Digital sårbarhet
Det er liten tvil om at digitaliseringen også har nådd vannbransjen og at det er mye som kommer til å endre seg i årene som kommer. I dag er IKT en integrert del av våre vannforsyningssystem. Det betyr at bransjen er kritisk avhengig av stabile, funksjonelle og sikre systemer.
– Teknologien bak IKT-systemene er i stadig endring, og kompleksiteten i systemene øker. I tillegg foregår det en kontinuerlig teknologiutvikling som ytterligere vil forsterke kompleksiteten. Driftskontrollsystem for styring og overvåkning av anleggene er i seg selv et av de mest sårbare punktene i et vannforsyningssystem.
Avgjørende betydning
Jaatun er klar på at sikkerhet er av avgjørende betydning for samfunnet vårt:
– Storsamfunnet forventer at det leveres drikkevann og at avløpsvannet blir håndtert på en sikker måte, selv om systemene utsettes for ulike typer trusler og påkjenninger. Dette gjelder også digitale sårbarheter. For vann- og avløpsvirksomheter er beskyttelsen av selve infrastrukturen viktig, men i økende grad også informasjonen om kundene og deres personlige data.
Store konsekvenser
SINTEF-forskeren understreker at det er ikke mange dager samfunnet vårt kan klare seg uten vann i springen.
– I vannbransjen er det fokus både på vannforsyning og på håndtering av restproduktet avløpsvann. Svikt i vannforsyningen vil også raskt føre til svikt i avløpshåndteringen. Uten vann til å transportere avløpet i ledningsnettet, vil avløpsnettet raskt bli tilstoppet. Dette vil fort kunne få uakseptable hygienekonsekvenser. Det er en av mange alvorlige konsekvenser ved svikt i vannforsyningen.
Mange mangler kompetanse
I 2016 gjennomførte Mattilsynet en omfattende tilsynskampanje knyttet til vannverkenes beredskap. Det ble sendt ut spørreskjema til omlag 500 vannverk. Resultatene viste at rundt 20 prosent av vannverkene ikke hadde tilfredsstillende informasjonssikkerhet ved driftskontrollsystemene. De minste kommunene kom dårligst ut.
– Mattilsynets undersøkelser viser et stort sprik på dette området. Mange små og mindre kommuner mangler egen kompetanse på cybersikkerhet og støtter seg her kun på kunnskapen til leverandørene sine. Kommuner som har fått installert utstyr som de ikke har oversikt over selv, vil også ha liten kunnskap om hvordan de skal beskytte seg mot uønskede hendelser. Det er uheldig, for det er mye som kan skje.
Ikke del passord!
– Mattilsynets undersøkelser viser at det er fortsatt er relativt vanlig å dele passord. Det anbefales vel ikke?
– Selv om de lærde har funnet ut at det ikke er nødvendig å skifte passord ofte, er det bare en person som skal bruke det. Det anbefales ikke at flere deler passord. Det viktigste er å ha langt nok passord. Et passord kan gjerne være en hel setning, sier SINTEF- forskeren, som anbefaler alle som vurderer å ta i bruk skytjenester å lese den nye rapporten fra Norsk Vann.
– Stadig flere kommuner og selskaper bruker skytjenester. Samtidig er det mye usikkerhet knyttet til bruk av skytjenester. Dette er både knyttet til sikkerhet, personvern, arkivering og risikovurdering. I denne rapporten gis det veiledning i hva kommuner og VA-virksomheter skal ta hensyn til når de vurderer å ta det i bruk, sier Martin Gilje Jaatun.
Han er klar på at det må etableres en god sikkerhetskultur, for å lykkes i arbeidet med informasjonssikkerhet i en organisasjon.