När Energiforsk startade nätverket för cybersäkerhet i början av 2020 var det många som undrade om det verkligen behövdes ännu en plattform för dessa frågor.
– Svaret är helt enkelt att det finns ett stort behov bland små och medelstora företag att få utbyta erfarenheter inom cybersäkerhetsområdet, allt ifrån attacker till goda processer, säger Mathias Ekstedt, professor i industriella informations- och styrsystem på KTH, som driver Energiforsks nätverk för cybersäkerhet.
– De lösningar och prioriteringar som är aktuella på till exempel Vattenfall är kanske inte så relevanta för bolag med en liten verksamhet.
Nätverket bygger på förtroende mellan deltagarna. Det som berättas inom nätverket stannar där.
– Målet är att alla ska känna att vi öppet ska kunna diskutera saker. Vi har kommit överens om ett arbetssätt som funkar, där vi kör trafikljusprincipen. Rött förs aldrig vidare, gult kan i delar föras vidare och grönt är ok att berätta om utanför nätverket.
Cybernätverket är extra viktigt för de små bolagen tror Mathias Ekstedt. Här finns möjligheten att utbyta erfarenheter med någon som sitter på samma position inom ett annat energibolag av ungefär samma storlek. Man kan då exempelvis berätta om attacker och diskutera utförda åtgärder och vilka följder attackerna fick.
– De mindre energibolagen har kanske en person som jobbar deltid med cybersäkerhet och andra medarbetare är kanske inte alltid så insatta i frågorna. Därför är det här nätverket så viktigt för våra medlemmar, säger Mathias Ekstedt.
I nätverket kan jag bolla tankar och idéer"
På Sollentuna Energi och Miljö har Pelle Nilsson huvudansvaret för säkerheten. Det finns andra på företaget som tangerar frågor kring säkerhet inom sina respektive områden, men i det stora hela är Pelle Nilsson den enda som arbetar med säkerhet på företaget. Cybernätverket är till stor nytta för Sollentuna Energi och Miljö, menar han:
– Här kan jag bolla tankar och idéer och jag får också konkret information om säkerhetsincidenter på andra företag. Vi hade en incident hos en leverantörs komponenter inom energibranschen som kunde ha lett till problem bland företagen i nätverket. Men tack vare ett snabbt agerande från leverantören och ett nära samarbete bland oss i nätverket så fick vi inga problem till följd av attacken, säger Pelle Nilsson.
– Jag är också relativt ny energibranschen och deltagarna i nätverket har gett mig viktiga tips och en bra kontaktyta.
Calle Nilsson är it-säkerhetsspecialist på Göteborg Energi och jobbar strategiskt med informationssäkerhet. Han har positiva erfarenheter av nätverket och menar att det som diskuterats där bidrar till Göteborg Energis säkerhetsarbete:
– Ett tydligt tecken på att vi har nytta av nätverket är att vi har tagit fram en treårig säkerhetsstrategi som beskriver hur vi ska öka både våra strategiska och operativa förmågor. I nätverket har vi möjlighet att bakom stängda dörrar både bolla och ventilera gemensamma problemställningar och lösningar med andra företag inom samma bransch, säger Calle Nilsson.
– En stor utmaning med cybersäkerhet är just att man ofta inte kan eller får vara öppen med denna typ av frågor då det kan inverka negativt på det man vill uppnå i form av bättre säkerhet.
Cybersäkerhet finns nu oftare på dagordningen hos alla energibolag, tror Mathias Ekstedt, men trots allt fler attacker kan det vara svårt att få gehör för ett omfattande säkerhetsarbete, menar han:
– Det har varit svårt att förankra säkerhetsfrågan i företagsledningen säger många energibolag som jag varit i kontakt med. Det har blivit bättre, men ledningsgrupper tycker ibland att säkerhetsarbete är dyrt och ifrågasätter hur mycket som verkligen behövs.
Inom nätverket för cybersäkerhet kommer frågor ofta upp kring kostnader och nivå av säkerhet. Hur mycket pengar måste företaget lägga ner för att nå en rimlig nivå av säkerhet och vad är en rimlig nivå av säkerhet?
– Alla bolag behöver göra en övergripande riskanalys. En ISO 27000-certifiering kan genomföras för att få koll på säkerheten, men är det meningsfullt och försvarbart att lägga så mycket tid på en sån certifiering i ett litet företag? Det är en stor utmaning att hitta rätt ambitionsnivå för en mindre organisation. Här hoppas jag att vi inom nätverket kan komma fram till vad en rimlig nivå bör ligga.
Hoten är ungefär lika för ett stort och ett litet energibolag, skillnaden ligger i vilka möjligheter man har att ta hand om ett angrepp"
Mer än 80 procent av svenska företag har blivit utsatta för någon form av cyberangrepp. Om man blir angripen av främmande makt är det väldigt svårt att stå emot, berättar Mathias Ekstedt:
– Hoten är ungefär lika för ett stort och ett litet energibolag, skillnaden ligger i vilka möjligheter man har att ta hand om ett angrepp. Många energibolag har stor beredskap när det gäller olika typer av driftstopp, men inte lika många har en lika omfattande beredskap för cyberangrepp.
Det behövs en utökad kompetens för att göra riskanalyser. När man väl blir angripen, vilken typ av angrepp handlar det om? Hur länge kan vi stå emot? När det väl händer måste det finnas en plan för vilka åtgärder som ska sättas in och när.
Inom nätverket ligger därför ett stort fokus på att diskutera och lyfta fram nya arbetsmetoder för säker utveckling och förvaltning, risk- och säkerhetsanalys och organisatoriska lösningar. Lagar och förordningar diskuteras också, till exempel hur de ska tolkas och vilka praktiska konsekvenser de kan få. Deltagarna delar också erfarenheter från tester av olika tekniska säkerhetslösningar.
– Jag tror att Energiforsks nätverk kan göra en stor skillnad för de som sitter med ett stort ansvar för säkerheten på ett litet energibolag, med få personer inom företaget i övrigt att bolla med, säger Mathias Ekstedt.
En del företag vill inte heller berätta att de blivit utsatta för ett angrepp. Det finns en uppfattning om att det kan skada varumärket, men de flesta företag blir någon gång utsatta för ett cyberangrepp och det finns all anledning att berätta om erfarenheter och åtgärder för att vi ska lära oss mer om hur angreppen kan bemötas, enligt Mathias Ekstedt:
– I det här nätverket sker diskussionerna bakom lyckta dörrar och chansen är därför stor att deltagarna vågar föra upp viktiga frågor på bordet. Energiföretag är speciellt sårbara eftersom viktiga samhällsfunktioner kan påverkas och vi behöver därför gå samman för att få en god beredskap.
Energiforsks nätverkStartade i januari 2020 och har 13 medlemmar: Öresundskraft, Skellefteå Kraft, Halmstad Energi och Miljö, Jämtkraft, Umeå Energi, Göteborg Energi, Borås Energi, Sollentuna Energi och Miljö, Övik Energi, Sandviken Energi och Norrenergi.
Diskuterar erfarenheter, incidenter, leverantörer/produkter, best practice-lösningar och lagar/direktiv.
Läs mer: energiforsk.se
Marie Kofod-Hansen
