Støtte til risikoanalyse av AMS og tilgrensende systemer

forskningVi har nylig utgitt en veiledning til hvordan en risikoanalyse av AMS og tilgrensende IT-systemer kan gjennomføres når fokus for analysen skal være informasjonssikkerhet og personvern. Veiledningen inneholder sjekklister og anbefalinger. Vi har valgt å bygge på en metode som mange nettselskaper er kjent med fra før, og som anbefales av NVE og Energi Norge.

Les hele innlegget

Noen kjappe anbefalinger om risikoanalyse

I dag holdt jeg et kort innleggNEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.

Vi laget for et års tid siden en  veiledning  for risikoanalyse av AMS som inneholder følgende ting:
  • Aktivitetsliste for gjennomføring av analysen
  • Konsekvensdimensjoner og konsekvensklasser
  • Sannsynlighetsdimensjoner
  • Kort beskrivelse av relevante standarder
  • Støtte til kartlegging av informasjonsverdier
  • Liste over hendelsestyper
  • Hendelsestyper/uønskede hendelser i AMS
  • Liste over interessenter
  • Typiske sårbarheter og svakheter i IKT-systemer
  • Kort beskrivelse av relevante tiltak

Les hele innlegget

Hendelseshåndtering i kraftbransjen – noen funn

res-pres-illEnhver organisasjon må gjøre et svært grunnleggende valg når det gjelder sikkerhetsarbeidet: hvilket sikkerhetsnivå er riktig for oss? En må altså finne en riktig balanse mellom investering i forebyggende (gjerne tekniske) sikkerhetsmekanismer kontra evnen til å håndtere det som måtte inntreffe av hendelser. En viss risiko må aksepteres, og det er dermed viktig å føle seg trygg på at det som kan skje, det greier vi å håndtere. Les hele innlegget

Hvor sikkert er egentlig GPRS?

gprsamiMange Avanserte Måle- og Styringssystemer (AMS) som nå rulles ut i den norske kraftbransjen baserer seg på GPRS-kommunikasjon i mobilnettet. Hvor sikkert er egentlig dette? Var det ikke slik at GSM-kryptering er plukk råtten? Hvilken konsekvens har dette for GPRS? Dette går vi inn på i en artikkel som presenteres under CD-ARES-konferansen i Regensburg denne uka.

Les hele innlegget

Trusler mot strømmåleren

smartgridkonferansen 12. september 2012 overleverte vi en rapport til NTE og Telenor som identifiserer 30 trusler mot strømmålere, og beskriver fem potensielle angrep relatert til Avanserte Målestystemer (AMS). Rapporten har blitt til i samarbeid med Telenor (som har finansiert arbeidet) og NTE og deres live-lab, DemoSteinkjer (som har bidratt med faglig input). Aidon, som er en leverandør av målere, har også bidratt med informasjon om hvordan AMS-systemer fungerer. Mange av truslene er relevante for de fleste typer av målere, og rapporten kan ikke brukes til å rangere ulike teknologier opp mot hverandre når det kommer til sikkerhet.

Les hele innlegget

Identitetshåndtering og smartgrid-sikkerhet på ISF-konferansen

Jostein Jensen og Maria B. Line skal holde foredrag på ISF høstkonferansen. Jostein skal snakke om identitetshåndtering; praktisk anvendelse av federering, og Maria har igjen sikkerhet i smartgrid på dagsorden, denne gang med tittelen «Få naboen til å betale strømmen din.» ISF høstkonferansen avholdes 3.-5. september i Larvik.

Les hele innlegget

Sårbare strømmålere

Utklipp fra Adresseavisen

Utsnitt fra Adresseavisen

Lørdag 14. april hadde jeg en kronikk på trykk i Adresseavisen, med tittelen «Sårbare strømmålere». Den handler om AMS – avanserte måle- og styringssystemer, som skal rulles ut til alle landets strømkunder innen utgangen av 2016, og hvordan disse kan være et mål for hackere.

Kronikken er basert på risikovurderingen vi gjorde for NVE like før jul, og er en utdyping av artikkelen som Teknisk ukeblad skrev i februar. Les hele innlegget

SmartGrid og sikkerhet – en kort innføring

Foredrag om sikkerhet i smartgridTidligere denne uken var jeg på Tekna-seminar i Oslo og holdt et foredrag om sikkerhet i smartgrid. Jeg har nå laget en tekstlig versjon av foredraget, og denne er tilgjengelig her på bloggen. I foredraget tok jeg for meg:

  • Hva smartgrid er og hvorfor vi ønsker smartgrid
  • Status for arbeidet med smartgrid i Norge
  • Hvilke informasjonssikkerhetsutfordringer man har i smartgrid
  • Om det er noen forskjell på sikkerhet i smartgrid og sikkerhet i andre typer systemer

Les hele innlegget

AMS-sikkerhet i media

Utsnitt fra Tekst-TV

Utsnitt fra Tekst-TV

Risikovurderingen av AMS som vi har utført for NVE, har vekket interesse i flere norske medier den siste uka. Teknisk Ukeblad slo det opp som forsidesak, og NRK Trøndelag har hatt radiointervju og laget nyhetssak på nett.

Det er scenarioet med hackere som kan mørklegger større områder som trekkes fram, det som vi har omtalt som det verst tenkelige scenarioet i rapporten.

Les hele innlegget

Risikovurdering av AMS

Generell AMS-infrastruktur

SINTEF har utført en risikovurdering av AMS – avanserte måle- og styringssystemer – for Norges vassdrags- og energidirektorat (NVE). AMS innebærer automatisk strømmåleravlesning hver time, og er et steg på veien mot Smart Grids.

Risikovurderingen er på et overordnet nivå, og hvert enkelt nettselskap er ansvarlig for å utarbeide egne risikovurderinger for sine spesifikke løsninger.

Les hele innlegget

Energiteknikk: «AMS truer sikkerheten»

Faksimile fra Energiteknikk

Fagbladet Energiteknikk har i november-nummeret intervjuet forsker Maria B. Line om utfordringer knyttet til informasjonssikkerhet og AMS (avanserte måle- og styresystemer) og utviklingen av smarte nett (SmartGrids). I artikkelen nevnes oppdraget som SINTEF i høst har fått fra NVE om å utføre en overordnet risikovurdering av AMS. Dessuten pekes det på forskjellene i sikkerhetstankegangen mellom prosessverdenen, som kraftforsyningen i all hovedsak har vært en del av, og IT-verdenen, som nå kommer for fullt inn med SmartGrids-visjonen.

Les hele innlegget