Energisektoren forventer ekstreme cyberangrep, men få ser behov for strakstiltak

 Hovedfunn:

• Fagpersoner i energisektoren tror vi vil se alvorlige cyberangrep på sektoren de neste to årene. De forventer at angrepene vil medføre skade på liv, eiendom og miljø. 84 % av respondentene forventer skade på eiendeler og 57 % tror liv vil gå tapt.    
• Færre enn halvparten (47%) tror sikkerheten for deres driftsteknologi (OT) – de kontrollsystemene som styrer, overvåker og kontrollerer driften – er like robust som deres IT-sikkerhet.
• Bare 28%  av de som arbeider med driftsteknologi i energisektoren, sier at deres selskap gir høy prioritet til investeringer i cybersikkerhet i forsyningskjedene.  
• Færre enn en tredjedel (31%) av fagfolkene i energisektoren hevder at de er sikre på hva de skal gjøre hvis det oppstår mistanke om en potensiell cybertrussel eller -risiko. 
• Færre enn halvparten (44%) av næringens ledere ser behov for strakstiltak for å forhindre et alvorlig angrep mot deres selskap, til tross for nye trusler.

Rapporten, som heter The Cyber Priority, beskriver status for cybersikkerhet i energisektoren og finner blant annet at fire av fem tror et cyberangrep på næringen vil føre til driftsstans (85%) og skade på energiaktiva og kritisk infrastruktur (84%). Tre av fire (74%) forventer at et angrep vil føre til skade på miljøet, mens over halvparten (57%) tror at liv vil gå tapt. 

940 fagfolk i energisektoren verden over har deltatt i undersøkelsen bak rapporten. I tillegg er det gjennomført en rekke dybdeintervjuer med bedriftsledere i bransjen. Ti prosent av de som besvarte DNVs spørreundersøkelse er norske.  

Det er en økende frykt for nye og mer ekstreme konsekvenser av cyberangrep som følge av en rekke store sikkerhetsbrudd i energisektoren i de senere år.¹ DNVs undersøkelse tyder også på at uroen for nye trusler også har økt etter Russlands invasjon av Ukraina. To av tre (67%) fagfolk i energisektoren sier at cyberangrep mot næringen i den senere tid har drevet deres organisasjon til å foreta større endringer i sine sikkerhetsstrategier og -systemer.

«Energiselskapene har arbeidet med IT-sikkerhet i flere tiår, men sikring av driftsteknologi (OT) – data- og kommunikasjonssystemene som styrer, overvåker og kontrollerer driften – er en nyere og i økende grad akutt utfordring for sektoren», sier Trond Solberg, daglig leder for Cyber Security i DNV.

«Etterhvert som OT blir mer nettbasert og knyttet til IT-systemer, kan angripere skaffe seg tilgang til og kontrollere systemer som drifter kritisk infrastruktur, slik som kraftnett, vindfarmer, rørledninger og raffinerier. Rapporten viser at energibransjen har blitt oppmerksom på denne trusselen mot OT, men en raskere omstiling må til for å bekjempe den. Færre enn halvparten (47%) av fagfolkene i energisektoren mener at deres OT-sikkerhet er like robust som deres IT-sikkerhet», legger Solberg til. 

Håper på det beste 

Seks av ti bedriftsledere som besvarte DNVs spørreundersøkelse, erkjente at deres organisasjon nå er mer sårbar for et cyberangrep enn noen gang tidligere. Det er imidlertid mye som tyder på at enkelte selskaper har bestemt seg for å «vente, se, og håpe på det beste» som en metode for å håndtere trusselen.

Færre enn halvparten (44%) av bedriftslederne mener at de trenger å foreta umiddelbare forbedringer i løpet av de kommende årene for å forhindre et alvorlig angrep på deres selskap. En av tre (35%)sier at deres selskap ikke vil investere i sikkerhet før de opplever å bli rammet.

Færre enn én av fire (22%) mistenker at deres organisasjon har vært gjenstand for et alvorlig sikkerhetsbrudd i løpet av de siste fem årene. 

«Det er urovekkende å se at noen energiselskaper har en holdning om å ‘håpe på det beste’ når det gjelder cybersikkerhet, i stedet for å treffe aktive mottiltak mot truslene.Her ser vi en tydelig parallell til den gradvise innarbeidingen av sikkerhetstiltak i energisektoren over de siste 50 årene», sier Solberg.

«Det krevdes tragiske hendelser som Piper Alpha-ulykken i 1988 og Macondo-katastrofen i 2010 før industrien begynte å prioritere og institusjonalisere globale sikkerhetsprotokoller og før strengere reguleringer kom på plass. Vår undersøkelse sender et sterkt signal om at industrien bør foreta viktige investeringer for å forhindre at manglende cybersikkerhet blir årsak til skader på liv, eiendom og miljø», legger Solberg til.

Blindsoner i forsyningskjeden  

DNV anbefaler at virksomheter begynner å kartlegge hvor den kritiske infrastrukturen er sårbar for et angrep. The Cyber Priority viser at selv om mange organisasjoner investerer i oppdagelse av sårbarheter, inkluderer disse anstrengelsene ikke i tilstrekkelig grad selskaper de samarbeider med og kjøper fra.

Bare 28 % av fagfolk som arbeider med OT i energisektoren, sier at deres selskap gir høy prioritet til investeringer i cybersikkerhet i forsyningskjeden. Derimot sier 45 % av respondentene med ansvar for drift av OT at oppgradering av IT-systemer er et høyt prioritert investeringsområde. 

«Energiselskaper kan ha full oversikt over sine egne sårbarheter og ha alle de rette tiltakene på plass for å håndtere risikoen, men dette vil være til liten nytte hvis de har uoppdagede risikoer i sin forsyningskjede. Vår undersøkelse viser at ‘fjerntilgang til OT-systemer‘ er én av de tre viktigste metodene for potensielle cyberangrep mot energinæringen. Vi vil innstendig oppfordre sektoren til å legge mer arbeid i å sørge for at utstyrsleverandører og andre underleverandører dokumenterer overholdelse av beste praksis for sikkerhet helt fra de første fasene av innkjøp», sier Jalal Bouhdada, grunnlegger og administrerende direktør for Applied Risk, et konsulentfirma for cybersikkerhet som ble kjøpt av DNV i 2021.

Behov for mer opplæring av ansatte 

Til tross for disse nye cybersikkerhetstruslene, er det færre enn én av tre (31 %) fagfolk i energisektoren sikre på nøyaktig hva de skal gjøre dersom det oppstår mistanke om et cyberangrep.Færre enn seks av ti (57%) oppgir at deres arbeidsgiver har gjennomført effektive opplæringstiltak. 

«Selskapets ansatte utgjør førstelinjen i forsvaret mot cyberangrep. Effektiv opplæring, kombinert med god tilgang til riktig ekspertise på cybersikkerhet, er avgjørende for sikkerheten til kritisk infrastruktur. Vår undersøkelse peker på et klart behov for at selskapene gjør en nøye vurdering av sine investeringer i hvordan de skal holde sine folk godt informert om hvordan de skal avdekke og respondere på hendelser i rett tid», sier Bouhdada.

Merknader til redaktører: 

1 Større, nylige brudd på cybersikkerheten med virkninger for kritisk infrastruktur i energisektoren omfatter blant annet et angrep som stengte ned den amerikanske Colonial-rørledningen i 2021 og en serie angrep som lammet Ukrainas kraftnett i midten og slutten av 2010-tallet.