For et par år siden ble vi spurt hva vi trodde de største utfordringene når det gjelder informasjonssikkerhet i kraftbransjen var. Nylig hentet vi svaret fram igjen, og vi må medgi at det meste av det vi sa fortsatt står ved lag.
For de neste 1-3 årene er det vel AMS-utrullingen som er den største utfordringen for nettselskapene. Det er kanskje ikke så veldig nyskapende å si, men vi vil gjerne sette fingeren på tre elementer som må adresseres på en god måte for å lykkes:
- personvern; få kontroll med både innsamling, bruk og ikke minst sletting av måledata. Hindrer lovverket nettselskapene å gjøre det de trenger og/eller ønsker å bruke måledata til? Den nasjonale el-huben er også åpenbart et spennende tema.
- bryting; utvikle og implementere gode løsninger for dette.
- sammenkobling av AMS-infrastruktur, eksisterende styringssystemer og eksisterende administrative systemer på en måte som både ivaretar forretningens behov og tilfredsstiller krav til informasjonssikkerhet
Ved implementering av nye løsninger er det fort gjort å føle at informasjonssikkerhetskravene er overveldende. Enkle risikovurderinger kan bidra til oppklaringer, og så er det viktig å ta stilling til om nye digitale løsninger skal sikres bedre enn dagens løsninger, eller om man skal legge seg på samme sikkerhetsnivå, at det er godt nok. Ambisjonsnivået må legges på rett sted, og så må man ta bevisste valg med hensyn til hvilke risikoer man velger å akseptere – for noen må man faktisk akseptere.
For de neste 5-10 årene for kraftbransjen vil vi trekke fram to store utfordringer:
- Styring fra driftssentraler hos nettselskap, enda mer utstrakt bruk av sensorer, også på transmisjonsnettet.
- Kommunikasjon og samarbeid mellom IKT og El-automasjon når det gjelder sikkerhetsbevissthet, håndtering av uønskede hendelser og risikovurderinger (sikre at de utføres i samarbeid og at de ikke bare havner i skuffen).
For nettselskapene er det store teknologiske utfordringer de neste 5-10 årene knyttet til å oppnå kommunikasjon over hele nettet. Flere sensorer, ulike kommunikasjonsteknologier, nye produkter, nye behov, bygge inn sikkerhet for å kunne operere i en verden med et stadig heftigere trusselbilde.
Når det gjelder hva nettselskapene bør prioritere framover, er vi veldig opptatt av bestillerkompetansen. Nettselskapene må stille krav til leverandører, ikke bare akseptere det de har på lager. Norge er et lite land i forhold til mange andre, så nettselskapene bør stå sammen i å stille krav for å få gjennomslag hos store internasjonale leverandører. Mer fokus på standardisering av løsninger, en bransjenorm for informasjonssikkerhet hadde vært spennende. Og de små nettselskapene må også være med i dette samarbeidet – det er lite gunstig at mange må bruke tid på å gjøre nøyaktig den samme jobben i eget hus.
SERTIT ønsker at norske smarte målere skal evalueres etter Common Criteria. Vi ser ikke helt at dette har noe for seg, da det er en svært omfattende prosess som tar lang tid, og det viser seg ofte at når evalueringen endelig er klar, er produktet (eller i det minste den versjonen som er evaluert) utdatert. Men det ligger mye bra i Common Criteria som kan brukes underveis i utviklingsprosessen i forhold til å spesifisere sikkerhetskrav.
Vi jobber videre med disse problemstillingene, blant annet gjennom dette forumet: http://smartgrids.no/skal-ivareta-ikt-sikkerheten-i-smarte-nett/
Illustrasjon ved Ken Lund