– Vannbransjen må etablere en god kultur for cybersikkerhet!

Digitalisering introduserer nye digitale trusler. – Sikkerhet er en grunnstein som vi må ha på plass, sier SINTEF-forsker Martin Gilje Jaatun.

Han mener vannbransjen er litt utilstrekkelig paranoid:
– Vi nordmenn er teknologioptimister og ligger generelt langt framme når det gjelder å ta i bruk ny teknologi. Litt sunn skepsis hadde vært på sin plass. Det er ikke nok å gjøre ditt beste. Du må vite hva du gjør, og så må du gjøre ditt beste. Kunnskap er alfa omega, for trusselbildet er stort, mangfoldig og ofte teknisk orientert.
 
Ny rapport
Skyen er på veg til å bli den nye IKT-infrastrukturen og digitalisering av vannbransjen gir store muligheter. Kostnadene kan kuttes, styring og overvåkning kan bli bedre og responstiden raskere. – Men hva skjer, hvis vannverket blir hacket? – Og hvor bevisst er bransjen på sikkerhet? Dette blir nå satt fokus på i en ny Norsk Vann-rapport «Informasjonssikkerhet og skybaserte tjenester for vannbransjen».
 
– At de nye digitale løsningene som utvikles for vannbransjen er smarte og brukervennlige, har liten betydning hvis de ikke er til å stole på, sier Jaatun. Han er medforfatter av Norsk Vann-rapporten og sikkerhetsansvarlig for EU-forskningsprosjektet «Stop IT», som ser på cybersikkerhet i den europeiske vannbransjen.
 

STORT TRUSSELBILDE: –  Kunnskap er alfa omega, for trusselbildet er stort, mangfoldig og ofte teknisk orientert, sier SINTEF-forsker Martin Gilje Jaatun.

FOTO: SINTEF

 
Digital sårbarhet
Det er liten tvil om at digitaliseringen også har nådd vannbransjen og at det er mye som kommer til å endre seg i årene som kommer.  I dag er IKT en integrert del av våre vannforsyningssystem. Det betyr at bransjen er kritisk avhengig av stabile, funksjonelle og sikre systemer.
 
– Teknologien bak IKT-systemene er i stadig endring, og kompleksiteten i systemene øker. I tillegg foregår det en kontinuerlig teknologiutvikling som ytterligere vil forsterke kompleksiteten. Driftskontrollsystem for styring og overvåkning av anleggene er i seg selv et av de mest sårbare punktene i et vannforsyningssystem.
 
Avgjørende betydning
Jaatun er klar på at sikkerhet er av avgjørende betydning for samfunnet vårt:
– Storsamfunnet forventer at det leveres drikkevann og at avløpsvannet blir håndtert på en sikker måte, selv om systemene utsettes for ulike typer trusler og påkjenninger. Dette gjelder også digitale sårbarheter. For vann- og avløpsvirksomheter er beskyttelsen av selve infrastrukturen viktig, men i økende grad også informasjonen om kundene og deres personlige data.
 
Store konsekvenser
SINTEF-forskeren understreker at det er ikke mange dager samfunnet vårt kan klare seg uten vann i springen.
 
– I vannbransjen er det fokus både på vannforsyning og på håndtering av restproduktet avløpsvann. Svikt i vannforsyningen vil også raskt føre til svikt i avløpshåndteringen. Uten vann til å transportere avløpet i ledningsnettet, vil avløpsnettet raskt bli tilstoppet. Dette vil fort kunne få uakseptable hygienekonsekvenser. Det er en av mange alvorlige konsekvenser ved svikt i vannforsyningen.
 
Mange mangler kompetanse
I 2016 gjennomførte Mattilsynet en omfattende tilsynskampanje knyttet til vannverkenes beredskap. Det ble sendt ut spørreskjema til omlag 500 vannverk. Resultatene viste at rundt 20 prosent av vannverkene ikke hadde tilfredsstillende informasjonssikkerhet ved driftskontrollsystemene. De minste kommunene kom dårligst ut.
 
– Mattilsynets undersøkelser viser et stort sprik på dette området. Mange små og mindre kommuner mangler egen kompetanse på cybersikkerhet og støtter seg her kun på kunnskapen til leverandørene sine. Kommuner som har fått installert utstyr som de ikke har oversikt over selv, vil også ha liten kunnskap om hvordan de skal beskytte seg mot uønskede hendelser. Det er uheldig, for det er mye som kan skje.
 
Ikke del passord!
– Mattilsynets undersøkelser viser at det er fortsatt er relativt vanlig å dele passord. Det anbefales vel ikke?
– Selv om de lærde har funnet ut at det ikke er nødvendig å skifte passord ofte, er det bare en person som skal bruke det. Det anbefales ikke at flere deler passord. Det viktigste er å ha langt nok passord. Et passord kan gjerne være en hel setning, sier SINTEF- forskeren, som anbefaler alle som vurderer å ta i bruk skytjenester å lese den nye rapporten fra Norsk Vann.
 
– Stadig flere kommuner og selskaper bruker skytjenester. Samtidig er det mye usikkerhet knyttet til bruk av skytjenester. Dette er både knyttet til sikkerhet, personvern, arkivering og risikovurdering. I denne rapporten gis det veiledning i hva kommuner og VA-virksomheter skal ta hensyn til når de vurderer å ta det i bruk, sier Martin Gilje Jaatun.
 

Han er klar på at det må etableres en god sikkerhetskultur, for å lykkes i arbeidet med informasjonssikkerhet i en organisasjon.

En historie fra et vannverk på Vestlandet

For noen år siden ble et vannverk på Vestlandet oppringt av en person som spurte vakthavende om han kunne sjekke detaljerte prosessdata for vannverket.

Personen spurte:
– Stemmer det at vannføringen ut av vannbehandlingsanlegget er 50 l/s?
– Stemmer det at UV-dosen er 40 og at verdien er nedadgående?

Vakthavende kunne bekrefte disse verdiene, hvor på innringer da sa at det var han som styrte anlegget. Innringeren, som må få betegnelsen en «snill» hacker, kunne opplyse at han hadde kommet inn via en åpen bakdør i driftskontrollsystemet som styrte vannverket. I etterkant ble det iverksatt tiltak for å bedre sikkerheten for det aktuelle vannverket.

KILDE: Norsk Vann-rapport «Informasjonssikkerhet og skybaserte tjenester for vannbransjen»

Del artikkelen: