Håndtering av IKT-sikkerhetsbrudd i kraftbransjen

Ordsky av forskningsplanen

Tidligere i år beskrev jeg planene for PhD-prosjektet mitt her i bloggen. Nå er en milepæl nådd – første fase av datainnsamling er avsluttet. 19 dybdeintervjuer er gjennomført i perioden juni-desember som en del av en kartlegging av hvordan IKT-sikkerhetsbrudd håndteres i kraftbransjen i dag.

Jeg har intervjuet IT-ansvarlige, IT-sikkerhetsansvarlige og ansvarlige for styringssystemer/kontrollrom i seks større norske nettselskap. Alle har hatt en omtrentlig varighet på en times tid, og alle har gitt meg spennende input som jeg skal analysere over jul. Neste runde med datainnsamling skal gjennomføres i løpet av 2013. Da er planen å gjennomføre lignende intervjuer med tilsvarende roller i små nettselskap.

Det er for tidlig å presentere endelige resultater fra denne studien, men noen inntrykk kan likevel oppsummeres:

  • Alle opplever at virksomheten er fullt og helt avhengig av IKT. Nedetid fører til tapt arbeidstid og frustrasjon blant ansatte. Man vil likevel kunne operere i en viss tid uten IKT, men så snart det går utover fakturering, vil de økonomiske konsekvensene bli enorme. Likevel, selv om IKT-systemene feiler, vil man kunne levere strøm til kundene. Det kreves da manuell bemanning av nettstasjoner til driftsoppgaver og feilretting. Det vil være tilgangen på personell som avgjør hvor lenge man kan operere på denne måten.
  • Administrative systemer og SCADA-systemer lever foreløpig i to forskjellige verdener når det gjelder IKT-trusselbilde, tekniske løsninger og sikringsmekanismer. Flertallet av de intervjuede ser at dette vil endres framover, og det er knyttet stor spenning til hvordan dette vil fungere. Noen stiller likevel spørsmål ved om integrasjonen egentlig trenger å medføre en situasjon som er så annerledes fra i dag.
  • De færreste har etablerte planer for hendelseshåndtering. Noen er i gang, mens andre ikke har identifisert behovet for slike ennå. Likevel fungerer prosessen rimelig greit på grunn av kompetansen og erfaringene hos hver enkelt medarbeider som er involvert i å løse eventuelle problemer.
  • Trening på hendelseshåndtering har lav prioritet hos de fleste. Derimot gjennomføres mer generelle beredskapsøvelser jevnlig, med en varierende grad av fokus på IKT-hendelser. Nettselskapene er pålagt å ha en kriseberedskapsorganisasjon, og det er nok grunnen til at generelle øvelser får plass på agendaen.
  • De fleste evaluerer eksisterende sikringstiltak i etterkant av en hendelse og tar med seg de nyervervede erfaringene inn i det totale sikkerhetsarbeidet.
  • De færreste har noe system for måling av informasjonssikkerhet, og estimering av kostnader i forbindelsae med uønskede IKT-hendelser er ikke utbredt.

Intervjustudien – metoden og preliminære resultater – er beskrevet i en artikkel som har blitt akseptert til konferansen IT Security Incident Management & IT Forensics i Tyskland i mars 2013.

Jeg oppdaterer forøvrig hjemmesiden min ved NTNU med jevnlige mellomrom med status på arbeidet mitt.