Inspiration, fördjupning och dialog från Energimyndigheten

Nu är informationssäkerheten i fokus för energibranschen

Säkerhetshoten mot energibranschens tekniska system har blivit allt större i takt med den snabba digitaliseringen. I augusti trädde nya tydligare säkerhetsregler i kraft för företag som levererar samhällsviktiga tjänster genom en ny lag. Nu jobbar branschen för att stärka säkerheten, medan Energimyndigheten har ansvar för tillsynen.

Uppdaterad: 2018-09-27 Publicerad: 2018-09-26

Text: Fredrik Mårtensson Bild: Energimyndigheten, Forum för smarta elnät, Shutterstock

Den 1 augusti 2018 infördes lagen om informationssäkerhet för samhällsviktiga och digitala tjänster som en följd av EU:s så kallade NIS-direktiv. De nya reglerna sätter fokus på informationssäkerhet inom bland annat energisektorn.

Tommy Wahlman, ansvarig handläggare på Energimyndigheten.

Energimyndigheten – som fått tillsynsansvar kopplat till direktivet – märker ett stort intresse bland företagen för att stärka sitt säkerhetsarbete.
– Jag har under det senaste året haft kontakt med över 200 organisationer inom energisektorn och känt mig förvånansvärt väl mottagen när jag lyfter fram NIS och hur vi planerar att jobba, säger Tommy Wahlman, ansvarig på Energimyndigheten för att implementera NIS-direktivet inom energisektorn.

Han tillägger att intresset varit särskilt stort för diskussioner kring olika vägar för att bygga upp ett systematiskt informationssäkerhetsarbete.
– Men det finns utmaningar kring företagens organisation. Många som jag träffar önskar en bättre förankring i sin ledningsgrupp. Det är viktigt att få bort eventuella glapp mellan funktion och ledning.

– Det är inte så att företagsledningarna är ointresserade. Tvärtom. Alla ser vart vinden blåser och att informationssäkerhet verkligen måste prioriteras, men det kan finnas en osäkerhet kring hur det bör ske på bästa sätt, säger Tommy Wahlman.

John Lindström, verksamhetsledare för Centrum för säkerhet i samhälle och kritiska infrastrukturer, CISS, pekar på att sårbarheten ökat genom att viktig infrastruktur kopplas ihop mot Internet eller administrativa it-nät.

Alla ser vart vinden blåser och att informationssäkerhet verkligen måste prioriteras.

– Det sammanfaller med ett säkerhetspolitiskt läge med ökade spänningar och det behöver vi ta i beräkning för att säkra bland annat energiområdet. Vi kan bara se på Ukraina hur ett land kan drabbas när elnätet slås ut av it-attacker, säger John Lindström, som är biträdande professor vid Luleå tekniska universitet.

Som ett mått på problemets omfattning nämner Tommy Wahlman att 2017 var året då it-attacker skadade den globala ekonomin mer än de samlade väderhändelserna.

– Det är en väckarklocka. Vi har en säkerhetsskuld att förvalta inom energisektorn i och med den stora mängd gammal infrastruktur som i efterhand har digitaliserats utan några större hänsyn till internetuppkopplingar och riktade angrepp.

Tommy Wahlman beskriver situationen som att det finns en oroväckande mängd av avancerade it-vapen i omlopp och att angriparnas förmåga och intentioner ökar drastiskt.

Fakta

Informationssäkerhet inom energiområdet

  • EU-regler i det så kallade NIS-direktivet omsattes i svensk lag genom lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Lagen började gälla den 1 augusti i år.
  • I väntan på att MSB:s föreskrifter för energiområdet med koppling till lagen fastställs så börjar den i praktiken att tillämpas senare i år, preliminärt den 1 november. Syftet med direktiv och lagstiftning är att stärka säkerheten i nätverk och informationssystem inom samhällsviktiga sektorer.

– Men med ett systematiskt och riskbaserat arbete så klarar man majoriteten av hot som finns där ute. Genom en bred medvetenhet i organisationen, ett ledningssystem för informationssäkerhet och en uttalad vilja från ledningen att skydda verksamheten så är man inte längre ett enkelt mål för angriparen.

Anders Fredriksson, ansvarig för digitalisering och smarta energisystem vid Energiföretagen, betonar några områden som särskilt viktiga för att stoppa angripare.

– Det handlar om reaktiva åtgärder med brandväggar, antivirus och liknande, att bygga upp ett managementfokus med en engagerad ledning och att ha särskilda krishanteringssystem som driver på om ständiga övningar.

Bristande kompetens är ett huvudproblem som återkommer kring arbetet med att digitalisera energisektorn. Enligt Tommy Wahlman skär det genom organisationer och branschstruktur i sin helhet.

– Vi behöver snabbt stärka kompetensen och det finns ingen patentlösning egentligen, utan det kräver kreativitet och lösningar i samverkan, säger Tommy Wahlman.

Från Energiföretagen är utbildningsinsatser centrala för att stödja digitalisering.
– Vi är i ett skede där mycket händer på kort tid med GDPR, NIS och andra förändringar av regelverken, samtidigt som digitaliseringen går snabbt. Men branschen har en tradition av att arbeta proaktivt med säkerhetsfrågor och det ser jag som en styrka även i det här sammanhanget, säger Anders Fredriksson.

Just tempot och den ökande komplexiteten i omställningen ser Tommy Wahlman som en särskild riskfaktor.

– Det är tydligt för branschen att digital transformation skapar affärsmöjligheter som inte fanns tidigare. För en del traditionella energiföretag med äldre teknologi kan utvecklingen mot digitalisering och fossilfria system skapa en stress i beslutsfattande och implementering som riskerar att gå ut över informationssäkerheten, säger han.

Marielle Lahti, projektledare på kansliet för Forum för smarta elnät.

Marielle Lahti, projektledare på kansliet för smarta elnät (Swedish smartgrid), menar ändå att det handlar om ett tekniksprång som kan jämföras med tidigare skiften i historien.

– Så länge vi har en nyfikenhet kring digitalisering som bygger på kunskap så tror jag vi får en sund utveckling. Jag skulle gärna se en högre aktivitet i branschen kring digitalisering och att man omfamnar utvecklingen.

Vad ser du för risker?
– En uppenbar risk är att regelverket inte hänger med den tekniska utvecklingen och det ställer krav på att branschen själv arbetar aktivt med att förtydliga roller och ansvar. Det kan exempelvis gälla hur lokala energisamhällen bör utformas med en fungerande säkerhetsstrategi.

Marielle Lahti pekar också på NIS-direktivet som ett stöd för att stärka det preventiva säkerhetsarbetet med ökade krav på att utreda störningar inom energiproduktionen och dra lärdom från det arbetet.

NIS beskrivs av Tommy Wahlman som en hygiennivå för informationssäkerheten inom EU, en tillsyn som ska stödja branschen och inte i första skedet dela ut bestraffningar.

Mer formell kommer tillsynen att vara främst nom tre områden: att anmälningsplikten uppfylls, en fungerande incidentrapportering och krav på ett systematiskt säkerhetsarbete.

Vi har en säkerhetsskuld att förvalta inom energisektorn i och med den gamla infrastrukturen som i efterhand har digitaliserats.

– Vi har möjligheter till vite och sanktionskrav, men generellt handlar det mer om en stödjande tillsyn. Vi kommer inte att åka runt med långa checklistor utan fokus blir i första hand att gå igenom verksamheten och försäkra oss om att företagen arbetar riskbaserat och har dimensionerat sin informationssäkerhet på ett bra sätt, säger Tommy Wahlman.

I glappet under hösten mellan att den nya lagstiftningen börjat gälla och att dess föreskrifter blir klara byggs en tillsynsorganisation upp för att arbeta mot upp till 400 företag.

– Inriktningen är att komma igång med tillsyn mot slutet av året och det handlar om leverantörer av samhällsviktiga energitjänster inom olja/drivmedel, gas och el. Vi räknar med att fjärrvärmesektorn tillkommer efter planerad revision av direktiven om två år, säger Tommy Wahlman.

Rekommenderat

Digitalisering

Så kan blockchain förändra energimarknaden

Blockchain
Smarta elkontrakt mellan grannar och effektiva betalningssätt för att ladda elbilar. Det är några exempel på hur blockchain kan medföra nya affärsmodeller i energibranschen.
Digitalisering

Företaget som hittar energisystemens säkerhetshål

IT-säkerhet
Risken för it-angrepp har ökat på senare år. Med hjälp av simulerade attacker hjälper Foreseeti företag att arbeta proaktivt med it-säkerhet i komplexa system, till exempel på energimarknaden. Det handlar både om ...
Digitalisering

Den svenska energihubben kan bli en game-changer

Innovation
Ett mikronät av energihubbar som kopplar samman flera byggnader för att på ett dynamiskt sätt dela på den egna solelen. Nu har det svenska företaget Ferroamp fått The Smarter E Award för ...

Senaste

Energiförsörjning

Med fokus på morgondagens elsystem

Artikel

Den brådskande klimatfrågan, nya spelregler på elmarknaden och lastutjämning med hjälp av datacenter. Det var några av de ämnen som diskuterades när Power Circle, på uppdrag av Energimyndigheten och ihop med Forum …

Klimat

”Tänk två gånger innan du konsumerar”

Artikel

Tidningen Aktuell Hållbarhet utser varje år 33 hållbarhetstalanger under 33 år att hålla ögonen på. En av de som finns med på årets lista är Energimyndighetens Aleh Kliatsko. För Energivärlden berättar han …

Forskning

Gotland – pilot för förnybart energisystem

Artikel

Gotland kan komma att användas som pilot i omställningen till ett förnybart energisystem i Sverige. Som ett led i detta har Vattenfall, på uppdrag av Energimyndigheten, genomfört en förstudie om hur mer …