Sikkerheden halter på alle punkter hos den offentlige virksomhed Energinet.dk, som står for den danske el- og gasinfrastruktur. En intern rapport, som Energinet.dk har fået udarbejdet, viser, at organisationen er langt bagefter tilsvarende organisationer i andre lande. Det skal der nu rettes op på.
Hos Energinet.dk forsøger it-direktør Morten Gade Christensen ikke at bortforklare, at organisationen er bagud i forhold til branchens generelle niveau.
»Erkendelsen er, at vi er kommet for sent ud af starthullerne,« siger Morten Gade Christensen til Version2.
Energinet.dk har derfor lagt en plan, som i løbet af de næste tre år skal bringe sikkerhedsniveauet op mindst det samme niveau som resten af branchen og i det hele taget været bedre i stand til at imødegå sikkerhedstrusler.
»Målet er, at vi konstant skal udvikle os, så vores planer skal være på et sådant niveau, at de kan håndtere en ny situation,« siger Morten Gade Christensen.
Ambitionen er således, at Energinet.dk ikke blot i 2017 skal være på et tilfredsstillende niveau set fra 2014-perspektiv, men også være klar til at håndtere, hvad der måtte ligge ud i fremtiden af trusler mod organisationens infrastruktur.
PWC, som har udarbejdet rapporten for Energinet.dk, har vurderet sikkerheden hos Energinet.dk i forhold til målepunkter i ISO-27001-standarden, og her opnår Energinet.dk et gennemsnit på 2,0. Det ligger væsentligt under gennemsnittet i branchen, som er mere end 3,0. Det er den tærskel, som Energinet.dk vil op på allerede i 2015, og i 2017 skal niveauet ligge på mindst 4,0. Det teoretiske optimum er 5,0.
Da det er på samtlige punkter, Energinet.dk skal stramme op, så er det også et ambitiøst projekt til trods for en tidshorisont på tre år.
»Vi gør mange ting. Vi har allerede investeret 110 millioner kroner i at udskifte vores SCADA-system til et mere tidssvarende,« siger Morten Gade Christensen.
SCADA-systemer, som bruges til at styre industrielle systemer, kom for alvor i søgelyset i 2010, da Stuxnet-ormen ramte en række virksomheder. Indtil da havde branchen været klar over, at der eksisterede problemer, fordi der især manglede en praksis for løbende sikkerhedsopdatering af SCADA-systemerne, men truslen havde været teoretisk.
Et væsentligt kritikpunkt i PWC-rapporten om Energinet.dk er problemer med adgangsstyringen, hvor der i dag mangler overblik over, hvilke brugere der har hvilke rettigheder til hvilke systemer.
»Det er ikke tilfredsstillende. Det rydder vi op i,« siger Morten Gade Christensen.
En del af forbedringerne vil Energinet.dk dog ikke gå i detaljer med af hensyn til sikkerheden. Derfor vil Morten Gade Christensen eksempelvis ikke uddybe, hvilke løsninger der vil blive anvendt til at få styr på adgangsstyringen.
Til gengæld er der andre aspekter af sikkerheden, som ikke er hemmelige.
»Vi gør en del ud af at træne adfærden hos vores brugere. Ligesom man kan få en phishing-mail, der ser ud til at komme fra Skat, så ser vi mange trusler i samme boldgade, så adfærden er essentiel,« fortæller Morten Gade Christensen.
Rapporten påpeger også, at der i mange kontrakter med leverandørerne ikke er tilstrækkelig beskrevet forholdene vedrørende it-sikkerhed. Det skal der også strammes op på i det omfang, det er muligt for Energinet.dk, som dog ifølge Morten Gade Christensen også bruger en del standardkontrakter for staten, som bruges af eksempelvis SKI.
Risikoen for hackerangreb eller cyberkrigsførelse mod kritisk infrastruktur som elforsyningen har været et varmt emne i sikkerhedskredse gennem flere år, men bortset fra nogle mindre hændelser i USA har der trods kritik af sikkerheden ikke været konstateret angreb.
Det mest omtalte eksempel var Stuxnet, som efter al sandsynlighed var et målrettet angreb mod et iransk uranforarbejdningsanlæg, som tilfældigvis også endte med at inficere andre virksomheder, dog uden at gøre alvorlig skade.
Stuxnet demonstrerede dog, at det var muligt at skade et anlæg gennem et målrettet angreb, også selvom selve de kritiske systemer ikke havde forbindelse til internettet, hvilket ellers havde været ét af argumenterne for, at risikoen ikke var stor.
Leave a Reply