Kriget i Ukraina gör att kraven på cybersäkerhet har skärpts i alla samhällsviktiga verksamheter. CERT-SE på MSB (Myndigheten för samhällsskydd och beredskap) – som bedriver den operativa incidenthanteringen – uppmanade nyligen alla samhällsviktiga organisationer att skärpa uppmärksamheten mot så kallat nätfiske (phishing) och överbelastningsattacker (DDoS).
– Det som är viktigast nu är att arbeta systematiskt med att skydda sina system. Man måste identifiera vilka de viktigaste systemen är och sedan genomföra riskanalyser och åtgärder utifrån det, säger Lars-Göran Emanuelsson, enhetschef på enheten för säkerhet i cyberfysiska system på MSB.
– Det är också viktigt att veta vad man ha för produkter i systemet. Om det kommer nya tjänster eller lösningar måste dessa också kontrolleras och analyseras utifrån ett riskperspektiv.
För att hjälpa organisationer och företag tar CERT-SE fram utbildningar och vägledningar.
–För mindre aktörer har vi ett skyddspaket med nätverksinspelningsserver, brandvägg, larmserver och logginsamlingserver. Det är ett gratisprogram, open source, säger Lars-Göran Emanuelsson.
Successivt ökade krav
Säkerhetskraven på energibranschen har ökat successivt de senaste åren, bland annat genom en ny cybersäkerhetsstrategi från EU där det så kallade NIS-direktivet är på gång att uppdateras till 2.0. Till exempel ska alla energiföretag ha kontinuitetsplaner som bland annat innehåller reservplaner, återställningsrutiner och checklistor med mera.
På Jönköping Energi ser man över alla centrala reservplaner och är väl förberedd.
– Alla är på tå nu här. Vi har kollat igenom våra skydd och brandväggar och dammat av kontinuitetsplanerna. Det viktiga är att kunna klara ett it-angrepp och fungera ändå – att ha beredskap för det. Vi kan gå över till manuell drift, säger Anders Åhlgren, CISO (Chief Information Security Officer) på Jönköping Energi och som också deltar i EU:s arbete med gemensam cybersäkerhet.
– Får vi ett intrång måste vi isolera de kritiska systemen och snabbt upprätta ett kristeam som kan åtgärda problemen och återställa verksamheten igen.
Den stora faran är när det kommer in skadlig kod (exempelvis ransomware) i systemen som inte upptäcks:
– Skräcken är om en angripare kommer in och kartlägger verksamheten innan de slår till. De kan ju vara inne ett halvår och undersöka våra system. Då kan det ju komma in skadlig kod även i våra backup-filer. Man får inte bli för självsäker. En noga förberedd och riktad cyberattack är svår att stå emot, säger Anders Åhlgren.
Viktigt att medarbetarna är medvetna
En viktig faktor för att förebygga attacker är att medarbetarna är medvetna om riskerna. För ett par år sedan gjorde Jönköping Energi en fejkad nätfiskekampanj där en kommunal aktör lockade med billiga resor. På en halvtimme hade 35 medarbetare på företaget skrivit in sina användarnamn. I vintras gjorde man ett liknande test – och ingen gick in i fällan denna gång.
– Vi har utbildat personalen genom nano-learning. Det handlar om korta avsnitt via mail – kanske tre minuters genomgång i olika ämnen som kommer med jämna mellanrum. Det har varit väldigt lyckat, säger Anders Åhlgren som betonar vikten av att ha ledningen med sig när det gäller cybersäkerhet.
–Det här är en fråga som måste upp på agendan. Det är ledningen som ska sätta målen, tillsätta resurser och ställa krav. Och i vårt företag har jag min vd:s fulla stöd, konstaterar Anders Åhlgren.
Företagets vd Fridolf Eskilsson, som också är ordförande i Energiföretagen, menar att fokuset på cybersäkerhet kan ge nytta på många sätt:
– Självklart finns det delar i detta som kan kännas tungt och inte bara resurskrävande utan också kompetensmässigt utanför komfortzonen, men vi försöker se det som en del av vår utvecklingsresa. Det gynnar vår affärsutveckling att strukturera information och teknik. Vi ökar vår tillgänglighet och hittar luckor där vi varit sårbara så vi får definitivt nytta av jobbet, säger Fridolf Eskilsson.
Löpande avstämningar på Energiföretagen
På Energiföretagens kansli har man satt upp ett team som har korta avstämningar flera gånger i veckan med anledning av det uppkomna krigsläget.
– Det handlar mycket om försörjningstrygghet och leveranskedjor. Men cybersäkerheten ingår också bland de frågor vi tar upp. Vi har också löpande avstämningar med Energimyndigheten och Svenska kraftnät om läget, säger Emma Johansson, ansvarig för säkerhetsfrågor på Energiföretagen.
– Man kan se tecken på en ökad aktivitet i cyberrymden men än så länge har det inte påverkat leveranssäkerheten. Vi uppmanar våra medlemmar att ta del av myndigheternas säkerhetsråd, till exempel från CERT-SE. Och vi kan se att en del medlemsföretag har gått upp i stabsläge.
Vilka är de viktigaste råden?
– Extra viktigt nu är att kolla behörigheter, närvaro och tillgång till fysiska anläggningar. Och sedan gäller det att kontinuitetsplaneringen är på plats, och där ingår också eventuell krigsplacering av personal. Här kan verksamheter begära undantag. Vi måste se till att energiförsörjningen fungerar – det gäller både i fredstid och krigstid, säger Emma Johansson.
7 punkter för ökad cybersäkerhet
Genomför en Business Impact Analysis – kontrollera affärsrisker med olika scenarier. Genomför en riskanalys – vilka hot och sårbarheter finns i företaget? Uppfyll informationssäkerhetskrav – dokumentation, klassning och spårbarhet, roller och ansvar.Vidta säkerhets- och skyddsåtgärder – skydda nätverk och system, och utbilda personalen.Förebygg incidenter – genom härdning av utrustning och övningar.Monitorera hot och dela information – rapportera incidenter.Ha bra ordning på kritiska resurser och tillgångar.
Källa: Anders Åhlgren, CISO på Jönköping Energi
Johan Wickström
