Fjärrvärmetidningen nr 2 2013 1
IT Även om svenska energibolags informationssäker
het inte kan beskrivas som dålig finns det helt klart mer att göra. System växer samman och hoten ökar. För Rita Lenander är risk- och konsekvensanalyser lika naturligt på jobbet som när hon tar ut sin motorcykel på vägarna. Sätt inte säkerhetsfrågorna på undantag Namn: Rita Lenander. Befattning: Chief Information Security Officer vid MU (Managing Unit) E.ON Nordic. Utbildning: Fil kand, systemvetenskap, samt CISM (Certified Information Security Manager) från ISACA. Ålder: 58 år. Familj: Man och två vuxna barn som alla arbetar inom säkerhetsbranschen gör samtalsämnet vid söndagsmiddagarna rätt givet. Bor: I villa i Ljunghusen, precis efter Falsterbokanalen. Uppvärmning: El och luftvärmepump eftersom fjärrvärmenät saknas. Senast lästa bok: Sträckläsning av Jan Guillous ”Brobyggarna”. Favorithund: Familjen är nu inne på sin tredje rottweiler, 16 månader gammal. Helst på fritiden: På Harley-Davidson Fat Boy tillsammans med andra MCtjejer från klubben Qvinns. Närbild 18 D e system som styr och övervakar produktion och distribution av fjärrvärme, el och vatten har av tradition varit rätt oskyddade mot exempelvis dataintrång och elak kod. De har konstruerats för att pålitligt reglera reläer, pumpar och ventiler snarare än att kunna kopplas samman med andra system. – Just därför är det så viktigt att inte sätta säkerhetsfrågorna på undantag när processystem ska integreras med administrativa system för att exempelvis leverera in statistik och faktureringsuppgifter, säger Rita Lenander. Rita Lenander har perspektiv på utvecklingen inom detta område. År 2002 lämnade hon Arthur Andersen för att börja som IT-säkerhetschef på dåvarande Sydkraft. Idag är hon CISO, eller Chief Information Security Officer som den formella titeln lyder, vid E.ON Nordic. – Att arbeta med säkerhetsfrågor och hela tiden försöka ligga steget före är både utmanande och givande. Jag har kul på jobbet – varenda dag! Höjd säkerhet För fem sex år sedan insåg leverantörerna problematiken och började arbeta för att höja säkerheten i sina PLC- och SCADA-produkter. Fast det innebär inte att energibranschen kollektivt nu kan andas ut. – Den tekniska livslängden hos den här typen av system är lång. Utrustningen håller ofta i tio år, kanske till och med femton år. Att byta i förtid innebär merkostnader. Säkerhet kommer länge än att vara ett tillägg snarare än en integrerad del av systemen. Rita Lenander poängterar vikten av att ställa säkerhetskrav på styroch reglerleverantörerna. Samtidigt gäller det att inse att de inte tänker åt dig: – Det är du som är ansvarig gentemot kunder, miljö och myndigheter. Leverantörerna kan aldrig överta ditt samhällsansvar. Dessutom tillkommer hela tiden nya hot. Morgondagens smarta nät kräver ökat informationsutbyte mellan nätens olika enheter – och kunderna vill ha större möjligheter att styra sina leveranser: – Vem säkrar alla de appar som kommunicerar med mätare och annan utrustning i nätet? Analyserar risker God informationssäkerhet behöver faktiskt inte betyda skyhöga kostnader. Det där med att bondförnuft räcker är en sliten klyscha, men den är faktiskt inte helt felaktig. – Risk- och konsekvensanalyser låter kanske högtidligt och krångligt, men faktum är ju att vi alla gör sådana analyser, utan att tänka mer på det, hundratals gånger per dag. Till Ritas Lenander njutningsmedel hör en blå Harley-Davidson. Hon tar sitt eget motorcykelåkande som exempel på vardagsanalyserandet. Kommer bilisten att svänga ut från påfarten? Hinner vi hem innan det börjar regna? Fast på jobbet får man ställa andra frågor: – Vad är det värsta som kan drabba företaget? Är ITteknik inblandat? Går det att driva verksamheten utan fungerande IT-stöd? Säkerhetstänkandet hos svenska energibolag beskrivs som relativt gott. Inte oväntat går branschens stora i bräschen när det gäller förebyggande åtgärder. Rita Lenander har CISO-kolleger på de stora bolagen – och på flera av de medelstora. – Även om det självklart finns mer att göra på många håll står vi oss bra jämfört med övriga europeiska länder. USA beskrivs som ett föregångsland. Ändå släckte elak kod lyset för miljontals abonnenter i bland annat New York år 2006. Elbolagen hade garden uppe, men det räckte inte den gången. – Ingen tvekan om att ansvaret för samhällsviktig infrastruktur gör energibranschen mer exponerad för olika typer av high-tech-brott än exempelvis industriföretag. Säkerhet – inget konkurrensmedel Är verkligen även de minsta el- och fjärrvärmeföretagen med på säkerhetståget? Fjärrvärmetidningen • Nr 2 • Mars 2013