”Näst efter kommunikation är energi det viktigaste maktmedlet”

2019-10-16 10:38

Oktober är EU:s Cyber Security Month – för att öka medvetenheten om informations- och cybersäkerhet. Vi frågade experten Hanna Linderstål om vad organisationer i energibranschen bör veta och göra, i samband med en ökande digitalisering av det svenska energisystemet.

Sverige har som ambition att ligga i framkant när det gäller att ta vara på digitaliseringens möjligheter, och den tekniska utvecklingen går fort. Även i energibranschen får allt fler upp ögonen för potentialen i digitala lösningar. Men med nya flöden av information följer också nya utmaningar som kan riskera att öka sårbarheten.

Hanna Linderstål, grundare och vd på Earhart business protection agency, har arbetat med informationssäkerhet och virtuella hot i över 20 år.

– Jag föreläser mycket för ledningsgrupper och brukar då be att få göra en kartläggning av deras öppna källor. De flesta blir förvånade över hur mycket information jag kan komma över, berättar hon.

Digitaliseringen av så kallade samhällskritiska funktioner, som energisystemet, innebär ett stort behov av ökad kunskap om informations- och cybersäkerhet. Data som samlats in om våra beteenden, liksom möjligheten att ta kontroll över system, skulle kunna orsaka stor skada i orätta händer.

– Skulle vi hamna i en säkerhetspolitisk konflikt är det ett bra maktmedel för en främmande stat att börja styra vår energitillförsel. Jag skulle säga att energi är det viktigaste att kontrollera näst efter kommunikation. Det skulle också kunna uppstå situationer där kriminella kartlägger våra levnadsmönster, eller tar kontroll över system för att kunna kräva en lösensumma.

Kontroll i flera led

Några av de scenarier Hanna Linderstål beskriver påminner om något från en thriller. Men avsikten är inte att göra någon paranoid eller avskräcka från digital utveckling – tvärtom ser hon ökad kunskap inom informations- och cybersäkerhet som en möjlighet att bygga en stark infrastruktur. Det i särklass viktigaste är att ha en helhetskontroll över vilken information som finns i systemen, vilka komponenter systemen består av, vem som har tillgång till systemen och vem som har haft tillgång till dem tidigare. Ett långt led av underleverantörer gör det svårare att ha överblick. Ofta saknas dessutom kunskap om var datan faktiskt lagras om man exempelvis använder molntjänster.

– Om man tar smarta elmätare som exempel vill man veta vilka leverantörer som har tillgång till komponenterna före och efter, och skapa rutiner för att följa upp förändrade ägarstrukturer hos underleverantörer. Det görs inte i Sverige i dag. Jag har varit med och gjort riskanalyser i andra länder där man plockat isär mätarna för att få koll på vem som tillverkat varje enskild komponent, berättar Hanna Linderstål.

Hennes erfarenhet är att säkerhetsarbetet kan upplevas som så tidsödande att det blir ett hinder för utveckling. Själv menar hon att det inte behöver ta så lång tid om man integrerar frågorna i ett tidigt skede.

Tre råd om informations- och cybersäkerhet

Så i vilken ände ska man då börja för att arbeta framgångsrikt med informationssäkerhet? Hanna Linderståls första råd är att se det som en ledningsfråga – inte en it-fråga.

– I organisationer som arbetar med samhällskritisk infrastruktur bör det finnas en CISO, chief information security officer, och den personen ska sitta på ledningsnivå.

Det andra rådet är att alla i organisationen ska ha kunskap om var riskerna finns.

– De som jobbar med upphandling och inköp är exempel på jätteviktiga personer som måste ha hög kunskap om detta.

Slutligen poängterar hon att det är all information i organisationen som ska omfattas av informationssäkerhet, inte bara den som finns i system av olika slag. Även sms, handskrivna lappar eller inlägg i sociala medier kan innehålla känslig information.

– Sociala medier är en av de största riskerna. Om man vill kartlägga sårbara punkter i ett annat lands elnät följer man förmodligen servicetekniker på facebook. Mycket information kan verka harmlös men spioneri handlar om att lägga ett pussel.

Ökad kunskap efterfrågas

När Forum för smarta elnät 2017 tog fram en strategi för ökad flexibilitet i elsystemet, identifierades informations- och cybersäkerhet som ett mycket viktigt område.

– Vi ser en stor efterfrågan på ökad kunskap och det har varit ett högt deltagande i de aktiviteter vi hittills anordnat på temat. Det har också bildats flera nätverk som diskuterar frågorna. Det finns en enorm potential i digitaliseringen av energisystemet och säkerhetsfrågorna behöver tas upp i ett tidigt skede och vara högt på agendan, säger Marielle Lahti, projektledare på Forum för smarta elnät.