Sårbare It-systemer

Forside

Elmagasinet.no,mobil-logo i toppen
Søk Personvern og informasjonskapsler Ansvarlig redaktør

Sårbare It-systemer

– Maskinvarefeil på serveren til en varmeovnprodusent førte til at folk våknet opp til en unormal lav temperatur. Over tid kan dette føre til at syke mennesker kan dø. Hvem er ansvarlig for slike hendelser? Kanskje de som har installert varmeovnen og levert oppvarmingstjenesten, spør teknisk direktør Jon Steinar Hanstad i Nelfo.

Bilde av veilederen om It-sikkerhet

Sammen med it-rådgivningsselskapet Otte har Nelfo laget en veileder om it-sikkerhet. Dette er et godt utgangspunkt for hvordan Nelfo-bedriftene skal forholde seg til problemstillingene på dette området

– Neste gang varmeovnprodusenten får problemer kan kanskje skytjenesten forsvinne på grunn av hacking. At smarte produkter og løsninger ikke fungerer når serveren eller nettilkoplingen faller ut, kan få alvorlige konsekvenser. Mer enn noen gang er samfunnet avhengig av sikre nettforbindelser, produkter og løsninger.

– Selv om jeg ikke kjenner til noen medlemsbedrifter som har vært direkte involvert i hackingsaker, tror jeg det kun er et tidsspørsmål. Om de kan bli stilt økonomisk ansvarlig i slike saker er også uklart. Her er det mye upløyd mark. Derfor har vi i samarbeid med Torgeir Waterhouse, partner i it-rådgivningsselskapet Otte, utarbeidet et oppslagsverk som skal veilede Nelfo-bedriftene på dette området. Vi har også laget et webinar, som frem til sommeren skal gjennomføres fire ganger.

Skreddersøm

Hanstad forteller at han etter å ha deltatt på et seminar, der it-sikkerhet ble tatt opp, undersøkte om det fantes veiledere rettet mot elinstallatører.

– Det var det lite av. Veilederen vår er skreddersydd for el- og ekominstallatører, systemintegratorer, heismontører og rådgivere. Den beskriver aktuelle problemstillinger, som blant annet teknologi, bruk, nettverk, bransjepraksis, systemer og roller med ansvar for data, it- og informasjonssikkerhet, protokoller, lovverk, standarder, personvern, prosjektgjennomføring, installasjon, testing, dokumentasjon og overlevering. 

”Hull” som må ”tettes”

 – Selv trådløse lyspærer er hacket. Det meste blir koblet på nettet, som smarthus- og velferdsløsninger og store automatiseringsanlegg. Wifi, LoRaWAN, Z-Wave, Zigbee, Sigfox, LTE, 5G, NFC, Bluetooth, 833 Mhz, Ethernet og Power over ethernet er eksempler på løsninger som blir brukt. Med åpne protokoller og kombinasjoner av disse er det viktig å ha oversikt over hvordan de fungerer. Integrasjon av disse kan skape ”smutthull” som må ”tettes”. 

– Kompetansen og bevisstheten rundt dette varierer nok fra selskap til selskap. En god start kan være å gjennomgå rutinene i egen virksomhet. Eksempelvis med å tenke gjennom hvilke passord som blir brukt, hvem som har tilgang til systemene, ta backup og sørge for fysisk sikring med å låse datarommet. Det er også svært viktig at all tilgang til selskapet sine systemer er sperret når ansatte slutter.

– Nelfo er opptatt av it-sikkerheten i løsningene de tilbyr medlemmene. Dette gjelder eksempelvis Nelfosky, der de kan legge inn programmer som Febdok, Eldata og den digitale utgaven av NEK 400. Her er det totrinnsverifisering på innloggingen.

Kan føre til konkurs

 – I følge en IMB-studie koster it-innbrudd i Skandinavia i snitt drøyt 23 millioner kroner. Dette kan bli dyrt for elinstallatører som ikke har sørget for god nok it-sikkerhet. Må de betale for stopp i produksjonen, og få datasystemene på plass igjen hos kundene, kan elinstallatørene i verste fall gå konkurs. Er det snakk om store produksjonsanlegg, kan det fort bli mange hundre millioner kroner. 

– De siste årene er både Stortinget, Hurtigruten og andre store norske selskaper hacket. Stadig mer digitalisering med integrasjon mellom el og ekom vil øke denne kriminelle virksomheten, som dessuten blir mer avansert. Dette er også noe Politiets Sikkerhetstjeneste nylig fremhevet i sin årlige sikkerhetsvurdering.

Milliardbøter på GDPR

 – Elinstallatørene må dessuten ha oversikt over regelverket for hvordan personopplysninger skal samles inn, oppbevares og brukes. Dette er strengt. Siden innføringen av EU sin personvernforordning i mai 2018 har europeiske tilsynsmyndigheter gitt bøter for 272,5 millioner euro for brudd på regelverket. Dette viser advokatfirmaet DLA Piper sin årlige GDPR-rapport. I Norge har Datatilsynet gitt bøter for rundt 8,5 millioner kroner.

Skriftlige avtaler

Hanstad fremhever at når et it-system skal installeres er dialogen med kunden og leverandørene svært viktig. 

– Blant annet for å avklare hva it-løsningen skal gjøre, om den skal integreres i eksisterende løsninger og hvordan den skal sikres mot hacking. Dette må gjøres skriftlig, slik at ansvarsforholdet er tydelig avklart. 

Les mer om følgende emner: