkerhetsskyddslagen. Här identifierar man kritiska verksamheter eller tjänster som måste fungera, utifrån detta prioriteras sedan organisationens arbete. Ett idogt systematiskt informationssäkerhetsarbete över tid är sedan det som leder till ” Förvånansvärt många styrelser och ledningar i Sverige ser fortfarande cyberhot som en it-fråga” 3. Utbilda hela organisationen. Det finns stora behov av kompetensutveckling när det gäller cybersäkerhet. Många medarbetare ges inte ens en grundläggande utbildning i säkerhetstänk och hantering i utsatta situationer. Därför ser vi det som nödvändigt att både myndigheter och företag nu skapar krav för kontinuerlig utbildning i informationsoch cybersäkerhet för hela organisationen. Här skulle branschorganisationer kunna ta ett större gemensamt grepp, till exempel Energiföretagen. 4. Minska tredjepartsriskerna i din informationshantering. Cyberattacker riktade mot it-system kan leda till förödande avbrott i verksamheten. Konsekvenserna kan i många fall räknas i mångmiljonbortfall på intäktssidan och ett svärtat varumärke och är ytterst ett hot mot samhället. Dessa risker ökar också i takt med att organisationer blivit allt mer beroende av tredje part i leveransen av it-tjänster. Därför behöver det ställas hårdare krav på leverantörer av it-tjänster och andra samarbetspartners . Sveriges utveckling som ledande inom digitaliseringen är helt beroende av rätt hanterad informationsoch cybersäkerhet. Därför behövs krafttag här och nu för en säker och hållbar digital framtid. Så även inom energiområdet. Richard Oehme Director Societal Security, PwC Sverige Nr 2 2019 Tidningen ENERGI 43