Denne artikkelen er skrevet av Sara Waaler Eriksen og Sarmilan Gunabala som del av deres masteroppgave.
Energisektoren er svært kritisk for dagens samfunn fordi alle andre sektorer er avhengig av at den er velfungerende. Ny teknologi, nye systemer og nye underleverandører er noe av det som introduseres inn i denne bransjen. Prosesskontrollsystemer som tidligere bestod av lukkede komponenter, kobles nå til det åpne internettet for å kunne gi høyere tilgjengelighet, funksjonalitet og effektivitet. Hvor forberedt er egentlig energisektoren på cyberangrep som kommer via underleverandører? Hva slags samarbeid har nettselskapene med sine underleverandører når det kommer til informasjonssikkerhetsledelse?
Behovet for hendelseshåndtering
De siste årene har både prosesskontrollsystemer og energisektoren blitt utsatt for stadig flere cyberangrep. Stuxnet-angrepet i 2010 viste at cyber-fysiske angrep på kritisk infrastruktur er mulig, og angrepene på det ukrainske kraftnettet i 2015 viste at angrep rettet mot kraftsektoren var blitt en realitet.
Ettersom flere cyberangrep lykkes oppstår et behov for gode beredskapsplaner for hendelseshåndtering i tillegg til preventive sikkerhetstiltak. Kompleksiteten av håndteringen øker i takt med antallet aktører involvert. Det kreves både god kommunikasjon og koordinering mellom alle aktører for å kunne være i god beredskap. Dette kan være problematisk i en sektor hvor man må forholde seg til flere underleverandører.
Leverandørene inntar nettselskapene
Underleverandører er eksterne organisasjoner som tilbyr tjenester og systemer til kunder. Kunden er i vårt tilfelle nettselskaper som leverer strøm til forbrukerne. Tjenestene og systemene kan være knyttet opp til daglig drift eller kjernevirksomhet. Smartmålere, sensorer og andre innovative løsninger slår rot og interagerer med prosesskontrollsystemene. Denne utviklingen bidrar til at angrepsflaten og systemenes kompleksitet øker. Størrelsen på leverandørene varierer og dessverre har mange supply-chain angrep vist at sikkerhet ikke alltid er fremste prioritet hos alle underleverandører.
Vår oppgave
Både informasjonssikkerhet og hendelseshåndtering i energibransjen har vært et tema i mange forskningsartikler og oppgaver, men tredjeparters rolle i håndteringen av cyber-sikkerhetsbrudd har ikke blitt undersøkt i like stor grad. På bakgrunn av dette vil vi analysere hvordan norske nettselskaper forholder seg til og involverer underleverandører i planer for håndtering av cyber-sikkerhetshendelser i prosesskontrollsystemer.
Vi skal gjennomføre et casestudie hvor vi intervjuer flere norske nettselskaper, og setter resultatene i sammenheng med dagens trusselbilde, etablerte standarder og regelverk. Vi vil dermed se på hvordan dagens praksis er og sammenligne med det som er beskrevet i ISO/IEC 27035-standarden om hendelseshåndtering og ISO/IEC 62443 om sikkerhet i kontrollsystemer. Av hensyn til nettselskapene og eksisterende trusler vil oppgaven anonymiseres slik at ingen enkeltpersoner eller selskaper kan gjenkjennes. Etter samtaler med flere aktører i sektoren, tilsier våre innledende resultater at dette er et studie som både er nødvendig og nyttig. Vårt mål vil være å gi anbefalinger tilbake til bransjen om mulige forbedringer.
Denne masteroppgaven veiledes av Roy Myhre, TietoEVRY. Faglærer er Maria Bartnes, SINTEF/NTNU.