Riksrevisjonen kritisk til NVE: Ikke godt nok forberedt på dataangrep
Riksrevisjonen er kritisk til NVEs oppfølging av beredskapen mot dataangrep i strømforsyningen. Eventuelle angrep kan få alvorlige følger.
Denne artikkelen er over ett år gammelDet kommer frem i en rapport fra Riksrevisjonen tirsdag.
Kraftselskapene selv har ansvaret for at datasikkerheten er i tråd med regelverket, påpeker Riksrevisjonen.
De mener at Norges vassdrags- og energidirektorat (NVE) ikke har fulgt godt nok opp at kraftselskapene tar grep for å sikre beredskapen.
NVE mener på sin side at sikkerhetsnivået er høyt, og at bransjen har tatt grep for å øke beredskapen mot dataangrep.
Riksrevisjonens rapport konkluderer med at:
- NVE ikke i tilstrekkelig grad har påsett at det er god beredskap for å håndtere dataangrep i kraftforsyningen
- Olje- og energidepartementet ikke sikrer seg god nok styringsinformasjon om datasikkerhetstilstanden i kraftforsyningen og resultatene av NVEs arbeid med datasikkerhet
– Det er alvorlig når vi vet at risikoen for dataangrep i strømforsyningen øker. Hvis vi ikke tar dette på alvor nå, kan det komme et angrep som vil få fatale konsekvenser, sier riksrevisor Per-Kristian Foss i en uttalelse.
– Avdekket svakheter
Det finnes hundrevis av små og store kraftverk over hele Norge, inkludert både vind- og vannkraftverk. Disse fordeles gjennom mange tusen kilometer med kraftlinjer som drives av Statnett og regionale og lokale nettselskaper.
«Undersøkelsen viser at det har vært avdekket svakheter i flere av selskapenes arbeid med IKT-sikkerhet, og at det er en økende risiko for at IKT-angrep kan ramme kraftforsyningen», skriver Riksrevisjonen.
«Riksrevisjonen mener det er kritikkverdig at NVE samlet sett har svak styring og oppfølging av arbeidet med IKT-sikkerhet i kraftforsyningen, noe som har ført til svakheter i gjennomføringen av sentrale oppgaver som tilsyn, veiledning og arbeidet med overvåking, varsling og beredskap ved IKT-hendelser», skriver Riksrevisjonen.
– Her har det sviktet
Riksrevisjonen peker på at det kan få katastrofale følger for samfunnet hvis strømmen forsvinner over tid. Et dataangrep er noe av det som kan ramme kraftproduksjonen og elnettet, ifølge Riksrevisjonens rapport.
Men NVE har gjennomført få tilsyn av datasikkerheten, og har også øvd lite på å håndtere dataangrep, påpeker riksrevisoren.
– NVE har verken satt av nok ressurser eller sørget for å ha verktøyene som skal til for å styre og følge opp. Her har det sviktet i prioriteringene, sier Foss.
– Det er urovekkende at dette ikke prioriteres. Dette kan føre til at NVE er dårlig forberedt hvis et alvorlig angrep rammer kraftforsyningen, sier Foss.
NVE har imidlertid styrket kravene til datasikkerhet og systemet for å dele informasjon etter 2019, påpeker Riksrevisjonen.
Riksrevisjonen hevder imidlertid at mange selskaper fortsatt mangler kompetanse innen datasikkerhet. Foss understreker at NVE må følge opp med god veiledning.
– Har gjort et omfattende arbeid
NVE skriver i en melding at de vil følge opp anbefalingene fra Riksrevisjonen. Direktoratet mener at sikkerhetsnivået i den norske kraftforsyningen er høyt, også når det gjelder digital risiko.
– Sammen med bransjen har vi gjort et omfattende arbeid slik at det i dag er mange barrierer og sikringstiltak som skal redusere risikoen for dataangrep som kan påvirke kraftforsyningen, sier Ingunn Åsgard Bendiksen, direktør for Tilsyn- og beredskapsavdelingen i NVE.
For å sikre god håndtering av hendelser har NVE knyttet til seg kompetansemiljøet KraftCERT som bidrar med varsling, informasjonsdeling og analyse ved hendelser.
– Så langt har det ikke forekommet dataangrep som har lyktes med å manipulere systemene slik at det har hatt konsekvenser for strømforsyningen i Norge, sier Bendiksen.
– Vi er fornøyde med at Riksrevisjonen trekker frem at det på flere punkter gjøres et godt arbeid med datasikkerhet i kraftforsyningen, og så vil vi følge opp forslagene til forbedringstiltak, sier hun.
Fem tilsyn i året
De viktigste kraftprodusentene, nettselskapene og fjernvarmeselskapene er med i Kraftforsyningens beredskapsorganisasjon (KBO). Det er rundt 170 aktører med i denne organisasjonen, ifølge Riksrevisjonen.
«NVE har de siste seks årene gjennomført om lag fem IKT-sikkerhetstilsyn hvert år», skriver Riksrevisjonen.
«I perioden 2017–2019 førte NVE IKT-sikkerhetstilsyn med om lag halvparten av selskapene som har de viktigste driftskontrollsystemene, det vil si systemene som brukes til å styre og overvåke strømforsyningen. NVE har i liten grad gjennomført tilsyn med de øvrige selskapene i kraftforsyningen», skriver Riksrevisjonen.
NVE har ifølge rapporten også utsatt flere planlagte tilsyn på grunn av manglende kapasitet.
