I løbet af december vil el- og naturgasselskaber rundt omkring i Danmark modtage et svar fra Energinet, som de givetvis har ventet med spænding. Her får selskaberne nemlig respons på de risiko- og sårbarhedsvurderinger, som de skulle aflevere 1. oktober som del af Bekendtgørelse 515 om it-sikkerhed i el- og naturgassektoren.

Energinet kan af sikkerhedshensyn ikke give en overordnet vurdering af branchens risiko- og sårbarhedsvurderinger, da de informationer vil kunne bruges af it-kriminelle.

- Vi udtaler os ikke om det overordnede risikobillede, men kan sige, at generelt har selskaberne gjort et stort og seriøst arbejde med at afdække de mulige risici, og dette er et godt og nødvendigt grundlag for arbejdet med at højne sikkerheden i sektoren, siger Malene Hein Nybroe, Afdelingsleder, Beredskab, Energinet.

Energinet kan derfor heller ikke svare på, om nogle af selskaberne skal frygte kedeligt nyt inden for den næste måned. Det er nemlig en del af bekendtgørelsen, at hvis vurderingerne ikke er tilfredsstillende, skal forsyningsvirksomhederne genforhandle aftalerne eller finde en ny leverandør.

Næste skridt
Arbejdet med at højne it-sikkerheden i branchen er dog ikke forbi, når Energinet har givet svar på risikovurderingerne.

Energistyrelsen fører tilsyn med Energinets arbejde. De oplyser, at Energinet og selskaberne derefter skal lave it-beredskabsplaner og sætte gang i tiltag, der begrænser sandsynligheden for at risici, som man har fundet i arbejdet, leder til uheld, angreb eller andet negativt. Samtidig skal tiltagene også begrænse konsekvenserne af de risici, man ikke kan forhindre.

Sidenhen skal it-beredskabsplanerne styrkes og tilpasses på baggrund af jævnlige øvelser og vidensdeling om nye trusler på tværs af sektorerne.

Sikkerhedsleverandør: Isolering skaber sikkerhed
Hvilke sikkerhedstiltag, Energinet og selskaberne kommer til at sætte i gang, er selvsagt også omfattet af tavshedspligt af sikkerhedsårsager.

Hos tele- og sikkerhedsvirksomheden Net1, der har erfaring med at levere sikre netværksløsninger til svenske forsyningsvirksomheder og en række danske aktører, peger man på én metode som den mest sikre. 

- Vi ser, at det centrale for mange forsyningsvirksomheder er at isolere de mest vitale og sårbare systemer, så potentielle hackere ikke kan tilgå dem via internettet. De ansatte kan stadig tilgå internettet på andre måder, men man slipper for mareridtsscenariet om at kunne se en hacker skrue op og ned for strømmen, som vi har set i angreb i andre lande, fortæller direktør René Kappelgård.

I 2015 blev det ukrainske elnet udsat for et cyberangreb, hvor hackere lukkede strømmen for 230.000 mennesker, og fjernede muligheden for backup-strøm. NRGi blev også ramt af cyberangreb i 2015, dog uden at strømmen gik.

Samarbejde er oplagt
Bekendtgørelsen, der er baggrunden for hele arbejdet, blev udstedt sidste år af Energi-, Forsynings og Klimaministeriet, fordi man blev opmærksom på de store mulige konsekvenser ved it-angreb af sektoren.

De nye regler trådte i kraft 1. juli og indebar blandt andet, at forsyningsvirksomheder skulle indgå i et samarbejde med et eksternt sikkerhedsfirma. Det har betydet stor aktivitet blandt sikkerheds- og forsyningsfirmaer, der har skullet leve op til de nye regler.

 - Det er godt, at private leverandører kommer i spil, for vi har et opdateret billede af trusler. Samtidig får Energinet overblik over virksomhedernes IT-sikkerhed. Begge dele kan lede til bedre retningslinjer og best practices til gavn for alle i branchen, siger direktør René Kappelgaard.