Tidningen Energi 1
Tema Cybersäkerhet S En attack på energisystemet
riskerar att få dominoeffekter. Pontus Johnson, professor, KTH. Alla som bedriver en kritisk infrastruktur verksamhet bör ha en lägstanivå för cybersäkerheten. Emma Johansson, ansvarig för säkerhetsfrågor på Energiföretagen. 20 NR 4 2021 TIDNINGEN ENERGI ommarens cyberattack mot Coop resulterade i att livsmedelskedjans butiker tvingades stänga i drygt en vecka med över 100 miljoner kronor i förlorade intäkter som följd. Många menar att händelsen tjänat som en väckarklocka för hur sårbara företag och organisationer är för olika cyberattacker. Sverige är ett av världens mest digitaliserade länder – samtidigt lämnar cybersäkerheten betydligt mer att önska. I det globala National Cybersecurity Index som mäter länders motståndskraft halkade Sverige i år ned till plats 44 från förra årets plats 32. Ett problem är hur samordningen för en förbättrad cybersäkerhet ska organiseras. Det menar Pontus Johnson, professor på KTH som leder arbetet med att etablera ett nationellt forskningscenter för cyberförsvar. – Regeringen har insett att det här är ett problem och därför upprättat det Nationella Cybersäkerhetscentret som ska försöka samordna berörda myndigheter och organisationer. Men det arbetet har precis börjat, säger han. Pontus Johnson konstaterar att hoten ökat kraftigt de senaste åren när både stater och kriminella organisationer mobiliserar offensiva cyberarméer. I det sammanhanget är den svenska cybersäkerheten låg, menar han. – Det är häpnadsväckande hur många svagheter det finns i de system som vi förlitar oss på. Tidigare fanns det luftgap mellan de kritiska systemen och internet. Dessa har försvunnit, vilket resulterat i en situation där mycket värdefull information förvaltas av mer eller mindre oskyddade uppkopplade system, säger Pontus Johnson. Cyberangrepp vore inte ett problem om det gick att bygga helt säkra system, men det är idag omöjligt, fortsätter han. Det finns dock en rad relativt enkla åtgärder som systemförvaltare kan vidta. Det handlar om att göra regelbundna uppdateringar, att installera brandväggar och se till att kryptera känslig information samt att använda säkra lösenord och användarnamn. – Det är lågt hängande frukter för angripare som kan plockas bort utan större ansträngning, men ofta missar man även det. Tyvärr ser jag ständigt exempel på genant dålig cyberhygien bland företag och organisationer, konstaterar Pontus Johnson. Men spelplanen är ojämn och försvararna ligger i underläge, uppger cybersäkerhetsspecialisten Jonas Lejon som driver företaget Triop och bloggen Kryptera.se. – Försvararna kanske har fler hundra olika saker som de måste hålla koll på medan en angripare bara behöver hitta en eller två ingångar. Det handlar om att minimera riskerna och göra det kostsamt för dem som vill ta sig in. Lyckligtvis har det svenska energisystemet varit förskonat från större angrepp men Emma Johansson, ansvarig för säkerhetsfrågor på Energiföretagen, berättar att angreppen ökar. Det är vanligt med ”läckande” mjukvara och flera energiföretag drabbades till exempel av cyberangreppet mot Coop i somras berättar hon. – Det berodde just på att man har samma mjukvaruleverantör. Men det handlade om it-systemen och de här företagen kunde fortfarande leverera och distribuera energi. Om det sker ett angrepp mot de operationella systemen kan det dock få allvarliga effekter eftersom elleveranserna kan slås ut. Ett framgångsrikt cyberangrepp på det svenska energi systemet skulle få allvarliga konsekvenser, menar Pontus Johnson. – Det beror så klart på omfattningen men det är bland det värsta som kan drabba samhället eftersom det riskerar att få dominoeffekter. Alla verksamheter är beroende av el. Ola Rådh, cyber security manager på Ellevio, tror att angreppen troligen kommer att öka framöver. Idag ser Ellevio inte en direkt ökning, men att angreppen blir mer komplexa, avancerade och antagligen alltmer inriktade mot specifika branscher som till exempel energi- och elnätsföretag. – Det ökar kraven på oss att kunna hantera dem snabbt och effektivt. Vi arbetar ständigt med åtgärder för att förhindra intrång och angrepp. Det finns alltid risker men vi arbetar proaktivt med att kontinuerligt öka säkerheten i vår it-miljö, säger Ola Rådh. U tvecklingen har fått både EU och Sverige att reagera och flera initiativ är på gång. I juli kom slutbetänkandet för den svenska cybersäkerhetsutredningen, som nu bereds av Regeringskansliet. EU presenterade i december 2020 en ny cybersäkerhetstrategi där NIS-direktivet från 2016, som vänder sig till leverantörer av samhällsviktiga tjänster, uppdateras till NIS 2.0. Här ingår ett särskilt direktiv för kritiska enheters operationella funktion, det så kallade CER-direktivet. Fler sektorer omfattas i NIS 2.0 och högre krav ställs på återrapportering av incidenter, utrustning och leverantörskedjor. Fjärrvärme och fjärrkyla blir en egen undersektor inom energisektorn och högre krav på tillsyn sätts för kritiska enheter. Energimyndigheten är tillsynsmyndighet och i våras trädde myndighetens föreskrifter för energisektorn kopplade till det existerande direktivet i kraft. Titti Norlin, chef på enheten robusta energisystem, säger att man följer arbetet med NIS 2.0 och kommer att presentera nya föreskrifter när den nya förordningen är på plats. – Vår uppgift är bland annat att ge de energiaktörer som berörs av direktivet vägledning om hur de ska uppfylla direktivet men det är upp till företagen själva att identifiera om de berörs och anmäla det till oss. Det