Halvparten bryr seg ikke om cybertrusler i anskaffelser

DNV publiserte i januar sin årlige rapport Energy Cyber Priority 2025, der de har intervjuet 1125 fagpersoner innen cybersikkerhet i infrastrukturselskaper, hvorav 375 i energisektoren, om hvordan de stiller seg til truslene og håndterer disse.

I undersøkelsen svarer bare drøyt halvparten av energifagfolkene, 53 prosent, at spørsmål om cybersikkerhet vanligvis er en del av deres krav i anskaffelsesprosesser. 10 prosent sier de ikke vet, mens 37 prosent vanligvis ikke stiller slike krav.

Utgjør alvorlig risiko

Auke Huistra, som er direktør for industriell og operasjonell cybersikkerhet i DNV Cyber, skriver i en e-post til Energiteknikk at bedrifter er avhengige OT-systemer fra leverandører over hele verden.

OT står for operasjonell teknologi, som en «søster» til IT på den økonomisk/administrative siden.

Disse leverandørene kan være mer sårbare enn bedriftenes egne systemer og har kanskje ikke oppdaget innbrudd fra sofistikerte hackere. Energiselskaper, inkludert nettselskaper, utsetter seg derfor for risiko ved å anskaffe komponenter som inneholder programvare som kan være kompromittert før levering.

– Som et resultat er også anskaffelsesselskapets systemer i fare for brudd når de er koblet til leverandørens systemer. Dette gjør forsyningskjeden til en alvorlig risiko. Ved å inkludere krav til cybersikkerhet kan risikoen reduseres, påpeker Huistra.

Han legger til at nyere forskrifter basert i nettverks- og informasjonssikkerhetsdirektivet NIS2 vil drive endringer i anskaffelser knyttet til cybersikkerhet.

– NIS2 spesifiserer at styring av cybersikkerhetsrisiko bør adressere forsyningskjedesikkerhet, inkludert sikkerhetsrelaterte aspekter mellom organisasjoner som driver kritisk infrastruktur og deres direkte leverandører og tjenesteleverandører, skriver han.

Må doble innsatsen

I rapporten anbefaler DNV at energiselskaper nå må doble innsatsen innen cybersikkerhet. Det må de gjøre for å møte fem hovedutfordringer:

• Sikre deres fysiske infrastruktur
• Overvinne forsyningskjedens cyberkompleksitet
• Øke medarbeidernes årvåkenhet
• Bygge inn ny kompetanse i arbeidsstyrken
• Omfavne kunstig intelligens (KI)

– Mer investeringer er nødvendig, økonomisk og i form av fokus fra energibedrifter, understreker Huistra, men påpeker samtidig at DNV har sterke indikasjoner på at investeringene øker på tvers av alle aspekter av cybersikkerhet.

– Det skal forberede og forhindre hendelser, og oppdage, reagere og komme seg uskadet fra dem. Dette er et godt tegn på at industrien har modnet i sin forståelse og forståelse av cyberrisiko, mener Huistra.

Men han peker på at det likevel er utfordringer i implementeringen knyttet til ferdigheter, bedriftskultur, bransjesamarbeid og potensielle blindsoner som forsyningskjeden.

– Vi tar også hensyn til motstanderen: Det er en utfordring å holde tritt med stadige trusler, advarer DNV-direktøren.

Sikkerhet motsetning til forretning

Huistra trekker fram motsetningen mellom cybersikkerhet og kravet til teknologisk og økonomisk utvikling i selskapet som et skuffende og litt overraskende funn.

– Energiselskapene blir strukket i motsatte retninger, sier han, og påpeker krav som selskapene og deres eiere må forholde seg til. Samtidig som cybersikkerheten skal holdes på et høyt nivå, skal de

• implementere ny teknologi for å opprettholde og øke lønnsomheten, men sikkerheten til denne teknologien er også nå deres største forretningsrisiko
• øke samarbeidet med produsenter og leverandører når de digitaliserer og får tilgang til ekspertkompetanse, men disse produsentene/leverandørene er også en av de viktigste sikkerhetsrisikoene
• stole på folkene sine, men folk kan også gjøre feil hvis de ikke er riktig opplært og klar over cybertrusler rettet mot og påvirker bransjen deres
• bruke avanserte teknologier som KI for å beskytte seg selv, men KI er også en av hovedtruslene når de brukes av motstandere

Leo Simonovich, visepresident og global leder for industri Cyber og digital sikkerhet hos Siemens Energy, sier i rapporten at man ikke kan sikre grønn energiomstilling uten også sikre Brownfield-områder og muliggjøre sikker spredning av nye teknologier.

Innen IT og OT betyr «Brownfield-områder» gamle systemer der utviklingen har stoppet opp.

– Cybertrusler er den største barrieren for å ta i bruk digitale teknologier som skytjenester og KI. I digitalt fornybar infrastruktur, som er koblet direkte til skyen og på tvers av hybridflåtemiljøet, kan et innbrudd spre seg raskere enn på Brownfield-områder, advarer Simonovich.

Spesielt for infrastrukturselskaper

Huistra skriver i e-posten til Energiteknikk at Nettverks- og informasjonssikkerhetsdirektivet (NIS2) fra januar 2023 gjelder spesielt for selskaper som jobber med kritisk infrastruktur.

NIS2 har utvidet ansvaret for etterlevelse av regelverk til ledelse og styre. For organisasjoner som ikke har oppgradert sine cyberevner, er det en vekker, mener han.

– Et annet europeisk eksempel er Cyber Resilience Act (CRA), som vil gjelde fra desember 2027. CRA forbedrer cybersikkerhetsstandarder for produkter som inneholder en digital komponent, og krever at produsenter og forhandlere sikrer cybersikkerhet gjennom hele produktets livssyklus, påpeker Huistra.

Hele rapporten med nøkkeltall og anbefalinger kan lastes ned her.

EDIT 29. januar kl 15:02 Korrigerte feil i rapportens navn