Onsdag denne uken arrangerte Europower ENERGIDEBATTEN om Cyber Security i samarbeid med Microsoft, Sopra Steria og Energi Norge.

Der stilte IT-direktør Jon Andreas Pretorius fra nettselskapet Elvia opp for å diskutere hvordan de og resten av kraftbransjen håndterer IT-sikkerhet sammen med Microsofts National Security Officer i Norge, Ole Tom Seierstad, og direktør for cybersecurity i Sopra Steria, Kenneth Titlestad.

– Vi har ikke nok bevissthet rundt hvilke cybertrusler vi faktisk står overfor, sier Titlestad.

Det var et tema som engasjerte Pretorius og Elvia. IT-direktøren poengterte gang på gang at cyber sikkerhet ikke dreide seg om én problemstilling med én løsning.

– Cyber security er er et mangehodet kompetansetroll, sier Pretorius.

Han viste til at det krever mange forskjellige kompetansetyper for å sikre en bedrift som Elvia mot mange forskjellige typer digitale sikkerhetsutfordringer. Det gikk på alt fra å håndtere det rent tekniske, det å håndtere forskjellige typer data og ikke minst det å håndtere mange forskjellige typer partner i sikkerhetsarbeidet.

– Det er utrolig mange kompetanser som må spille på lag, sier Pretorius.

Han påpekte også at truslene var veldig varierte. Det kan være målrettede angrep, men også mer generelle trusler der aktører med ondsinnede hensikter ikke nødvendigvis er spesifikt ute etter de som selskap fordi de er i kraftbransjen. Det kan for eksempel like gjerne være et generelt angrep der noen prøver seg med ransomware for å presse mange forskjellige selskaper for penger ved å låse ned bedriftskritisk informasjon.

- Vi ha færrest mulig «egne feil»

For å forsvare seg mot den typen generelle angrep, mente Pretorius at det var viktig å ikke basere virksomheten på spesialtilpassede løsninger der det kan dukke opp små egne feil som angripere kan utnytte.

– Vi ønsker færrest mulig egne løsninger. Vi er opptatt av at vi kjører Microsofts sky ut av boksen. Det volumet de har hjelper oss, sier Pretorius.

For som en av verdens største programvareselskaper, er Microsoft helt avhengig av å kontinuerlig sikre seg mot både feil og målrettede angrep.

Microsofts Seierstad fortalte at de internt har et blått og et rødt lag som bytter på å fungere som interne angripere og forsvarere for å avdekke potensielle sikkerhetshull og sikkerhetsutfordringer. På den måten får de brynt seg på intern spisskompetanse i tillegg til det eksterne presset de opplever som følge av at deres løsninger er blant verdens mest brukte.

Likevel var Seierstad nøye med å påpeke at en god sikkerhetstilnærming aldri kan ta utgangspunkt i at de har klart å sikre alt.

– Vi går ut fra begrepet «assume breach», sier Seierstad.

Med det menes at løsningene må kunne fungere selv om noen har klart å komme gjennom, og at det ikke kan være slik at alt ligger åpent for de som eventuelt klarer det.

Forskjellige trusler i forskjellige systemer

Hele panelet var samlet enig om at truslene kom i mange former, og at det er fort gjort å blande de sammen. Det kom for eksempel et spørsmål inn om hvorvidt Elhub kunne være en sikkerhetsutfordring hvis noen skulle klare å få tilgang der. Det var panelet enige i at det ville vært, men det ble påpekt at det i så fall var et problem for personvernet, ikke for driften av kraftsystemet.

Energidebatten om cyber security ble sendt fra Microsofts lokaler i Bjørvika. Fra venstre: IT-direktør Jon Andreas Pretorius, National Scurity Officer Ole Tom Seierstad i Microsoft, direktør for cybersecurity, Kenneth Titlestad i Sopra Steria, og debattleder Fredrik Kveen fra Europower.

For det er ingen kobling som gjør at et eventuelt sikkerhetsbrudd der gjør at noen får tilgang til å stenge av strømmen for noe. Det er det utelukkende nettselskapene som kan gjøre selv, og det er et område der sikkerhet alltid har stått svært høyt på agendaen hos Elvia og andre nettselskaper.

Pretorius poengterte også at kraftbransjen alltid har vært opptatt av sikkerhet, og at de historisk sett har vært svært gode på å sikre det som tradisjonelt sett har blitt vurdert som sensitivt og kritisk.

– Sikring av driftskontroll har det vært fokus på veldig lenge. Man har vært flinke til perimetersikkerhet, og flinke til å seksjonere ut, sier Pretorius.

Han er derfor mer opptatt av å håndtere utfordringer knyttet til at de som selskap i større grad enn før er integrert med andre aktører, enten det er kunder, leverandører eller partnere, og at det skaper nye utfordringer på IT-sikkerhetsfronten.

Samtidig skaper dette også nye muligheter for å forbedre sikkerhetsarbeidet, og Pretorius trekker frem deling av kunnskap og erfaringer på tvers av bransjen - og også på tvers av bransjer - som svært viktig.

– Deling og åpenhet er en utrolig viktig, sier Pretorius.

Her kan du se opptaket:

</div><p><script src="https://player.vimeo.com/api/player.js" type="text/javascript"> </script></p>