28. feb 2022 Fagligt

EnergiCERT skal højne fjernvarmens cybersikkerhed

Den omfattende digitalisering af energibranchen, herunder fjernvarmeselskaberne, kræver styrket cybersikkerhed.  

 

– Energibranchen er en af de sektorer, som Center for Cybersikkerhed har udpeget som samfundskritiske, og derfor giver det god mening, at branchen nu etablerer et fælles videncenter, siger Søren Maigaard, daglig leder af EnergiCERT. Foto: Maria Tuxen Hedegaard.

EnergiCERT er energibranchens nye fælles enhed, der skal hjælpe energiselskaber og fjernvarmeselskaberne med at øge deres cybersikkerhed. Etableringen af EnergiCERT er en naturlig konsekvens af den stigende digitalisering af energibranchen og deraf følgende risiko for hackerangreb på kritisk infrastruktur, som i værste fald kan lamme større eller mindre dele af Danmarks energiforsyning.

– Energibranchen er en af de sektorer, som Center for Cybersikkerhed har udpeget som samfundskritiske, og derfor giver det god mening, at branchen nu etablerer et fælles videncenter, som skal hjælpe såvel de enkelte selskaber som hele branchen med at reducere sårbarheden over for cyberangreb, siger Søren Maigaard, der siden 1. august 2020 har været daglig leder af EnergiCERT.

Han har mere end 15 års erfaring i at lede sikkerhedsteam og virksomheder i USA, Tyskland, England og Danmark. I de senere år har han arbejdet med kritisk infrastruktur og sikkerhed på danske virksomheder i energibranchen, senest som sikkerhedschef hos Norlys.

Når det gælder risikoen for cyberangreb, henviser Søren Maigaard til bl.a. PWC’s Cybercrime Survey 2019, som viste, at 51 procent af 325 adspurgte virksomheder det seneste år havde været udsat for fjendtlige cyberhændelser.

Forskel på IT og OT
Nu er han ved at opbygge EnergiCERT – den danske energibranches fælles kompetencecenter for OT-sikkerhed. OT står for Operational Technology, og det dækker i praksis alle de anlæg, der indgår i en produktionssammenhæng. Hos fjernvarmeselskaber omfatter OT alle de systemer, som bruges til at overvåge og styre de tekniske anlæg, herunder alle de energiproducerende anlæg og tilknyttede støttesystemer – f.eks. SCADA og SRO-systemer.

– Det er vigtigt at skelne mellem IT og OT-systemer, når man skal forstå, hvad EnergiCERT tilbyder energibranchen, herunder fjernvarmeselskaberne. Vores primære opgave er at hjælpe selskaberne med at højne sikkerheden for OT-systemer, altså de systemer, der bruges i forbindelse med energiproduktion og distribution. I praksis er der et vist overlap eller forbindelse mellem IT og OT-systemer, f.eks. når måledata fra forbrug skal omsættes til regninger. Men vores primære fokus og kompetenceområde er OT-systemerne. Det er også her, at behovet for assistance er størst, for der er ikke så mange OT-leverandører og specialister på markedet sammenlignet med markedet for administrative IT-systemer, siger Søren Maigaard.

Luftfarten har vist vejen
Når Søren Maigaard skal beskrive potentialet for EnergiCERT, henviser han til luftfartens historie.

– I 1930’erne udviklede den kommercielle luftfart sig for alvor. Men der skete mange ulykker. Faktisk var risikoen ved at flyve 2.000 gange højere end i dag. Svarende til at der i dag ville falde et fly ned dagligt, hvis sikkerhedsniveauet var det samme som i 1930’erne. Dengang måtte hvert enkelt flyselskab lære af sine egne erfaringer i forbindelse med ulykker. Man lærte ikke af hinanden, man udvekslede ikke erfaringer. Det ændrede sig i 1944, da flybranchen vedtog en ny samarbejdsaftale, hvor der i paragraf 13 stod, at man forpligtede sig til at dele alle oplysninger om sikkerhedshændelser under flyvning. Den aftale skabte selve grundlaget for at øge sikkerheden i hele flybranchen, så man har nået det niveau, vi kender i dag. EnergiCERT er en parallel til flybranchens aftale dengang. Nu forpligter Energinet og alle selskaber under Dansk Energi og Dansk Fjernvarme sig til at fortælle hinanden om cybersikkerhedshændelser for at øge branchens samlede viden om cybertrusler. EnergiCERT skal på det grundlag hjælpe med at hæve branchens generelle sikkerhedsniveau, så hvert enkelt selskab bliver meget mindre sårbart over for cyberangreb, siger Søren Maigaard.

Men hvad kommer EnergiCERT til at betyde i praksis for de cirka 370 medlemmer af Dansk Fjernvarme?

– Etableringen af EnergiCERT medfører, at der nu skabes et fælles, men også forpligtende forum for udveksling af viden, når det gælder cybersikkerhed og cybertrusler. Når man underskriver aftalen om at deltage i EnergiCERT, skriver man under på, at man deler sine erfaringer med cyberhændelser. Det er forudsætningen for, at hele branchen kan lære af hinanden. EnergiCERT er en slags musketered – en for alle, alle for en, siger Søren Maigaard.

Derfor er forudsætningen for at deltage i EnergiCERT, at fjernvarmeselskaberne underskriver tilslutningsaftalen, som forpligter dem på ovennævnte samarbejde og videndeling.

Forberedelse til større angreb
Hvis man som lokalt fjernvarmeselskab tvivler på, om man er i risikozonen for cyberangreb, og derfor ikke har brug for at deltage i EnergiCERT, påpeger Søren Maigaard, at hackerne ikke nødvendigvis synes, at det lokale fjernvarmeselskab er interessant i sig selv. Måske øver de sig bare og prøver at lære mere om, hvordan branchens OT-systemer fungerer. Angrebet på mindre selskaber kan være forberedelsen til et meget større angreb, der kan lamme store dele af den nationale energiforsyning.

– Som enkelt selskab står man naturligvis stærkere, når man deltager i et fællesskab. Tiden er kommet til, at branchen står sammen, når det gælder cybersikkerhed. Det er lektien fra flyindustrien og lektien fra andre lande, hvor man har lignende CERT-samarbejder. Og det er desværre også lektien fra de fjernvarmeselskaber, som allerede er blevet angrebet, siger Søren Maigaard.

Han understreger dog, at EnergiCERT ikke er en erstatning for, at fjernvarmeselskaberne selv etablerer systemer til at beskytte sig mod cyberangreb.

– Et medlemskab hos os betyder ikke, at sikkerhedsansvaret tages væk fra virksomhederne, eller at deres fokus på at øge egen sikkerhed bør sænkes, siger Søren Maigaard.

EnergiCERT tilbyder i øvrigt gratis levering og installation af såkaldte netværkssensorer og honeypots (komponenter til overvågning af OT-netværk, red.) til de 75 første selskaber, der er medlem af Dansk Fjernvarme, som tilmelder sig. Disse selskaber får dermed monitorering af eventuelle angreb uden ekstra beregning.

– Vi estimerer, at der skal bruges cirka 75 af disse enheder for at skabe et retvisende trusselsbillede på tværs af fjernvarmesektoren. For de øvrige selskabers egen skyld vil jeg klart opfordre til, at de også anskaffer sig disse sensorer mod et lille gebyr, da vi så kan hjælpe dem hver især med deres cybersikkerhed, siger Søren Maigaard.

DENNE ARTIKEL ER TIDLIGERE BRAGT I MAGASINET FJERNVARMEN JANUAR 2021.