Vannbransjen mer bevisst på IKT-sikkerhet

Bildet: -Vi skjønner mer og mer, men trusselbildet er i konstant bevegelse og vi vil aldri bli ferdig, sier sjefstrateg i Powel, Jon Røstum. Foto: Odd Borgestrand

NORSK VANN ÅRSKONFERANSE 2020: - For fire år siden var det for lite fokus på IKT-sikkerhet ved norske vannverk, men det er skjedd en bevisstgjøring gjennom EU-prosjektet Stop-IT.

Publisert: 9 Sep 2020

Av Odd Borgestrand

Det mener sikkerhetsoffiser Martin Gilje Jaatun fra SINTEF og sjefstrateg Jon Røstum fra Powell. De oppsummerte resultatene fra en fersk undersøkelse som har kartlagt IKT-sikkerheten i norske vannverk Trenden er at flere nå forstår betydningen og viktigheten av sikkerhet, samtidig som flere «forstår at de ikke forstår», for å sitere Røstum.

Nedslående resultater

Resultatene i 2015 ble karakterisert som nedslående av Nasjonal sikkerhetsmyndighet. Siden den gang har vannbransjen i Norge hatt stort fokus på IKT-sikkerhet, og dagens situasjon med korona-utbruddet har også fått vannbransjen til å modne ytterligere digitalt. Mattilsynet har også gitt beskjed om at de er svært positive til en slik ny kartlegging og vil bruke resultatene i sitt tilsynsarbeid. Informasjonssikkerhet og driftskontrollsystemene er ikke godt nok forankret i ledelsen, viser den siste undersøkelsen. 40 prosent av de spurte bekrefter dette, både på ledernivå og blant alle ansatte i VA-sektoren. Stadig flere medarbeidere har personlige brukernavn og passord, og dette er en framgang siden forrige undersøkelse i 2015.

For mange vet ikke

Svært få av kommunene har opplevd sikkerhetsangrep på sine VA-anlegg, men «vet ikke» andelen er på 15 prosent, og dette bekymret sikkerhetseksperten i SINTEF. Bare èn av fire virksomheter sier de har et system for å registrere eventuelle inntrengsler fra uvedkommende. Utfordringen er at rutinene ikke følges opp med praktisk kontroll. Det ser i vesentlig grad ut til å mangle i de norske VA-anleggene.
- Det er fortsatt for lett for uvedkommende å få innsyn i opplysninger om geografisk plassering av infrastruktur. Her handler det om bevisstgjøring spesielt i forbindelse med utlysning av prosjekter, mente Røstum og Jaatun.

Hvor ligger informasjonen?

Flere vannverk har takket ja til eksterne sky-tjenester både i Norge og i utlandet. De fleste tjenester kjøres i et utenlandsk datasenter. 87 prosent av brukerne oppgir at de ikke vet hvor dataene ligger lagret. Noen benytter også IOT-sensorer uten at de har kunnskap om hvor informasjonen ligger. Beredskapsøvelser gjennomføres i stor grad uten at det dekker IKT-sikkerheten, viser undersøkelsen som ble presentert i dag.

Digitale trusler

Farehåndtering skal alltid være oppdatert. Digitale trusler utvikler seg raskt, og da må det øves og kontrolleres mer. Det er viktig med kompetanse og opplæring innen IKT, og her er det en lang vei å gå Vi skjønner mer og mer, men trusselbildet er i konstant bevegelse og vi vil aldri bli ferdig, konkluderte de to IKT-ekspertene Jsaastun og Røstum i sitt innlegg direkte fra Trondheim. Avdelingsleder Kjetil Furuberg i Norsk Vann mener det er viktig å bygge en god struktur rundt IKT-sikkerheten.

- Et nytt prosjekt i norske kommuner er nå under utarbeidelse, og her er det viktig at vannbransjen sørger for å bli en del av dette. Norsk Vann har utgitt flere rapporter om sikkerhet og beredskap, men har en jobb å gjøre opp mot IKT, mente han.