Energisäkerhet har blivit en alltmer aktuell fråga i det alltmer turbulenta omvärldsläget. I en färsk lägesrapport från Energimyndigheten uppmanar myndigheten alla energiaktörer att öka övervakningen av ”onormala händelser”.
En av dem som har bra koll på säkerhetsfrågor är Nicklas Keijser, som tidigare har arbetat i energisektorn men numera är expert på OT-system (Operations technology) på cybersäkerhetsföretaget Truesec.
Nicklas Keijser lyfter fram tre typer av hot mot energibolag. Det största hotet och som påverkar flest energibolag är cyberkriminalitet menar han. Detta ligger också i linje med Europols Socta-rapport som kom den 20 mars och som pekar på att cyberattackerna ökar.
Här är ofta syftet att de kriminella vill ha pengar för att låsa upp systemet igen. Det handlar ibland också om det som kallas dubbel utpressning, alltså att de vill ha pengar för att inte publicera stulen data.
– Detta är ett hot som gäller alla branscher och inte enbart energibranschen, men däremot så blir ju konsekvenserna väldigt stora i samhället om värme eller el påverkas, säger Nicklas Keijser.
Om de uppkopplade OT-systemen inte är byggda med ett starkt säkerhetstänk ökar sårbarheten för energiverksamheten.
OT-systemen måste byggas med säkerhetstänk
Många OT-system inom energibranschen har inte lika hög säkerhet som för it-systemen. En förklaring är att de inte är utvecklade för cybersäkerhet då de ursprungligen inte var sammankopplade med it-system.
Numera är dock allt fler OT-system uppkopplade och fjärrstyrda, vilket ökade i samband med pandemin. Det är ibland också ett krav från utländska underleverantörer att kunna göra fjärruppkopplingar, i stället för att behöva resa till Sverige för att genomföra jobb.
– Men om de uppkopplade OT-systemen inte är byggda med ett starkt säkerhetstänk ökar sårbarheten för energiverksamheten, säger Nicklas Keijser.
Det andra hotet han lyfter fram är så kallad hacktivism.
– Det är den enklaste typen av hot och där gör utförarna cyberattacker för att de tycker att det är roligt, men de kan också ha politisk agenda. Vi ser främst rysk aktivism där man försöker ge sig på enheter som styr kritisk infrastruktur, säger Nicklas Keijser
– De slår ofta brett och målet att hitta svagheter hos företag och genomföra attacker där dessa svagheter finns. Inom energibranschen är det främst mindre energiproducenter utan egna it-avdelningar som är i riskzonen.
Hot från statsaktörer
Det tredje hotet kommer från statsaktörer, där det för svensk del handlar om hot från i första hand Ryssland, Kina, Nordkorea och Iran.
– Där är syftet oftast att störa verksamheter i någon slags gråzonskrigsföring. Om vi tittar på Ryssland så har de gjort ett antal cyberattacker mot den ukrainska energibranschen. Det var framför allt innan det fullskaliga kriget och då ville man inte skjuta sönder infrastrukturen. Men vi ser också ett hot mot de nordiska ländernas energiinfrastruktur och anläggningar, säger Nicklas Keijser.
Hur ska då svenska energibolag skydda sig mot cyberhoten mot OT?
En viktig del i säkerhetsarbetet är Energi-CERT, som ska komma i gång under våren. Det är en stiftelse som ska vara energibranschens samlande kraft för operativt cybersäkerhetsarbete. De ska ge branschspecifik hot- och sårbarhetsinformation och bidra till en samlad lägesbilden. Bakom stiftelsen står Vattenfall, Fortum, Eon, Uniper och Jämtkraft.
– Detta kommer bli en viktig del i cybersäkerhetsarbetet för de svenska företagen. I Danmark och Norge har de haft en sådan verksamhet i flera år, så det är bra att det äntligen startar även i Sverige, säger Nicklas Keijser.
– Om vi tar Danmark som exempel så har de sensorer på väldigt många av sina energiproduktionsanläggningar. De kan utifrån denna information se om något avvikande händer, vilket är viktigt för det egna företaget men det kan även vara viktigt för andra bolag i energibranschen.
Det handlar om information där man ser om någon har brutit mot en organisations nätverk, och genom att ha exakt data på vad det är för någon typ av attack som pågår kan man dela och varna andra.
En risk är att underskatta faran och tro att ingen är intresserad av ett mindre energibolag. Men många som genomför cyberattacker attackerar de bolag där det finns lägst säkerhet.
Ökad kunskap behövs
Nicklas Keijser anser att det också behövs en ökad kunskap hos energibolag kring cyberhot.
– En risk är att underskatta faran och tro att ingen är intresserad av ett mindre energibolag. Men många som genomför cyberattacker gör det brett och attackerar sedan de bolag där det finns lägst säkerhet, vilket kan vara just mindre bolag, säger han.
En åtgärd som han menar flyttar fram säkerhetsarbetet rejält är genom monitorering som innebär att säkerhetsföretag realtidsövervakar angreppsförsök på datorer och nätverk. Där kommer NIS 2 vara ett bra incitament.
NIS2 är ett EU-direktiv som kommer att införas i höst för att öka cybersäkerhetsnivån i hela unionen och har ett större fokus på riskanalyser och olika säkerhetsåtgärder än tidigare direktiv.
– En viktig del i NIS 2 är att anläggningsägare behöver ha en inventeringslista och ha koll på sina nätverk. Detta är en grundkomponent i monitorering som också är del av NIS 2 för att kunna löpande ha koll på vad som finns i nätverket, förklarar han.
Nicklas Keijser skulle också vilja se ökade insatser från politiker, så att fler energibolag kan satsa rejält på säkerhetsarbetet.
– När vi pratar om totalförsvar måste vi också prata energi. Faller energisektorn så faller alla andra branscher. Därför är säkerheten där central och jag tycker också att satsningar som ska skydda energisektorn mot cyberangrepp bör bekostas av försvarsbudgeten, avslutar Nicklas Keijser.
Ann-Sofie Borglund