Det pågår en storstilt digitalisering i kraftsektoren. Dette gir mange muligheter, men det påvirker også risikoen i systemene. Vi har intervjuet representanter for bransjen for å forstå dagens praksis, samt for å identifisere behov knyttet til risikovurderingsmetoder framover. Gjennom disse intervjuene har vi identifisert syv suksesskriterier.
Kraftsystemet er i utgangspunktet komplekst. I tillegg integreres det nå med komplekse IKT-systemer som vil ha gjensidig påvirkning på kraftsystemet. Digitaliseringen bringer også med seg nye typer risiko, først og fremst knyttet til cybersikkerhet. Samtidig påvirker digitaliseringen hvordan vi planlegger og drifter kraftsystemet. Dermed endres også risiko knyttet til utfall som i utgangspunktet ikke har noe med cybersikkerhet å gjøre. Det er ikke lenger mulig å kun se på den tradisjonelle kraft-biten og tro at vi forstår risikoen i systemet. Vi kan heller ikke undersøke IKT-biten alene for å forstå konsekvensen av en IKT-feil eller andre relaterte hendelser.
Avhengigheten mellom kraft og IKT må forstås og håndteres med et bredt sett av virkemidler. I denne studien har vi sett på rollen til risikovurdering og risikostyring i strømbransjen. Vi har også undersøkt hvor rustet bransjen er til å vurdere cyber-risiko knyttet til beslutninger framover, og hva som er behovene når det gjelder metodikk for risikovurdering. For å forstå dette har vi intervjuet representanter fra seks ulike virksomheter i bransjen – to bransjeorganisasjoner, to nettselskap og to energikonsern. Til sammen har vi snakket med syv intervjuobjekter som alle jobbet med informasjonssikkerhet.
… bransjen er imidlertid flinkest på tradisjonelle trusler.
Intervjuene forteller oss at dagens praksis er varierende når det gjelder risikovurderinger knyttet til cybersikkerhet. Ifølge kraftberedskapsforskriften er det krav om å gjennomføre risikoanalyser. Det gjøres også mye risikoanalyser, men bransjen er imidlertid flinkest på tradisjonelle trusler. Cyber- og informasjonssikkerhet er nyere, noe som medfører at disse ikke er like etablert i kraftbransjen. Samtidig er det en økende bevissthet rundt cybersikkerhet – noen beskriver det som at fagfeltet fosser frem, med kraftig utvikling og modning. Likevel er ikke informasjonssikkerhet like integrert i arbeidet som det burde være. Praksisen er varierende, selv blant de relativt store virksomhetene vi har snakket med.
Det var særlig to type relasjoner som ofte kom opp i intervjuene. Den ene var relasjonen mellom de som jobber med informasjonssikkerhet og de som jobber med andre ting. Den andre relasjonen var mellom informasjonsteknologi (IT) og Operasjonsteknologi (OT).
Organisasjonene vi intervjuet hadde ofte begrensede ressurser knyttet til informasjonssikkerhet. Derfor er det vanskelig for de relativt få ansatte å ta ansvar for alt som har med informasjonssikkerhet å gjøre. Det faglige nivået er også i mange tilfeller betydelig lavere enn blant de som jobber med for eksempel OT. Dette kan bidra til å gjøre samarbeidet krevende. Det kan i noen tilfeller være lettere for de som jobber med informasjonssikkerhet å samarbeide med administrativ IT i selskapet, enn å samarbeide mot OT – selv om OT kan oppleves viktigere.
En annen observasjon hos noen av informantene er at motivasjonen for risikovurdering ofte er etterlevelse (compliance) – man gjør det fordi det er krav om det. Dermed er man ikke så bevisst på hvordan risikovurderingene blir tatt videre.
Basert på intervjuene har vi kommet fram til en rekke tiltak som kan løse disse beskrevne problemene. I det følgende vil vi presentere de syv identifiserte suksesskriteriene for risikoanalysemetoder.
1. Lett å forstå og anvende selv om man ikke er ekspert på risikoanalyse
Flere av selskapene vi snakket med mente dette var det viktigste behovet for øyeblikket. Det må være lett å gjøre risikovurderinger, også om du ikke har så mye erfaring med informasjonssikkerhet. Dette er viktig av flere årsaker. For det første finnes det et begrenset antall kompetansepersoner innen informasjonssikkerhet. Når det må gjøres risikovurdering er det naturlig å peke på seksjon for informasjonssikkerhet, men de har ofte ikke nok kapasitet. Derfor er det flere som ønsker at systemeiere tar mer ansvar for å ta med informasjonssikkerhetsrisiko i sine egne vurderinger. Noen forteller at de har hatt nytte av å trene prosjektledere i å gjøre risikovurderinger knyttet til informasjonssikkerhet. Det må altså være så enkelt å vurdere cyber-risiko at det kan gjøres av andre enn spesialister.
Enkle risikoanalysemetoder er også viktig for å sikre at analysene blir gjort i det hele tatt. Ett intervjuobjekt sier til og med at enkle analysemetoder er viktigere enn kvaliteten på selve resultatet. Dette er fordi vi risikerer at informasjonssikkerhet ikke får være med ved bordet når man gjør vurderinger av risiko dersom metodikken er for vanskelig. Samme intervjuobjekt uttrykker at de må velge mellom hvilke risikoer de skal prioritere fordi metoden er for ressurskrevende for antallet risikoer som skal vurderes. Selv om kvalitet også er viktig, sier en informant at det per i dag er et større problem at det mangler risikoanalyser, enn at kvaliteten er for dårlig.
Når det gjelder tidsbruk på risikovurderinger, varierer dette fra et møte til en arbeidsdag blant informantene. Det er verdt å merke seg at vi har snakket med relativt store virksomheter, med tilsvarende ressurser. Når disse ressurssterke virksomhetene peker på at det er viktig med enkle metoder, vil det nok være enda viktigere hos mindre virksomheter. Det ble uttalt fra en av bransjeaktørene at det i utgangspunktet bare er de største nettselskapene og noen få mellomstore selskaper som faktisk klarer å utføre risikovurderinger.
2. Støtte for å vite om metoden er en god match for en gitt kontekst
Som vi har vært inne på, er det stor variasjon i både praksis og evne til å vurdere cyber-risiko. Det er vanskelig å vite hvordan man kan begynne, og spesielt for de som ikke har tilstrekkelig kompetanse. Omfanget av en risikovurdering er i stor grad basert på analyseobjektet. I noen tilfeller kan det være tilstrekkelig å utføre en vurdering basert på en sjekkliste, mens i andre tilfeller kan det være nødvendig å utføre en detaljert risikovurdering. Det trengs altså støtte for å velge metodikk basert på kontekst. Samtidig kan det forventes at virksomhetene, etter hvert som de får mer erfaring med å vurdere cyber-risiko, vil kunne bli klare for mer avanserte metoder. Uansett virker det som om det er et behov for veiledning, spesielt når man ikke har så mye erfaring fra før.
Det gjøres ulike typer risikovurderinger, for eksempel årlig og ved endringer i systemene. Disse ulike vurderingene kan ha ulike metodiske behov. Noen ganger gjøres det en egen risikovurdering som går på cybersikkerhet, andre ganger er cybersikkerhet en del av en større vurdering. Mange bruker penetrasjontesting som et supplement til risikoanalyse.
3. Støtte for forberedelser, inkludert felles forståelse for konsepter
Noen av informantene har opplevd at når cybersikkerhet inkluderes som del av de felles og mer tradisjonelle analysene, kan de risikere at cybersikkerhet bare blir ett scenario. Istedenfor å vurderes i dybden, blir det sett sammen med andre scenarier knyttet til ekstremvær, tekniske feil og så videre. Alle vi intervjuet er enige om at en slik analyse ikke blir grundig nok. Samtidig tyder det på at cybersikkerhet kan oppleves litt abstrakt og vanskelig å forholde seg til.
Ett intervjuobjekt snakker om at mange undervurderer forkunnskapene som er nødvendig for å bidra godt til en risikovurdering. Å delta på en fornuftig måte krever en forståelse for hva man gjør i en risikoanalyse, og de ulike typene risiko som finnes – også cyber-risiko. Det oppleves vanskelig for OT-folk å forholde seg til cybersikkerhet. Selv om en OT-ekspert kjenner systemet godt, betyr ikke det at den kjenner systemet på den måten man trenger for å gjøre en grundig vurdering av cyber-risiko. Da kreves for eksempel kunnskap om hvordan systemet er bygd opp og hvordan data flyter.
En av informantene forteller om gnisninger som har oppstått under en risikovurdering av AMS-målere. Der hadde de også med de som driver med målere til daglig, noe som opplevdes som veldig positivt, men disse hadde bare et bedriftsperspektiv.
Når de da diskuterte hva som kunne skje om noen hacket målere, så sa de «nei, men de kan jo ikke gjøre det, målerne er ikke laget for det, det står ikke i spek-en.»
Dette er jo kanskje et litt morsomt eksempel, men gnisninger kan også gjelde ulike oppfatninger av viktige begreper som sannsynlighet og konsekvens. Når man for eksempel snakker om tilsiktede angrep, trenger ikke det at noe ikke har skjedd bety at det er usannsynlig. Det er ofte også ulik forståelse av hva som er kritisk. Det er imidlertid tegn på bedring her i noen selskaper, spesielt der man har organisert seg slik at det er tettere samarbeid mellom IT og OT.
I intervjuene kom det fram et generelt ønske om støttemateriale, for eksempel i form av scenarioer, virkelige hendelser og sjekklister.
I intervjuene kom det fram et generelt ønske om støttemateriale, for eksempel i form av scenarioer, virkelige hendelser og sjekklister. Det finnes noe, men det er et ønske om mer. Slikt støttemateriale kan motivere for risikovurdering, hjelpe deltakere å forstå hva som kan skje, og forbedre kvaliteten. Det er vanskelig å bidra godt til en risikovurdering uten grunnleggende forståelse av hva et angrep er, hvilke angrepsteknikker som kan brukes, og hvordan man kan hindre eller håndtere angrep.
4. Evne til å håndtere kompleksitet
Risikovurderinger oppleves allerede vanskelig, og flere av de vi intervjuet opplever at de ikke klarer å identifisere alle viktige risikoer i vurderingene. Flere peker på penetrasjonstester som et viktig virkemiddel for å bli kjent med egen sårbarhet.
Kraftsystemet er komplekst, og med digitaliseringen er kompleksiteten økende. Denne kompleksiteten gjør det vanskeligere å gjøre grundige risikovurderinger. Det skjer mange endringer, både i systemer og i arbeidsprosesser. I tillegg skjer flere av disse endringene gradvis, og de kan være vanskelig å fange opp i risikovurderinger. I mange tilfeller vil det gi mening å bygge på tidligere risikovurderinger for å oppdatere disse. Da er det imidlertid lett å bli fanget av tidligere antagelser som kanskje ikke lenger er gyldige.
Her kommer intervjuobjektene med et eksempel. Når man går fra et manuelt system til et digitalt system og endrer tilhørende arbeidsprosess, vil man i mange tilfeller se på den manuelle prosessen som en backup. Med tiden mister organisasjonen erfaringen med disse manuelle prosessene, og da er det vanskelig å fange opp når denne backupen ikke lenger er reell.
Det er vanskelig å forstå hvordan risikoer påvirker hverandre
Det er vanskelig å forstå hvordan risikoer påvirker hverandre. Vurderinger gjøres ofte for enkeltsystemer, men det er vanskelig å forstå relasjoner mellom risiko i ulike systemer og utfordrende å kombinere analyser for å få et mer helhetlig bilde av risikoen. Det er også sammenhenger og avhengigheter mellom systemer som kan være vanskelig å fange i risikoanalyser. Informantene våre kom med eksempler som at det er lett å se at OT-systemer er kritiske, men at det kanskje ikke er like stor bevissthet om andre systemer (for eksempel AMS) som kan være kritiske for å fakturere kunder riktig.
5. Støtte for å estimere risiko
Risiko estimeres ofte ved å vurdere sannsynlighet og konsekvens for hendelser. Kriterier for disse faktorene på organisasjonsnivå er ikke alltid relevante for cyber-risikoer. Intervjuobjektene forteller at det ofte kan bli uenighet rundt sannsynlighet og konsekvens, og at det kan være store sprik mellom fagmiljøer i forståelsen av disse konseptene.
For cyber-risiko er det særlig vanskelig å vurdere sannsynligheten for tilsiktede handlinger.
For cyber-risiko er det særlig vanskelig å vurdere sannsynligheten for tilsiktede handlinger. Virksomheter kan «lure seg selv» ved å anta at noe er usannsynlig fordi det ikke har skjedd ennå.
Det finnes alternativer til å vurdere sannsynlighet for hendelser. Informantene nevner trusselaktører, og deres kapasitet og angrepsmotivasjon. Det finnes lite statistikk om spionasje, sabotasje eller andre alvorlige angrep. Vi kan derimot si noe om aktørene som finnes der ute, så vel som deres intensjoner og ressurser.. Dette kan hjelpe til med å forstå sannsynlighet. Om man imidlertid velger å bruke en annen risikoestimering for cyber-risiko enn for andre typer risiko, blir det vanskeligere å kombinere og aggregere resultater fra ulike analyser.
6. Støtte for å øke tillit til resultatene
Risikovurderinger oppleves av noen som subjektive. Flere uttrykker at det er vanskelig å vite om en risikoanalyse er bra nok. Uavhengig av om man gjør en grundig jobb, kan man ha glemt et trusselscenario. Pentetrasjonstesting og monitorering brukes ofte som supplement eller erstatning for risikovurdering.
Flere intervjuobjekter forteller om et behov for å uttrykke uvisshet i risikovurderingen for å øke tillit til resultatene. Uvisshet kan uttrykkes i sammenheng med risikoestimatene (konsekvens og sannsynlighet). Økt tillit er viktig for å få et bedre beslutningsgrunnlag for sikkerhetsinvesteringer.
7. Støtte risikostyring gjennom dokumentasjon, vedlikehold og tiltak
Risikovurdering er ikke det samme som risikostyring. Det å gjøre en risikovurdering betyr ikke at risikoen automatisk blir håndtert. Flere av informantene forteller at det kan være vanskelig å løfte cyber-risiko til bedriftsledelsen, og at risikoanalyser er vanskelige å formidle. De uttrykker bekymringer rundt at det er ulik forståelse av risiko på toppen og hos de som jobber med informasjonssikkerhet. Kanskje forstår ikke ledelsen kompleksiteten, og hvor arbeidskrevende det er å sikre alt. En vi intervjuet snakket om «tut og kjør» med innovasjon og nye prosjekter, uten at cybersikkerhet var noen sentral del av det. Samtidig viser organisasjonenes ledelse økt interesse for cybersikkerhet. Flere av de vi intervjuet fortalte at risikovurderingene i mange tilfeller ikke dokumenteres godt nok. Vedlikehold av risikovurderingen er viktig for å holde risikobildet oppdatert. Det ble også etterspurt retningslinjer for å identifisere tiltak for å redusere risiko.
Oppsummering
De sju suksesskriteriene vi har identifisert viser en bredde av behov. Det er helt essensielt at det er enkelt å gjøre en risikovurdering. Samtidig står enkelhet litt imot noen av de andre kriteriene. Kanskje må det være en balanse mellom at ting skal være lett, samtidig som at man skal kunne håndtere kompleksitet. Kapasitet og kompetanse til å håndtere kompleksitet kan bygges opp over tid.
Suksesskriteriene er også beskrevet i en artikkel som ble presentert på en konferanse i juli. I denne artikkelen ser vi også på i hvilken grad noen av dagens risikovurderingsmetoder klarer å møte disse suksesskriteriene.
I forskningssenteret CINELDI vil vi framover konsentrere oss om nettplanlegging, og hvordan vi kan støtte nettplanleggere i å vurdere cyber-risiko.
Referanse
Gencer Erdogan, Inger Anne Tøndel, Shukun Tokas, Michele Garau, Martin Gilje Jaatun. Needs and Challenges Concerning Cyber-Risk Assessment in the Cyber-Physical Smart Grid. In Proceedings of the 17th International Conference on Software Technologies (ICSOFT 2022), pages 21-32, SCITEPRESS, 2022.
Kommentarer
Ingen kommentarer enda. Vær den første til å kommentere!