Tidningen Energi 1
Tema Cybersäkerhet ENERGIFORSKS NÄTVERK Startade
i januari 2020 och har 13 medlemmar: Öresundskraft, Skellefteå Kraft, Halmstad Energi och Miljö, Jämtkraft, Umeå Energi, Göteborg Energi, Borås Energi, Sollentuna Energi och Miljö, Övik Energi, Sandviken Energi och Norrenergi. Diskuterar erfarenheter, incidenter, leverantörer/ produkter, best practicelösningar och lagar/direktiv. Hoten är ungefär lika för ett stort och ett litet energibolag, skillnaden ligger i vilka möjligheter man har att ta hand om ett angrepp. Mathias Ekstedt, professor på KTH är dyrt och ifrågasätter hur mycket som verkligen behövs. Inom nätverket för cybersäkerhet kommer frågor ofta upp kring kostnader och nivå av säkerhet. Hur mycket pengar måste företaget lägga ner för att nå en rimlig nivå av säkerhet och vad är en rimlig nivå av säkerhet? – Alla bolag behöver göra en övergripande riskanalys. En ISO 27000-certifiering kan genomföras för att få koll på säkerheten, men är det meningsfullt och försvarbart att lägga så mycket tid på en sån certifiering i ett litet företag? Det är en stor utmaning att hitta rätt ambitionsnivå för en mindre organisation. Här hoppas jag att vi inom nätverket kan komma fram till vad en rimlig nivå bör ligga. M 26 NR 4 2021 TIDNINGEN ENERGI er än 80 procent av svenska företag har blivit utsatta för någon form av cyberangrepp. Om man blir angripen av främmande makt är det väldigt svårt att stå emot, berättar Mathias Ekstedt: – Hoten är ungefär lika för ett stort och ett litet energibolag, skillnaden ligger i vilka möjligheter man har att ta hand om ett angrepp. Många energibolag har stor beredskap när det gäller olika typer av driftstopp, men inte lika många har en lika omfattande beredskap för cyberangrepp. Det behövs en utökad kompetens för att göra riskanalyser. När man väl blir angripen, vilken typ av angrepp handlar det om? Hur länge kan vi stå emot? När det väl händer måste det finnas en plan för vilka åtgärder som ska sättas in och när. Inom nätverket ligger därför ett stort fokus på att diskutera och lyfta fram nya arbetsmetoder för säker utveckling och förvaltning, risk- och säkerhetsanalys och organisatoriska lösningar. Lagar och förordningar diskuteras också, till exempel hur de ska tolkas och vilka praktiska konsekvenser de kan få. Deltagarna delar också erfarenheter från tester av olika tekniska säkerhetslösningar. – Jag tror att Energiforsks nätverk kan göra en stor skillnad för de som sitter med ett stort ansvar för säkerheten på ett litet energibolag, med få personer inom företaget i övrigt att bolla med, säger Mathias Ekstedt. En del företag vill inte heller berätta att de blivit utsatta för ett angrepp. Det finns en uppfattning om att det kan skada varumärket, men de flesta företag blir någon gång utsatta för ett cyberangrepp och det finns all anledning att berätta om erfarenheter och åtgärder för att vi ska lära oss mer om hur angreppen kan bemötas, enligt Mathias Ekstedt: – I det här nätverket sker diskussionerna bakom lyckta dörrar och chansen är därför stor att deltagarna vågar föra upp viktiga frågor på bordet. Energiföretag är speciellt sårbara eftersom viktiga samhällsfunktioner kan påverkas och vi behöver därför gå samman för att få en god beredskap.