Som samfundsvigtig sektor er forsyningssektoren særlig udsat som mål for cyberkriminalitet, og sektoren bliver derfor i disse år pålagt nye lovgivnings- og compliancekrav. Men er det tilstrækkeligt til at sikkerhedsniveauet matcher trusselsbilledet?
Forsyningssektoren står ligesom øvrige industrier og brancher overfor en sikkerhedstrussel, der er større end nogensinde før. Ikke nok med at trusselbilledet konstant ændrer sig, og angrebene bliver mere og mere komplekse, så opererer forsyningsvirksomheder på tværs i en samfundsvigtig sektor, hvor cyberangreb potentielt kan lamme ikke bare virksomheden selv, men hele eller store dele af samfundet.
Det er blandt andet den kendsgerning, der gør, at forsyningssektoren bliver mødt med nichedirektiver fra EU, kombineret med nye danske bekendtgørelser og compliancekrav. Det er forsøg på at sikre, at sektoren kan modstå de cyberangreb og trusler, der rettes mod den.
Lovgivning skal anses som minimumskrav
Men ifølge Esben Kaufmann, der er Associate Vice President i NNIT, skal der mere til:
– Det er ikke tilstrækkeligt at leve op til bekendtgørelser og lovgivning, når man som forsyningsvirksomhed skal ruste sig mod de kriminelle i cyberspace. Compliancekravene går på tværs af sektoren, men de tager ikke højde for den virkelighed, den enkelte virksomhed – hvad enten den opererer inden for vind, fiber, strøm eller noget helt fjerde – står overfor. Derfor er sikkerhedsberedskabet nødt til at række udover.
Derfor bør politiske retningslinjer anses som minimumsstandarder.
– Desværre er virkeligheden ofte en anden; mange forsyningsvirksomheder opfatter nærmere kravene som en facitliste til ens beredskab. For mange er det en kæmpe omvæltning og opgave i sig selv blot at leve op til minimumskravene, men det er langt fra et tilstrækkeligt beredskab for den enkelte virksomhed, siger Esben Kaufmann.
Sikkerheden halter i forsyningssektoren
For rigtigt at forstå den omvæltning og nye virkelighed, forsyningssektoren står overfor, må man træde et skridt tilbage og kaste et blik på dens udvikling de seneste år. Esben Kaufmann vurderer, at forsyningssektoren er en af de mest umodne sektorer, når det kommer til it-sikkerhed, og det er lidt af et paradoks, når det samtidig er en af de mest udsatte. En af de største udfordringer er, at sikkerhed ikke oprindeligt er et kerneforretningsområde i sektoren. Det gør det svært for mange at følge med den sikkerhedsmæssige udvikling.
– Groft sagt, så har vi at gøre med en sektor, der traditionelt har været meget driftsfokuseret, og uden opkobling til internettet. Driften har været altovervejende og er det stadig mange steder. Når man så kobler store dele af forretningen på nettet for at skalere driften og optimere effektiviteten via centralstyring, står man i en helt ny virkelighed, hvor sikkerhed handler om både ot og it. Problemet opstår, når man som mange stadig kører med it-systemer, der i højere grad er designet med fokus på driftssikkerhed end på it-sikkerhed. Det er et slaraffenland for hackere, siger Esben Kaufmann.
Forsyningssektorens nye virkelighed: Fra drift til data
Samtidig har den digitale udvikling åbnet nye døre for at mange aktører nu kan udvide og supplere deres kerneforretning med digitale services:
– Både distributørleddet og producentleddet begynder i stigende grad at anvende de data, de indsamler til at tilbyde digitale services ovenpå deres traditionelle ydelser og kerneområder. Dermed åbner de deres setup op for en helt ny form for eksponering, og de bliver udsatte på en måde, de ikke tidligere har været, forklarer Esben Kaufmann.
Behov for nyt mindset og prioritering
Den stigende eksponering kræver et helt nyt mindset ude i virksomhederne. Det er ikke længere nok at have fokus på sikker drift. Udfordringen er, at det fortsat er driftsperspektivet, der gennemsyrer mange forsyningsvirksomheder, uanset størrelse og branche.
– Mange af de medarbejdere, der i dag sidder med sikkerhedsansvar, er driftsfolk. De er vant til at tænke som ingeniører, der skal følge driftsrelaterede tekniske krav. Nu bliver de mødt af nichedirektiver og bekendtgørelser, compliancekrav og beredskabsplaner, og it-sikkerhed bliver en add-on i stedet for noget, der er tænkt ind i hele forretningen. Men it-sikkerhed bør have et selvstændigt fokusområde med mandat til at drive beslutninger og engagere forretningen, for ellers det er alt for nemt at prioritere drift og produktion over sikkerhed, forklarer Esben Kaufmann.
Beredskabet skal opdateres løbende
Ofte bunder det i, at kompetencer og viden ikke matcher sikkerhedstruslens kompleksitet:
– Jeg møder rigtig mange virksomheder, der tror de er godt klædt på til den cybertrussel, de står overfor. Men fordi mange af de medarbejdere, der har ansvar for it-sikkerheden kommer fra en helt anden baggrund, er der helt naturligt nogle nøgleværktøjer og initiativer, de slet ikke har på radaren. Og det er problematisk, når netop disse er helt afgørende, når man sidder på infrastruktur på så kritisk et niveau, lyder det fra sikkerhedseksperten. Esben Kaufmann tilføjer, at mange virksomheder allerede har et stort sikkerhedsteam, men at det langt fra er en forsikring for, at den kører optimalt.
Hans anbefaling er derfor også klar:
– Beredskabsplanlægningen skal højere op på prioriteringslisten. Mange kører med genetableringsplaner for den fysiske drift, men ikke for it. For at blive mindre sårbare, så kræver det først og fremmest, at man har sin dokumentation i orden og nogle helt klare retningslinjer for, hvordan man genetablerer nedbrudte systemer. Cybertruslen udvikler sig med lynets hast. Derfor bør man løbende kigge ind ad og vurdere, om ens beredskab er tilstrækkeligt og om man internt kan blive ved med at opkvalificere og tiltrække de kompetencer, der skal til for at opretholde det nødvendige sikkerhedsniveau, slutter Esben Kaufmann.
Hos NNIT har vi eksperter med speciale i forsyningssektoren, der kan hjælpe med både security assesment, rådgivning og implementering inden for it-sikkerhed og compliance.
