Elmagasinet 8-2023

40 | IKT-BILAGET Her må elektroleverandører klareres, og inngå en sikkerhetsavtale. - Også boliginstallasjoner krever gode rutiner, der eksempelvis solcelleanlegg, ladeanlegg for elbiler, styresystemer og smarthusløsninger blir koblet til nettet. Dette kan åpne for omfattende angrep mot kraftforsyningen. Her må installasjonene være en del av en samlet risikoprofil og sårbarhetsvurdering som gjelder hele samfunnet, der også elektrobransjen må bidra. - Risikovurdering kan lett ta utgangspunkt i informasjonen hver enkelt håndterer. Dette advarer vi mot. Selv om en person ikke behandler virksomhetskritisk eller personsensitiv informasjon, kan han være den som åpner veien inn i datasystemet. - Alt som er koblet til internett har en risikoprofil. Selv om du ikke vurderer deg selv eller din virksomhet som "interessant", kan din maskin bli en del av et større datainnbrudd. Dataangrepene tredoblet. I rapporten "Risiko 2023" skriver Nasjonal sikkerhetsmyndighet (NSM) at fra 2019 til 2021 ble antall alvorlige cyberoperasjoner mot norske myndigheter og virksomheter tredoblet. I fjor var nivået det samme som i 2021. Det vanligste er distribuerte tjenestenektangrep (it-systemene oversvømmes av enorme mengder datatrafikk eller søppelpost), phishing (forsøk på å få offeret til å gi fra seg informasjon for å stjele penger eller identitet) og kartleggingsaktivitet. Rapporten viser til flere eksempler. Blant annet da Norges offisielle eiendomsregister hos karttjenesten Norkart, som henter data fra Statens kartverk, ble lekket for navn, adresser, fødselsnummer og eierskapsinformasjon til 3,3 millioner nordmenn. I 2020 var det flere dataangrep mot Stortinget, der e-post, helseopplysninger og bankinformasjon kom på avveie. Det antas at russiske hackere stod bak. I romjulen 2021 ble Amedia angrepet med et løsepengevirus. Et knapt år etter kom flere hundre tusen e-postadresser på avveie hos Domeneshop. Her måtte alle kunder lage nye passord. "Direktørsvindel". Med såkalt "direktørsvindel" kan ansatte få e-post som ser ut som noen i ledelsen ber om penger. Ifølge Datatilsynet kan kanalen for slik svindel være e-post, SMS, fysiske brev, telefonsamtaler og faktura- og betalingssystemer. Om hendelsen har, eller kan ha ført til brudd på personopplysningssikkerheten, er hovedregelen at dette skal meldes til Datatilsynet som et avvik. Kostet 800 millioner kroner. Det kanskje mest kjente dataangrepet er mot Hydro i 2019, da kriminelle nettverk kom seg inn i selskapet sine datasystemer med et løsepengevirus. Selv om det ikke skal være betalt løsepenger, skrev Aftenposten i 2021 at dette kostet Hydro 800 millioner kroner. Obligatorisk tofaktorautentisering. - For mange medlemmer oppleves kanskje store dataangrep som fjernt. Det er viktig å ikke gå i fellen med å tenke at de ikke er interessante nok. De samme virkemidlene blir brukt for å hacke både små og store selskaper og privatpersoner, sier Sjøvik Hanstad. - Det finnes effektive mottiltak, som jevnlig oppdatering av komponenter, opplæring, en kultur som tar sikkerhet på alvor, rutiner for sikkerhetskopiering, testing av systemer, variasjon av passord og jevnlig endring av disse. Her er tofaktorautentisering ved innlogging obligatorisk. - Dessuten er fysisk sikkerhet viktig. Dette gjelder både adgang til fysiske nettverk, enhetene som er koblet opp, og barrierer mot vann- og brannskade. - Nelfo har også laget veilederen "En introduksjon til IT-sikkerhet for el- og ekominstallatører". Første versjon kom i 2021. Denne er vi i gang med å revidere.

RkJQdWJsaXNoZXIy MTQ3Mzgy