Gjennom intervjuer med representanter fra seks ulike virksomheter i bransjen (to bransjeorganisasjoner, to nettselskap og to energikonsern) har forskerne kommet fram til syv suksesskriterier for å lage gode metoder for risikovurdering i kraftsektoren.
Økende bevissthet rundt cybersikkerhet
– Intervjuene forteller oss at dagens praksis er varierende når det gjelder risikovurderinger knyttet til cybersikkerhet. Det gjøres mye risikoanalyser, men bransjen er flinkest på tradisjonelle trusler. Cyber- og informasjonssikkerhet er nyere, noe som medfører at disse ikke er like etablert i kraftbransjen, sier Gencer Erdogan, seniorforsker i SINTEF og CINELDI - et forskningssenter for miljøvennlig energi.
Han påpeker at det samtidig er en økende bevissthet rundt cybersikkerhet – noen beskriver det som at fagfeltet fosser frem, med kraftig utvikling og modning.
– Likevel er ikke informasjonssikkerhet like integrert i arbeidet som det burde være. Praksisen er varierende, selv blant de relativt store virksomhetene vi har snakket med.
Et komplekst system digitaliseres
Kraftsystemet er i utgangspunktet komplekst, og digitaliseringen av kraftsystemet bringer med seg nye typer risiko, først og fremst knyttet til cybersikkerhet. Samtidig påvirker digitaliseringen hvordan vi planlegger og drifter kraftsystemet. Dermed endres også risiko knyttet til utfall som i utgangspunktet ikke har noe med cybersikkerhet å gjøre.
– Det er ikke lenger mulig å kun se på den tradisjonelle kraft-biten og tro at vi forstår risikoen i systemet. Vi kan heller ikke undersøke IKT-biten alene for å forstå konsekvensen av en IKT-feil eller andre relaterte hendelser, sier Erdogan.
I denne studien har forskerne sett på hvilken rolle risikovurdering og risikostyring har i strømbransjen og hvor rustet denne bransjen er til å vurdere cyber-risiko knyttet til beslutninger framover. De har også sett på hva som er behovene når det gjelder metodikk for risikovurdering.
Slik bør en metode for risikoanalyse være
Basert på intervjuene identifiserte forskerne syv suksesskriteriene for risikoanalysemetoder:
- Lett å forstå og anvende selv om man ikke er ekspert på risikoanalyse
- Støtte for å vite om metoden er en god match for en gitt kontekst
- Støtte for forberedelser, inkludert felles forståelse for konsepter
- Evne til å håndtere kompleksitet
- Støtte for å estimere risiko
- Støtte for å øke tillit til resultatene
- Støtte risikostyring gjennom dokumentasjon, vedlikehold og tiltak
Les mer utfyllende om hvert av de syv punktene på SINTEFs blogg: https://blogg.sintef.no/sintefenergy-nb/smartgrids/syv-suksesskriterier-for-risikovurdering/
Suksesskriteriene er basert på denne nylige publikasjonen:
Gencer Erdogan, Inger Anne Tøndel, Shukun Tokas, Michele Garau, Martin Gilje Jaatun. Needs and Challenges Concerning Cyber-Risk Assessment in the Cyber-Physical Smart Grid. In Proceedings of the 17th International Conference on Software Technologies (ICSOFT 2022), pages 21-32, SCITEPRESS, 2022.
|