Oppsummering medlemsmøte 18. november:

CYBERSECURITY

En dramatisk voksende trussel, og verre vil det bli – eller?

CYBERSECURITY var tema på medlemsmøtet og ble belyst fra ulike innfallsvinkler. Verden er i dramatisk omstilling på mange områder, og dessverre er faktum at de fleste selskaper er dårlig forberedt på tredjeparts cyberrisiko. Tallenes tale forteller at:

  • 77 % av alle cyberangrep er et resultat av menneskelige, ikke tekniske feil

  • 84 % av alle selskaper er dårlig forberedt på tredjeparts cyberrisiko

  • Med quantum computing vil dagens krypteringsstandarder være ubrukelige.

 

På den annen side er det også et faktum at selv om all infrastrukturvirksomhet er utsatt for datakriminialitet, kan det gi muligheter for forretningsutvikling å bygge en solid beskyttelsesmur mot dem med som vil bryte ned og angripe. Nedenfor finner du oppsummering og link til innleggene.

 

VOLUE ble lammet av hackere i sommer – Hva skjedde, hva ble gjort – og hva kan vi lære?

Innleder Brynjar Larssen-Ass, Head of IT, VOLUE.

Hydro ble i januar 2019 rammet av et løsepengevirus-angrep som lammet bedriften og førte til en kostnad på rundt 800 millioner kroner. Nå etterforskes en kriminell gruppe i Ukraina for angrepet. Flere større internasjonale selskaper er blitt rammet det siste året, og sist sommer ble børsnoterte Volue delvis slått ut. Hva var det som skjedde, hvordan kunne dette skje, hva ble gjort – og hvilken lærdom kan trekkes fra dette konkrete cybersecurity-angepet?

I etterkant av løsepengevirus-angrepet i mai 2021 har Volue fire punkter som de ønsker å trekke frem som god praksis for cybersikkerhet:

  • Rammeverk og policy: Gjennom å være ISO-sertifisert får Volue bygd opp et rammeverk og policyer å jobbe ut fra og har planer de kan iverksette ved eventuelle angrep. Planene gjør at alle i selskapet vet hva de skal gjøre og drar i samme retning.

  • Ekstern kompetanse: Volue har inngått en avtale med ATEA som gir dem tilgang på spesialkompetanse og kapasitet til å løse situasjonen under angrepet. I tillegg til ekstra kapasitet i krisesituasjonen har konsulentene erfaring med cyberangrep fra tidligere og vet hvordan man bør håndtere situasjonen. 

  • Logger: Volue trekker også fram viktigheten av å ha gode logger og backuper. Loggene gir informasjon om hva som har skjedd før, under og etter angrepet, men kanskje like viktig er at loggene kan gi innsikt om hva som ikke har skjedd. På den måten kan man ha informasjon om hva angriperen har av informasjon. Gode logger er også viktig for å vite at man er tilbake til normalen.

  • Åpenhet og deling av erfaringer er viktig både under angrepet for at kunder og interessenter skal være oppdatert, men også for erfaringsdeling i ettertid. Deling av erfaringer hjelper til å bygge felles kompetanse i kampen mot angriperne. Et eksempel er KraftCERT, som er et sektor-cyberresponsmiljø for kraftsektoren. Volue delte teknisk informasjon med KraftCERT i etterkant av angrepet og mottok gode råd i retur. Åpenhet kan være utfordrende og man er ofte redd for omdømmetap. Volue erfarte at risikoen for omdømmetap var mindre enn fryktet. Jo mer som deles, jo mindre vil omdømmerisikoen bli.

De som ønsker å lese mer om angrepet på Volue, kan lese rapporten postmortem: https://www.volue.com/news/postmortem.

Link til innlegget fra Volue finner du her.

 

NVEs ansvar for digital sårbarhet og trusler – er vi godt nok forberedt?

Innleder Janne Hagen, spesialrådgiver cybersecurity NORGES VASSDRAGS- OG ENERGIDIREKTORAT

NVE har et nasjonalt ansvar for kraftforsyningen opprettholdes, og at normal forsyning gjenopprettes på en sikker og effektiv måte i og etter ekstraordinære situasjoner. Den raske utviklingen av teknologi og utspekulerte angrep utført av kriminelle og statlige aktører gjør det viktigere enn noensinne å være forberedt på det utenkelige. I dette landskapet er motstandsdyktighet og beredskap viktige verdier.

Har vi nok forståelse for hvordan digitaliseringen påvirker sårbarheten, og at vi står overfor et taktskift innen digital risiko? Hvordan jobber NVE for å styrke IKT-sikkerheten i kraftforsyningen og redusere risikoen for strømbrudd som følge av IKT-hendelser?

 

Det er ingen tvil om at kraftsystemet er en kjempeviktig infrastruktur i det grønne skiftet, og økt digitalisering er nødvendig for å drifte en stadig mer utfordrende fremtid. Samtidig er det for lite søkelys på sikkerhet i digitaliseringen. Trusselbildet blir mer komplisert, og angrepsflaten blir utvidet med ny teknologi. Digitaliseringen må skje på en ansvarlig måte, ikke bare smart. Samtidig vet vi at de fleste angrep skjer mot gammel teknologi. Det er viktig at aktørene i kraftsektoren etterfølger Kraftberedskapsforskriften – etterlever man den, skal man være godt skodd. I tillegg er Nasjonal sikkerhetsmyndighets «Grunnprinsipp for IKT-sikkerhet» en god ressurs. En mulig innstramming av det regulatoriske knyttet sikkerhet er at kraftbransjen blir underlagt sikkerhetsloven, men dette er ikke vedtatt per i dag.

 

Link til innlegget fra NVE finner du her.

 

CYBERSECURITY RESEARCH as an instrument for value creation. Challenges and opportunities for the Norwegian industry

 

Keynote speakers Sokratis Katsikas, professor, and Vasileios Gkioulos, Ph.D, Associate Professor, Norwegian University of Science and Technology (NTNU), Dept. of Information Security and Communication Technology, Critical Infrastructure Security and Resilience group.

 

At NTNU, they investigate the projected readiness of the Norwegian industry towards digitalization and the future of production. Their focus is how cybersecurity can be a driver of value creation in this direction, as well as how it can affect it overall within the ongoing technological developments. This session will get an overview of current activities, mechanisms, and tools at NTNU that the Norwegian industry can utilize, as well as available instruments for collaboration.

På et makronivå scorer Norge høyt på digitalisering og sikkerhet sammenliknet med andre land.

Eksempler på indekser:

 

Norwegian Centre for Cybersecurity in Critical Sectors (NORCICS) er et senter for forskningsbasert innovasjon støttet av Forskningsrådet. Senteret og tilknyttet NTNU Gjøvik og har et formål om å gjøre Norge til det landet som har best sikkerhet på digitaliseringen. De jobber med aktører fra mang bransjer, inkludert energisektoren. Industrien er tungt involvert for at forskningen skal svare på markedets faktiske utfordringer. Et sitat til ettertanke: If you think technology is going to solve your security problems, you don’t understand your problems and you don’t understand technology (Bruce Schneier, Harvard).

Link til innlegget fra NTNU finner du her.

SECURING CRITICAL NATIONAL INFRASTRUCTURES REQUIRES STRONG COLLABORATION

Keynote speaker Trine Strømsnes, Managing Director, Cisco Norway.

 

Digitalization and digital transformation are key to building a sustainable future. The flip side is that over time we will become heavily dependent upon digital tools and the digital infrastructure supporting those. To understand how we best manage and mitigate risk; we need to build closer collaboration across different groups of expertise and between different stakeholders in the energy industries. The power of networks is underestimated – especially human knowledge networks.

Kraftsektoren digitaliseres raskt og selv om Norge er langt fremme blir fokus på digital sikkerhet stadig viktigere. Gjennom digitaliseringen blir vi mer avhengig av hverandre, som betyr at en sterk sikkerhetskultur blir viktig. Ikke bare IT-avdelingene, men alle må tenke sikkerhet. Samarbeid på tvers av lokale, nasjonale og internasjonale aktører, forskning og ulike sektorer er nødvendig for å minimere faren fra angrep. Man må tenke sikkerhet først, ikke i etterkant. Cisco peker på tre punkter for økt digital sikkerhet:

  • Bygge sikkerhetskultur

  • Kompetanse er viktig på alle nivåer

  • Dele informasjon, både i formelle og uformelle samarbeidskonstellasjoner.

 

Link til innlegget fra CISCO  finner du her.

 

 

CYBER SECURITY COMPLIANCE – strict legal requirements and even stricter remedies

 

Keynote speaker Nils Kristian Einstabland, partner Advokatfirmaet Selmer

 

Both statutory requirements and contractual obligations define what companies must do to protect their assets and operations against cyber-attacks. The trend is clear – the requirements are getting stricter and the consequences if you fail to adhere are getting more severe. We present the highlights of the main sources of cyber security compliance obligations and the consequences if you fail.

En observert trend er at antall regler som er knyttet til cybersikkerhet øker og at sanksjonene skjerpes. Selmer peker på tre kategorier av ansvarsområder for enkeltpersoner og virksomheter knyttet til cybersikkerhet:

  • Ledelsens ansvar for å forebygge angrep

  • Kontraktuelt ansvar og risiko

  • Regulatoriske krav.

 

Man ser en økende grad av at cybersikkerhet blir tatt opp i ledelsen, men man tror at mange enda ikke har tatt det innover seg at cyberangrep ikke bare er en hypotetisk risiko. Flere tenker at man skal kunne komme seg unna ansvar ved å definere angrepene som en force majeure, men ifølge Selmer kan det kun skje hvis bedriften møter de høyeste industristandardene for cybersikkerhet. Dersom man ikke følger de kravene som stilles eller opptrer tilstrekkelig uaktsomt kan selskapet, enkelt styremedlemmer eller daglig leder bli holdt erstatningsansvarlig, også for kunders tap grunnet angrepet.

 

Link til innlegget fra Selmer finner du her.

SPECIAL SESSION ON INTERNATIONAL CYBERSECURITY

Keynote speaker Yoshi Shneck, Founder YSICONS, Senior Consultant, Leading the Cyber Entrepreneurship & Business Development, Israeli Electric Corporation, Israel.

 

This session with one of the world´s leading cybersecurity experts will expose participants to cybersecurity from the adversaries and defenders’ angle, including presentation of some tools as well as important insights into cyber management points based on Israel Electric’s vast experience in a very harsh geopolitical environment. This interactive session will conclude with a real cyber-attack scenario simulation, with the participation of the audience, analysis and decision-making.

Israeli Electric Corporation (IEC) er et vertikalt integrert kraftselskap i Israel. De står for 95 prosent av distribusjon og 70 prosent av energiproduksjonen. De er også ett av de selskapene i verden som blir utsett for flest cyberangrep. Hovedbudskapet fra Shneck er at de fleste angrep skjer fordi vi ikke gjør enkle tiltak. Foredraget gikk igjennom de 8 stegene i «The ICS Cyber Kill Chain» for å gi en forståelse hvordan angrep skjer. Videre ble de 6 vanligste uvanlige mistenkte presentert:

  • Cyber-kriminelle – er motivert av penger

  • Cyber-terrorister – ønsker å skape kaos

  • Cyber-hacktivister – ønsker å fremme en politisk agenda

  • Statlige aktører – bruker cyberangrep som en del av krigføring

  • Hackere – drives av utfordringen å infiltrere systemer

  • Interne – drives ofte av (opplevd) urettferdig behandling fra bedriften.

 

Angriperne kommer seg inn i systemene gjennom 14 ulike innganger. Den mest vanlige og suksessfulle av disse er «phishing» (nettfiske), som er å «fiske» etter personlig informasjon som passord eller kredittkortinformasjon. Å bli kjent med og sette opp alarmer for indikatorer på at man er angrepet er et lurt steg for å øke egen sikkerhet. I presentasjonen går Shneck igjennom 13 røde flagg i tillegg til en del tiltak og flere innspill til beste praksis for å forhindre angrep. Et viktig punkt å huske på er at e-post er den enkleste veien inn.

Link til innlegget fra Yoshi Shneck finner du her.