Svak oppfølging av beredskap mot dataangrep i strømforsyningen

– Det er alvorlig når vi vet at risikoen for dataangrep i strømforsyningen øker. Hvis vi ikke tar dette på alvor nå, kan det komme et angrep som vil få fatale konsekvenser, sier riksrevisor Per-Kristian Foss.

Kraftforsyningen utsatt for angrep

Strøm er en av disse tingene som bare er der - og fungerer - uten at man tenker noe særlig på det. Men hva om strømmen plutselig forsvinner? Og hva om den blir borte over lang tid?

Det kan få katastrofale følger for samfunnet. Nesten alle samfunnsfunksjoner er i dag avhengig av strøm for å fungere.

Les Riksrevisjonens nye rapport her

Et dataangrep er en av flere typer hendelser som kan føre til at strømmen forsvinner. Ifølge nasjonale trusselvurderinger utgjør systemer i kraftsektoren kritisk infrastruktur som er spesielt utsatt for etterretning og avanserte nettverksoperasjoner.

Ikke god nok oppfølging av beredskapen

Det er kraftselskapene selv som har ansvaret for at datasikkerheten er i tråd med regelverket. Norges vassdrags- og energidirektorat (NVE) skal følge opp at kraftselskapene gjør det de skal for å sikre beredskapen.

Dette har Riksrevisjonen undersøkt om NVE gjør. Hovedkonklusjonene fra rapporten er at

• NVE ikke i tilstrekkelig grad har påsett at det er god beredskap for å håndtere dataangrep i kraftforsyningen
• Olje- og energidepartementet ikke sikrer seg god nok styringsinformasjon om datasikkerhetstilstanden i kraftforsyningen og resultatene av NVEs arbeid med datasikkerhet

Svakheter i styring og oppfølging

Undersøkelsen viser blant annet svakheter i styringen og oppfølgingen av datasikkerhet i kraftforsyningen.

– NVE har verken satt av nok ressurser eller sørget for å ha verktøyene som skal til for å styre og følge opp. Her har det sviktet i prioriteringene, sier Foss.

Lite informasjon om datasikkerheten

NVE har gjennomført få tilsyn med kraftselskapene på dette området de siste seks årene, og undersøkelsen viser at tilsynsmetodikken i liten grad avdekker den faktiske tilstanden for datasikkerheten i selskapene.

I tillegg er NVEs informasjon om datasikkerhetshendelser mangelfull.

Øver ikke nok

NVE skal samordne arbeidet med beredskapen i kraftforsyningen. Undersøkelsen viser at NVE har lite erfaring med å håndtere dataangrep, og at de i liten grad har øvd på dette sammen med selskaper og leverandører i kraftforsyningen. Etaten har ikke et oppdatert planverk for beredskap eller en oppdatert plan for øvelser.

– Det er urovekkende at dette ikke prioriteres. Dette kan føre til at NVE er dårlig forberedt hvis et alvorlig angrep rammer kraftforsyningen, sier Foss.

Skjerpete krav til datasikkerhet

Fra 2019 har NVE skjerpet kravene til datasikkerhet i kraftforsyningen og styrket systemet for å dele informasjon om trusler, sårbarheter og datasikkerhetshendelser mellom aktørene i kraftforsyningen.

– Det er positivt at regelverket er styrket, men rapporten viser at mange selskaper mangler kompetanse innen datasikkerhet. Det er derfor viktig at NVE følger opp med god veiledning til selskapene, sier Foss.