IKT-sikkerhet for kraftbransjen er årets dagsaktuelle tema på Samfunnsbedriftene Energis årskonferanse.
Der får du blant annet møte Kjetil Lund, leder for NVE, Elisabeth Sæther, statssekretær for OED og Margrete Raaum, daglig leder for KraftCert. Vi tok en prat med Raaum i forkant for å gi deg en snikktitt på hva du kan forvente.
Navn: Margrete Raaum
Stilling: Daglig leder
Arbeidsgiver: KraftCert
Margrete Raaum er daglig leder for KraftCert, et sektor-cyberresponsmiljø for kraftbransjen. Raaum har bred teknisk forståelse og over 20 års erfaring med datasystemer og -sikkerhet. Tidligere har Raaum hatt flere roller knyttet til digitalisering og IT-sikkerhet, ved blant annet Universitet i Oslo, Statnett og Forum for Incident Response and Security Teams (FIRST).
1. Mange kjenner kanskje ikke så godt til KraftCert eller de norske CERTene. Kan du fortelle oss litt om de?
- Det finnes flere CERTer i Norge for forskjellige fagområder. Det står for "Computer Emergency Response Team". Hovedhensikten er at en CERT er en koordinerende enhet for informasjonssikkerhet. KraftCert som er CERTen til kraftbransjen hjelper altså kraftselskaper med diverse ting som hendelseshåndtering, varsling om sårbarheter og hendelser både innen for informasjon teknologi (IT) og innen operasjonell teknologi (OT). Vi bidrar også med rådgivning til IKT-sikkerheten til selskaper.
2. Digitalisering er svært fremtredende i flere sektorer. Hva tenker du om utviklingen til digitalisering i kraftbransjen fremover?
- Jeg tror det er liten tvil om at vår hverdag blir mer og mer digital, og at digitalisering er på fremmarsj også i bransjen. Den kommer til alle etter hvert. For selskapene er dette også en mulighet til å hente ut økonomiske gevinster ved effektivisering.
3. IKT-sikkerhet får generelt oppmerksomhet og prioritert når det skjer en hendelse, men kanskje ikke like mye resten av tiden. Tenker du at IKT-sikkerhet blir prioritert høyt nok i kraftbransjen?
- Ja, jeg tror generelt beredskap og IKT-sikkerhet blir høyt prioritert av bransjen. Men det som kan være en utfordring for virksomhetene er innkjøp av tjenester. Det kan virke overveldende for selskaper som skal gå til innkjøp av IKT-tjenester å vite hva man skal spørre om eller hvilke krav som man burde stille til leverandøren. Det er også foruroligende å se at leverandører tilbyr tjenestepakker uten noen form for sikkerhet inkludert. Dette må da kjøpes som en ekstra tjeneste for en ekstra kostnad. Pakker uten sikkerhet inkludert, kan eksponere selskapene og bli dyre dommer på lang sikt. Det anbefales ikke.
4. Et godt første steg for selskaper som vil bli bedre på IKT-sikkerhet er jo selvfølgelig å komme på årskonferansen vår, samt å bli medlem av KraftCert. Men hvilke andre lavterskeltiltak kan selskaper ta i bruk for å bedre IKT-sikkerheten?
- Det er viktig å forstå hvordan man kan bli angrepet. Phishing er et av hovedangrepsmetodene som blir brukt som angrep, hvor hovedhensikten er å lure til seg informasjon fra mottageren. Et vanlig eksempel er når man får en velskrevet epost fra det som tilsynelatende ser ut som sjefens navn med en lenke til (det som ser ut som) et kjent område, la oss si Sharepoint. Trykker man på lenken og logger inn på den ikke-ekte siden med sitt brukernavn og passord kan angriperen ha fått tilgang til dine info.
Noen av disse angrepene er lett å skille ut, men de har blitt mye bedre i de siste årene. Enkelte forsøk kan man umulig vite sikkert om det er reelt eller svindel. Da må man ha en teknisk løsning som hjelpe å beskytte. Å implementere tofaktorautentisering er et stort steg i riktig retning for å sikre seg mot slike forsøk.
På siden av det, tror jeg det beste lavterskel tipset er å gjennomgå og øve på bedriftens prosedyrer tid og ofte. Da er det også viktig at man og øver på scenarioer hvor man blir utfordret og prosedyren ikke går helt etter boka. Hvordan håndtere man i så fall det?
5. Vi gleder oss til å få deg som innleder på årskonferansen 14.juni, hvor vi får høre mer om en ny rykkende fersk rapport dere jobber med. Hva kan vi forvente? Får vi høre en liten snikktitt fra rapporten?
- Rapporten handler om metodikken angripere bruker og hva man kan forvente framover i tiden. Resten må vi nesten vente med å avsløre til selve konferansen.
6. Da venter vi i spenning frem til din presentasjon av den 14.juni. I forbindelse med invasjonen av Ukraina meldte flere medier om økt beredskap. Har dere merket større pågang fra bransjen etter invasjonen?
- Nei, vi har ikke direkte merket større pågang etter krigen begynte. Men det kommer til å stige igjen etter krigen, så vi må gjøre oss klar for hektiske tider.