Alvorlig kritikkverdige forhold og svikt i prioriteringene av it-sikkerhet hos NVE

Riksrevisjonen har undersøkt Norges vassdrags- og energidirektorat (NVE) arbeid med it-sikkerhet i den norske kraftforsyningen. Rapporten inneholder sterk kritikk, der det at NVE ikke i tilstrekkelig grad har påsett at kraftselskapene har god beredskap for å håndtere it-angrep mot kraftforsyningen får kritikknivå «Alvorlig» i rapporten. Dette er det nest høyeste kritikknivået Riksrevisjonen har.

– NVE har verken satt av nok ressurser eller sørget for å ha verktøyene som skal til for å styre og følge opp. Her har det sviktet i prioriteringene, sier riksrevisor Per-Kristian Foss i en pressemelding.

Kritisk infrastruktur

Kraftforsyningen i Norge er naturligvis definert som kritisk infrastruktur. Bortfall av elektrisk kraft har store følger for samfunnet selv ved korte avbrudd, og det er vanskelig å se for seg alle følgene av lengre avbrudd – vi vet bare at situasjonen ville blitt svært alvorlig for mange.

Om risikoen forbundet med it i kraftforsyningen, skriver Riksrevisjonen:

«Bruk av ny teknologi, skyløsninger og utenlandske leverandører og integrering av ulike systemer som er koblet til internett øker risikoen for IKT-hendelser i kraftforsyningen. Ifølge nasjonale trusselvurderinger utgjør systemer i kraftsektoren kritisk infrastruktur som er spesielt utsatt for etterretning og avanserte nettverksoperasjoner».

Det er kraftselskapene selv som har ansvaret for at datasikkerheten er i tråd med regelverket. NVE skal følge opp at kraftselskapene gjør det de skal for å sikre beredskapen. Det er dette Riksrevisjonen har undersøkt om NVE gjør.

Alvorlig kritikk

Hovedkonklusjonene til Riksrevisjonen etter denne undersøkelesen er todelt: At NVE ikke i tilstrekkelig grad påsett at det er god beredskap for å håndtere dataangrep i kraftforsyningen, og at Olje- og energidepartementet (OED) ikke sikrer seg god nok styringsinformasjon om datasikkerhetstilstanden i kraftforsyningen og resultatene av NVEs arbeid med datasikkerhet.

Riksrevisjonen opererer med fire nivåer av kritikk i sine rapporter, der Svært alvorlig er det høyeste nivået. Deretter følger nivåene Alvorlig, Sterkt kritikkverdig og Kritikkverdig. I NVE-rapporten den sterkeste kritikken nivå 3, Alvorlig. Dette nivået g benyttes ved forhold som kan ha betydelige konsekvenser for samfunnet eller berørte borgere, eller der summen av feil og mangler er så stor at dette må anses som alvorlig i seg selv.

Punktet i rapporten som får denne kritikken er at NVE ikke i tilstrekkelig grad har påsett at kraftselskapene har god beredskap for å håndtere IKT-angrep mot kraftforsyningen. Dette går altså på NVEs tilsynsoppgaver, en av de mest sentrale ansvarsområdene for direktoratet.

Mer kritikk og mange råd

I rapporten fra Riksrevisjonen kommer det også fram svakheter som klassifiseres som Sterkt kritikkverdig og Kritikkverdig. Det er det samlete tilsynet av it-sikkerheten som klasses som Sterkt kritikkverdig. I tillegg får svak styring og oppfølging, mangelfullt grunnlag for å vurdere status og utvikling, ikke nok trening på håndtering av it-hendelser, og at OED ikke har etterspurt god nok styringsinformasjon, kritikknivå Kritikkverdig i rapporten.

Riksrevisjonen kommer også med følgende råd til OED, som departementet NVE tilhører:

«Vi anbefaler departementet å sørge for at NVE styrker arbeidet med IKT-sikkerhet i kraftforsyningen, herunder:

Videreutvikler verktøy for å styre og følge opp arbeidet.Sikrer et bedre kunnskapsgrunnlag for IKT-sikkerhetstilstanden.Vurderer tilsynsmetodikken og gjennomfører risikobaserte IKT-sikkerhetstilsyn.Sikrer god veiledning til bransjen.Fortsetter med kompetansehevende tiltak internt og for bransjen.Videreutvikler systemet for avdekking og deling av IKT-sikkerhetshendelser.Oppdaterer beredskapsplanverk og gjennomfører flere IKT-øvelser.Vurderer tiltak for å håndtere utfordringen med å følge opp leverandørenes IKT-sikkerhet.Vi anbefaler departementet å sørge for at NVEs rapportering gir tilstrekkelig styringsinformasjon om resultatene av NVEs arbeid med IKT-sikkerhet i kraftforsyningen».