Ikke optimal cybersikkerhet
DNV advarer om uklarhet rundt hvilke regulatoriske sikkerhetskrav som gjelder for markedsplattformaktørene.
DNV har på oppdrag av Reguleringsmyndigheten for energi (RME) i NVE laget en rapport som beskriver potensielle konsekvenskjeder og uønskede effekter av cyberangrep på et utvalg kraftbørser og andre markedsplattformer for kraftutveksling i Norge og Europa.
Analysen av cyberangrep på kraftmarkedsplattformer viser at kraftmarkedssystemet er motstandsdyktig, og at betydelig innsats kreves for at markedsikkerhetsbrudd og forstyrrelser skal utgjøre en betydelig økonomisk eller samfunnsmessig innvirkning, inkludert forstyrrelser og strømbrudd i nettet.
Iboende sikkerhet
Markedssystemet har nemlig noen iboende egenskaper som bidrar til å forhindre uønskede hendelser i markedsplattformer som kan føre til feil i kraftnettet. Feil i dagsmarkedsordren kan rettes opp i intradagsmarkedet, og feil i intradagsmarkedet kan rettes opp i balanseringsmarkedet.
På hvert av disse trinnene er det også kontrollfunksjoner og fallback-prosedyrer på plass. Hvis feilaktige eller manglende balanseringsparametere til slutt truer stabiliteten i nettet, har nettselskapet, som for eksempel Statnett, plikt til å utføre og koordinere nødvendige handlinger blant markedets aktører.
Ikke optimalt
Det er imidlertid sårbarheter i fallback-rutinebarrierene. Markedssystemet og tilhørende barrierer og kontroller er ifølge analysen ikke optimale.
«Studien vår har avslørt at det er en viss uklarhet med hensyn til hvilke regulatoriske sikkerhetskrav som gjelder for markedsplattformaktørene. Videre har noen valideringssjekker begrensninger, og det kan variere i hvilken grad valideringssjekker faktisk følges opp enten av markedsdeltakere eller markedseiere», heter det i rapporten.
Kinect
Et nylig eksempel er valideringssjekker for bud som ikke ble fulgt opp i Kinect-saken sent i november. Studien har også vist at manuelle fallback-rutiner har sårbarheter.
Fallback-rutiner som er basert på bruk av historiske markedsdata kan nemlig svikte hvis cyberangrep blir timet til perioder der kraftsystemet er underlagt uvanlige produksjons- og forbruksmønstre, da historiske data vil bli mindre representative for den nåværende situasjonen. Fiender kan derfor bevisst legge angrep til perioder med ekstremvær, nettreparasjoner osv. Manuelle prosedyrer innebærer også risiko for menneskelige feil. Fremtidig digitalisering og høyere markeds timing krav vil øke sårbarheten, understrekes det.
Forventes å øke
Avanserte cybertrusselaktører kan være i stand til å få fotfeste i markedsplattformssystemer for enten å trekke ut konfidensielle eller kraftsensitive data ubemerket, eller bare for å ligge i dvale innenfor systemet for senere utnyttelse.
Cybertrusler mot markedsplattformer forventes ifølge rapporten å øke. I fremtiden vil markedsplattformene være enda tettere integrert i de sanntidsoperasjonene til kraftsystemet. Dette vil sannsynligvis øke både det økonomiske og samfunnsmessige skadepotensialet for cyberangrep, og dermed trusselen, understrekes det.
For å øke motstandskraften, anbefaler rapporten å utvikle og gjennomføre krise- og beredskapsøvelser med komplekse kombinatoriske cyberangrepsscenarioer der kraftmarkedsplattformaktørene spiller en nøkkelrolle. Målet bør være å øke bevisstheten, og å teste og evaluere den praktiske effektiviteten av barrierer. Kaskadekonsekvensscenariene som er gitt i denne studien kan være en grunnleggende for å utvikle øvelseshåndbøker.
– Viktig å tenke sikkerhet
– Det er viktig at alle aktørene i kraftsystemet tenker sikkerhet i utviklingen av løsninger i kraftmarkedene fremover. Dette er et felles ansvar, sier seksjonssjef i RME, Mari Holen Christensen i en kommentar til analysen på NVEs nettside.
