Kartlegg it-trusler i egen virksomhet
– Når vi snakker med medlemmer om it-sikkerhet, starter vi alltid med å spørre om de har tenkt på hva som skjer om de ikke har tilgang til datasystemene sine, eller it-løsninger de har levert er blitt hacket. Er de forberedt på en slik situasjon? Risikoen for dataangrep er høyst reell for elinstallatørene, sier teknisk direktør Jon-Steinar Sjøvik Hanstad i Nelfo.
Stortinget, Hydro og en rekke departementer er blant flere norske virksomheter som er hacket. Innbruddet hos Hydro skal ha kostet 800 millioner kroner
– I et foredrag fortalte it-ekspert Torgeir Waterhouse i Otte om konsekvensene av dataangrep. Det ga ettertanke.
Må gi læring
Derfor har Nelfo de siste årene prioritert satsingen på it-sikkerhet. Med god støtte fra Waterhouse leder Sjøvik Hanstad dette arbeidet. Nelfo skal hjelpe medlemmene både med å sikre egne it-systemer, og levere it-sikre installasjoner til kundene.
– Hendelser som har truet it-sikkerheten eller skadet virksomheten, må gi læring og ikke skyld og skam. Å oppdage svake ledd, feil og rutinesvikt kan være vanskelig å snakke om i selskapet. Å skjule dette gir ingen læring. Dette er like viktig selv om hendelsen ikke førte til skade. Åpenhet er viktig for å avdekke hva som skjedde, og hvordan store skader kan forebygges, understreker Sjøvik Hanstad.
Sikkerhetsavtaler
– Nelfo-medlemmer har både forsvaret, politiet, utdannings- og forskningsinstitusjoner, sykehus og kommunal virksomhet som kunder. Ved «sikkerhetsgraderte anskaffelser» gjelder sikkerhetsloven. Her må elektroleverandører klareres, og inngå en sikkerhetsavtale.
– Også boliginstallasjoner krever gode rutiner. Her er eksempelvis solcelleanlegg, ladeanlegg for elbiler, styresystemer og smarthusløsninger koblet til nettet. Dette kan åpne for omfattende angrep mot kraftforsyningen. Her må installasjonene være en del av en samlet risikoprofil og sårbarhetsvurdering som gjelder hele samfunnet, der elektrobransjen må bidra.
– Risikovurdering kan lett ta utgangspunkt i informasjonen hver enkelt håndterer. Dette advarer vi mot. Selv om en person ikke behandler virksomhetskritisk eller personsensitiv informasjon, kan han være den som åpner veien inn i datasystemet.
– Alt som er koblet til internett har en risikoprofil. Selv om du ikke vurderer deg selv eller din virksomhet som «interessant», kan din maskin bli en del av et større datainnbrudd.
Dataangrepene tredoblet
I rapporten «Risiko 2023» skriver Nasjonal sikkerhetsmyndighet (NSM) at fra 2019 til 2021 ble antall alvorlige cyberoperasjoner mot norske myndigheter og virksomheter tredoblet. I fjor var nivået det samme som i 2021.
Det vanligste er distribuerte tjenestenektangrep (it-systemene oversvømmes av enorme mengder datatrafikk eller søppelpost), phishing (forsøk på å få offeret til å gi fra seg informasjon for å stjele penger eller identitet) og kartleggingsaktivitet.
Rapporten viser til flere eksempler. Blant annet da Norges offisielle eiendomsregister hos karttjenesten Norkart, som henter data fra Statens kartverk, ble lekket for navn, adresser, fødselsnummer og eierskapsinformasjon til 3,3 millioner nordmenn.
I 2020 var det flere dataangrep mot Stortinget, der e-post, helseopplysninger og bankinformasjon kom på avveie. Det antas at russiske hackere stod bak.
I romjulen 2021 ble Amedia angrepet med et løsepengevirus. Et knapt år etter kom flere hundre tusen e-postadresser på avveie hos Domeneshop. Her måtte alle kunder lage nye passord.
«Direktørsvindel»
Med såkalt «direktørsvindel» kan ansatte få e-post som ser ut som noen i ledelsen ber om penger. Ifølge Datatilsynet kan kanalen for slik svindel være e-post, SMS, fysiske brev, telefonsamtaler og faktura- og betalingssystemer. Om hendelsen har, eller kan ha ført til brudd på personopplysningssikkerheten, er hovedregelen at dette skal meldes til Datatilsynet som et avvik.
Kostet 800 millioner kroner
Det kanskje mest kjente dataangrepet er mot Hydro i 2019, da kriminelle nettverk kom seg inn i selskapet sine datasystemer med et løsepengevirus. Selv om det ikke skal være betalt løsepenger, skrev Aftenposten i 2021 at dette kostet Hydro 800 millioner kroner.
Obligatorisk tofaktorautentisering
– For mange medlemmer oppleves kanskje store dataangrep som fjernt. Det er viktig å ikke gå i fellen med å tenke at de ikke er interessante nok. De samme virkemidlene blir brukt for å hacke både små og store selskaper og privatpersoner, sier Sjøvik Hanstad.
– Det finnes effektive mottiltak, som jevnlig oppdatering av komponenter, opplæring, en kultur som tar sikkerhet på alvor, rutiner for sikkerhetskopiering, testing av systemer, variasjon av passord og jevnlig endring av disse.
– Dessuten er fysisk sikkerhet viktig. Dette gjelder både adgang til fysiske nettverk, enhetene som er koblet opp, og barrierer mot vann- og brannskade.
– Nelfo har også laget veilederen «En introduksjon til IT-sikkerhet for el- og ekominstallatører». Første versjon kom i 2021. Denne er vi i gang med å revidere.