Den danske energi-, forsynings og klimaminister er draget vestpå for at vise, at grøn omstilling er en god forretning og åbne døre for dansk eksport af energiteknologi.
… men det gør de cyber-kriminelle også. Trusler fra diverse slyngler gør det derfor nødvendigt med tættere samarbejde og videndeling for at forpurre eller inddæmme angreb på den livsvigtige infrastruktur, elnettet udgør.
Forebyggelse af industrispionage, pengeafpresning, tyverier af penge og identiteter, cyber-aktivisme og decideret terror kræver deling af viden, hvis energibranchen skal rykke et niveau op i beskyttelsesniveau.
Sådan lyder en af konklusionerne fra chefkonsulent Peter Kjær Hansen fra Dansk Energi på baggrund af en velbesøgt temadag om it-sikkerhed.
– Vi er i energibranchen kommet et godt stykke vej, men vi kan fortsat lære af, hvordan andre brancher håndterer de sårbarheder, der er og altid vil være. De cyberkriminelle bliver stadig dygtigere, så vi skal blive ved med at have fokus på det forebyggende arbejde og have planer klar, så vi kan inddæmme angreb fra dem, der vil stjæle og ødelægge. Energibranchen forvalter en kritisk infrastruktur, og det giver os et særligt ansvar, siger Peter Kjær Hansen.
Finanssektoren samarbejder
På temadagen, der blev afviklet i Kolding mandag, fortalte Poul Otto Schousboe fra Danske Bank om finanssektorens oprettelse af et nordisk samarbejde om it-sikkerhed. Filosofien er, at it-sikkerhed er en fælles opgave og ikke et konkurrenceparameter. Hvis en bank, et forsikringsselskab eller en pensionskasse bliver kompromitteret, rammer det ikke kun den enkelte virksomhed – men alle – på troværdigheden.
– Deling af viden og informationer, så alle får noget ud af det, er helt afgørende. Norden skal være et sikkert sted for den digitale udvikling, fastslår Poul Otto Schousboe om baggrunden for at oprette The Nordic Financial CERT (Computer Emergency Response Team, red.) med deltagelse af Danske Bank, Nordea, Den Norske Bank og den norske samarbejdsforening FinansCERT.
Siden stiftelse af foreningen i foråret har også bl.a. PensionDanmark, Tryg og Jyske Bank tilsluttet sig – og flere medlemmer er på vej i Danmark, Finland og Sverige, ligesom parter i Island, Grønland og Færøerne bliver inviteret med.
En praktisk forening
The Nordic Financial CERT er ikke en politisk, men en operationel forening, hvor det handler om at forebygge og håndtere hændelser. Det kan ske ved at have et fælles sted at kontakte, hvis der er noget uldent under optræk, ligesom samarbejdet handler om at dele værktøjer til ’brandslukning’.
– Det er bedre at dele ti procent end nul procent. Deling af informationer skal være til glæde for de fleste – men ikke de kriminelle, siger Poul Otto Schousboe fra Danske Bank, der er ved at insource sit sikkerhedsarbejde.
I Norge har energisektoren en KraftCERT, men det er ikke tilfældet i Danmark. På temadagen blev ideen vendt, og der var bred enighed om, at der i hvert fald skal skabes et endnu tættere samarbejde.
En bekendtgørelse fra maj 2017 fastslår, at ’it-sikkerhedshændelser, der i væsentligt omfang reducerer virksomhedens funktionalitet eller funktionaliteten af andre dele af el- og naturgassektoren, skal omgående meddeles til Energinet.dk’, der så skal vurdere, om der skal informeres videre til Center for Cybersikkerhed, Energistyrelsen eller andre virksomheder i branchen.
– Jeg synes, at vi på temadagen havde en god diskussion af fordelene ved et tættere samarbejde og de barrierer, der er. Flere påpegede, at det er en hurdle, at Energinet også er tilsynsmyndighed, så det er en udfordring, vi skal fokusere på i den videre dialog om, hvordan vi kan styrke it-sikkerheden, siger Peter Kjær Hansen.
Endnu ingen ’væsentlige’ hændelser
Stort set hver dag bliver energiselskaber testet på deres sikkerhedssystemer, men indtil videre har ingen kriminelle – så vidt vides – haft held med at skabe en strømafbrydelse i Danmark. På temadagen deltog repræsentanter fra de fleste elnetselskaber, og ingen af dem har endnu indberettet ’væsentlige’ hændelser til Energinet.
– Men vi kan ikke afvise, at det kommer til at ske på et eller andet tidspunkt. Intet bolværk, ingen firewall kan tilbyde 100 procent sikkerhed. Vores modstandere, hvad enten det drejer sig om lande eller kriminelle organisationer, samarbejder og har enorme ressourcer, påpeger Peter Kjær Hansen.
Energisektoren i Ukraine har været hacket med strømafbrydelser til følge bl.a. ved hjælp af malwaren Crash Override, der er designet til at angribe elnet, og i nyere tid har der også været angreb på bl.a. EirGrid i Irland og energiselskaber i USA. Nogle af it-giganterne er blevet franarret betydelige summer, og Mærsk blev for nylig lammet som en del af et angreb på ukrainske værdier.
Kursus om standard
– Ingen kan føle sig sikker, men vi skal ikke gå i panik. Vi arbejder nu videre med de input, vi har fået på it-sikkerhedsdagen bl.a. i regi af Dansk Energis IT-sikkerhedsudvalg. Det har været spændende at høre om finanssektorens samarbejde og det, Københavns Lufthavne gør for at beskytte sig selv og deres brugere mod cyberkriminelle handlinger. Kritisk infrastruktur er netop kritisk, så vi skal alle gøre os umage, siger Peter Kjær Hansen.
På temadagen fortalte it-direktør Jonas Dan Jørgensen fra Københavns Lufthavne om deres sikkerhedsarbejde, der lægger sig tæt op af den internationale standard ISO 27001. Netop den standard er et af temaerne på et kursus, Dansk Energi inviterer til den 4.-5. december i Kolding.