”Energibranschen storsatsar på cybersäkerhet”

Publicerat av: Kalle Lindholm ·

Att Sverige och dess infrastruktur är intressant för främmande makt är säkert ingen överraskning vid det här laget, men hur man skyddar sig när hoten ständigt förändras, det är inte lika uppenbart. Detta och annat säkerhetsrelaterat avhandlades när Nätverket för digitaliserad utveckling, EDU, hade en nätverksträff i Göteborg 8–9 maj.

Detta är en sanning som alla energiföretag med tillgångar i infrastruktur och data måste förhålla sig till. Alla företag i energibranschen hanterar dessutom styrsystem, stora mängder data och inte minst kunskap om kundernas energianvändning som är skyddsvärt.

Övervakning och regler

Myndigheterna som ska stötta och övervaka samhällets olika aktörer är ganska många. Datainspektionen har tillsyn över GDPR där stora skadestånd kan vänta om man inte har följt regelverket. Energimyndigheten vakar över delar av NIS-direktivets tillämpning (el, drivmedel och bränslen) medan MSB har andra delar (incidentrapportering, vägledningar och övningar).

Nya säkerhetsskyddslagen har också inneburit att det tillkommit föreskrifter som SÄPO ansvarar för. Och för just energibranschen har sedan länge Svenska kraftnät en roll för inte minst frågor kopplade till säkerhet och beredskap. Därtill kommer länsstyrelserna som till exempel har en roll kring dammsäkerhet. Och då har vi inte ännu nämnt e-privacy och PSI-direktivet.

– Att hänga med i allt som man ska följa, till vilken instans man ska rapportera incidenter är en utmaning för medlemsföretagen, säger Anders Fredriksson, som ansvarar för digitalisering och cybersäkerhet hos Energiföretagen. Vi erbjuder också utbildningar, skräddarsydda för energiföretag, till exempel kopplat till upphandling och nya säkerhetsskyddslagen.

Energiföretagens roll som branschförening är bland annat att försöka guida och vissa fall ta fram vägledningar i samverkan med Svenska kraftnät för att klargöra vad man ska göra praktiskt. Det finns också ett antal standarder som är intressanta och som kan förenkla arbetet, inte minst kring IT- och cybersäkerhet. Dessa heter ISO 27001, ISO 27002, ISO 27003, ISO 27005 och ISO 27032.

Flera har drabbats

– Informationssäkerhet är alltigenom dominerande för energibranschen, säger Peter Wikman som i över 20 år arbetat med dessa frågor på Norrenergi och som också ingår i Energiföretagens informationssäkerhetsnätverk – EBITS.

Det finns ett antal kända fall där just brister i cybersäkerhet inneburit stora kostnader för de drabbade företagen. Inte bara pengar utan också förtroende hos kunder och omvärld. Norsk Hydro, Vårdguiden och Maersk är kända exempel.

– Cybersäkerhet är inte bara en reaktiv åtgärd, utan rätt åtgärd i rätt tid ger ett försprång i en disruptiv värld, avslutar Peter Wikman.

Peter Wikman var en av talarna på Nätverket för digitaliserad utveckling, EDU, som arrangerade en nätverksträff i Göteborg 8–9 maj på Svenska Mässan, samtidigt som Elfack och Switch pågick.