Dokument 3:7 (2020–2021) / Offentliggjort Undersøkelse av NVEs arbeid med IKT-sikkerhet i kraftforsyningen
Et dataangrep i kraftforsyningen kan få katastrofale følger for samfunnet. Vår undersøkelse viser at Norges vassdrags- og energidirektorat (NVE) ikke har fulgt opp at beredskapen mot slike angrep er god nok.
- (PDF, 2,59 MB) Last ned hele rapporten
Kort fortalt
- Kraftforsyningen er en sentral del av Norges kritiske infrastruktur.
- NVE skal påse at beredskapen i kraftforsyningen er god og i tråd med gjeldende krav.
- Et viktig beredskapsområde er kraftforsyningens IKT-systemer.
- Kraftselskapene har selv ansvaret for at datasikkerheten er i tråd med regelverket.
- NVE skal påse at kraftselskapene gjør det de skal for å sikre beredskapen. Riksrevisjonen har undersøkt hvordan NVE følger opp dette ansvaret.
Kritikknivå:
Alvorlig
- Det er samlet sett alvorlig at NVE ikke i tilstrekkelig grad har påsett at kraftselskapene har god beredskap for å håndtere IKT-angrep mot kraftforsyningen.
Kritikknivå:
Sterkt kritikkverdig
- Svakhetene ved NVEs tilsyn med IKT-sikkerheten er samlet sett sterkt kritikkverdige.
Kritikknivå:
Kritikkverdig
- Det er kritikkverdig at NVE samlet sett har svak styring og oppfølging av arbeidet med IKT-sikkerhet i kraftforsyningen. Det har ført til svakheter i gjennomføringen av sentrale oppgaver som tilsyn, veiledning og arbeidet med overvåking, varsling og beredskap ved IKT-hendelser.
- Det er kritikkverdig at NVEs grunnlag for å vurdere statusen og utviklingen i IKT-sikkerhetstilstanden i kraftforsyningen samlet sett er mangelfullt.
- Det er kritikkverdig at beredskapsorganisasjonen i NVE ikke har fått trent nok på å håndtere IKT-angrep mot kraftforsyningen.
- Det er kritikkverdig at Olje- og energidepartementet ikke har etterspurt og sikret seg god nok styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen og om IKT-sikkerhetstilstanden.
Etter vår samlede vurdering er det alvorlig at NVE ikke i tilstrekkelig grad har påsett at det er god beredskap for å håndtere IKT-angrep i kraftforsyningen. Undersøkelsen viser flere svakheter ved NVEs arbeid på dette området. Funnene beskrives nærmere i punktene nedenfor.
Det har ført til svakheter i gjennomføringen av sentrale oppgaver som tilsyn, veiledning og arbeidet med overvåking, varsling og beredskap ved IKT-hendelser.
NVE har ikke sørget for
- at det er nok ressurser til arbeidet med IKT-sikkerhet i kraftforsyningen
- at de har verktøyene som trengs for å styre og følge opp arbeidet med IKT-sikkerhet
- å ha et godt nok grunnlag for å vurdere statusen og utviklingen i IKT-sikkerhetstilstanden
De viktigste selskapene i kraftforsyningen er med i Kraftforsyningens beredskapsorganisasjon (KBO). Det er rundt 170 KBO-enheter i kraftforsyningen. NVE har de siste seks årene kun gjennomført cirka fem IKT-sikkerhetstilsyn hvert år.
Undersøkelsen viser også at NVEs tilsynsmetodikk i liten grad avdekker den faktiske tilstanden for IKT-sikkerheten i selskapene. Metodikken er tillitsbasert og avdekker om selskapene har systemer for internkontroll. Metodikken gir lite informasjon om hvorvidt internkontrollsystemene fungerer i praksis.
I tillegg viser undersøkelsen svakheter ved NVEs risikovurderinger når de skal velge temaer og selskaper de skal føre tilsyn med.
NVE har fra 1. januar 2019 skjerpet kravene til IKT-sikkerhet i kraftforsyningen i den nye kraftberedskapsforskriften. Det er positivt, men direktoratet har ikke fulgt opp selskapene med tilstrekkelig veiledning om regelverket.
Riksrevisjonen mener det er positivt at NVE har arbeidet med kompetanseutvikling både internt og for bransjen, men oppfatter at mangelen på kompetanse fortsatt er en stor utfordring for IKT-sikkerheten i kraftforsyningen.
Beredskapsorganisasjonen i NVE har ikke trent nok på å håndtere IKT-angrep mot kraftforsyningen. Undersøkelsen viser at NVE har lite erfaring med å håndtere slike angrep, og at direktoratet ikke har et oppdatert beredskapsplanverk eller en oppdatert plan for øvelser.
Det er positivt at NVE har lagt til rette for å styrke delingen av informasjon om trusler, sårbarheter og IKT-sikkerhetshendelser mellom aktørene i kraftforsyningen. Underrapportering og svakheter ved selskapenes evne til å oppdage IKT-hendelser fører imidlertid til at NVE og KraftCERT ikke får nok informasjon til å vurdere beredskapen ved pågående hendelser, få en oversikt over trusselbildet i sektoren og utarbeide tiltak for å forebygge nye hendelser.
Mange av selskapene i kraftforsyningen har helt eller delvis tjenesteutsatt driften av IKT-systemer. Kraftforsyningens IKT-sikkerhet og beredskap er derfor i stor grad avhengig av leverandørenes IKT-sikkerhet.
NVE fører ikke tilsyn med IKT-sikkerheten hos leverandørene og blir ikke varslet om hendelser hos leverandørene. NVE får i hovedsak informasjon om leverandørenes IKT-sikkerhet gjennom veiledning og tilsyn med kraftselskapene. Undersøkelsen viser at mange kraftselskaper har mangelfull informasjon om og oppfølging av leverandørenes arbeid med IKT-sikkerhet, noe som også svekker NVEs informasjonsgrunnlag om IKT-sikkerheten i kraftforsyningen.
Olje- og energidepartementet har ikke etterspurt og sikret seg god nok styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen og om IKT-sikkerhetstilstanden.
Vi mener at dette har ført til at departementet ikke har hatt et tilstrekkelig beslutningsgrunnlag for å vurdere nødvendige tiltak innenfor NVEs arbeid med IKT-sikkerhet i kraftforsyningen.
Anbefalinger til Olje- og energidepartementet
Vi anbefaler departementet å sørge for at NVE styrker arbeidet med IKT-sikkerhet i kraftforsyningen, herunder:
- Videreutvikler verktøy for å styre og følge opp arbeidet.
Sikrer et bedre kunnskapsgrunnlag for IKT-sikkerhetstilstanden. - Vurderer tilsynsmetodikken og gjennomfører risikobaserte IKT-sikkerhetstilsyn.
- Sikrer god veiledning til bransjen.
- Fortsetter med kompetansehevende tiltak internt og for bransjen.
- Videreutvikler systemet for avdekking og deling av IKT-sikkerhetshendelser.
- Oppdaterer beredskapsplanverk og gjennomfører flere IKT-øvelser.
- Vurderer tiltak for å håndtere utfordringen med å følge opp leverandørenes IKT-sikkerhet.
Vi anbefaler departementet å sørge for at NVEs rapportering gir tilstrekkelig styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen.