Tillsammans lanserar Vattenfall, Fortum, E.ON, Uniper och Jämtkraft nu en svensk Energi-CERT – ett riktat stöd till energiföretag för att hantera och förebygga cybersäkerhetsincidenter. Det hela börjar med de fem stora aktörerna, men siktet är inställt på att skapa möjligheter för hela Sveriges energibransch.
Av Jörgen Städje
Det är ett berömvärt initiativ, som dock flagnar lite i kanterna när man inser att det inte verkar finnas egentliga förebyggande insatser som utbildning med i initiativet. För, varför ökar antalet cyberattacker mot företagen ständigt? För att det fungerar. För att vanliga datoranvändare är allt för lättlurade.
CERT står för Computer Emergency Response Team och det är den första svenska CERT:en utanför den svenska CERT-SE som drivs av MSB. Än så länge finns det inte så mycket detaljerad information om vad Energi-CERT ska arbeta med, men det kan verka positivt att man tar hand om olyckorna. I den mån det går.
En sak är helt klar: Den svenska elkraften utgör ett mycket åtråvärt mål för tredje land som vill skada oss, särskilt efter NATO-inträdet. För att citera överstelöjtnant Joakim Paasikivi, som talar om Ukraina: han menar att det är ”i princip omöjligt att skydda sig mot omfattande attacker på infrastruktur”. Han syftar givetvis på Ukraina där ryska angrepp (fysiska såväl som cyber) ständigt slår ut el- och vattenförsörjningen och fortsätter med ”elnätet är vidsträckt och det går inte att försvara varenda liten transformatorstation eller ställverk”. Riktigt så kommer eventuella angrepp mot det svenska kraftnätet inte att gå, till, men det står väl ganska klart att angreppen kommer.
Dessutom kan man konstatera att mängden cyberattacker ökar lavinartat och att 2024 ser ut att bli någon sorts rekordår. Då är det viktigt att arbeta brett för att förbereda energiföretagen på att cyberattacker kommer att ske och att se till att sagda organisationer tar krafttag för att förbereda sig så att attackerna inte gör någon skada.
Följande ska Energi-CERT tydligen stå till tjänst med:
- Hot- och sårbarhetsinformation
- Tidiga varningar
- Incidenthantering och återställning
-
Samlad lägesbild
Sverige är ett el-land. Vi har inte mycket hushållsgas. Vad spelar det för roll om vi har gröna energikällor, kärnkraft, vindkraft och solkraft om kraftnätet och ställverken slås ut i en cyberattack? Bild: Vattenfall. Inget förebyggande?
Det viktigaste är dock inte att ta hand om en cyberattack efter att den inträffat, utan att förhindra att den inträffar över huvud taget, med hjälp av förebyggande arbete och utbildning. Det bästa sättet att klara sig undan cyberattacker är att inte bli utsatt, genom att vara förberedd, utbildad och skyddad. Det är där det brister för de allra flesta organisationer.
Eftersom det hela ännu är väldigt preliminärt finns det inga uppgifter om hur Energi-CERT ska arbeta förebyggande och utbildande, för att hindra attacker innan de ställt till någon skada. Det finns inte heller några uppgifter om hur eller om man tänker arbeta för att genomdriva EUs NIS2-direktiv för att fördela ansvaret i organisationerna. Inget sägs heller om hur man kommer att reagera när en organisation trots allt utsätts för ett lyckat angrepp, annat än punkten ”Incidenthantering och återställning”.
Just begreppet ”återställning” har en vid innebörd, där det största problemet är att kunna dekryptera data som krypterats i syfte att få ut en lösensumma och det bästa är att hindra angreppet innan det inträffat. Det är just detta som driver cyberkriminaliteten, att det går att dra in miljarder på lösensummor.
Pressreleasen säger inget om hur personalen ska utbildas och vilka som ska utbildas och vilka som är ansvariga för säkerheten på arbetsplatsen. Man bör observera att IT-avdelningen inte kan göra mycket i denna fråga. De kan skydda datorsystemen, men de kan inte förhindra lurendrejeri mot personalen. Om en person med legitim tillgång till datorsystemen blir lurad och släpper in en bedragare, klickar på en skadlig länk, öppnar en skadlig bilaga till ett mail eller plockar upp en skadlig USB-sticka på parkeringsplatsen och provar den i sin dator, är det inte mycket IT-folket kan göra.
Uppgifterna är dock preliminära (september). Vilka krav ställs på deltagarorganisationerna? Finns en föreskrift att läsa? Vi kommer att få vänta ännu ett tag på klargörande om de viktigaste punkterna.
