Riksrevisjonen kritiserer NVE for manglende beredskap mot dataangrep

Riksrevisjonen mener Norge ikke er godt nok forberedt på et dataangrep mot strømforsyningen. Foto: Heiko Junge / NTB
Riksrevisjonen mener Norge ikke er godt nok forberedt på et dataangrep mot strømforsyningen. Foto: Heiko Junge / NTB Foto: NTB
Artikkelen fortsetter under annonsen

I en ny rapport skriver Riksrevisjonen at det ikke er god beredskap for å håndtere et dataangrep i kraftforsyningen, et angrep som kan få katastrofale følger.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

– Etter Riksrevisjonens samlede vurdering er det alvorlig at Norges vassdrags- og energidirektorat (NVE) ikke i tilstrekkelig grad har påsett at det er god beredskap for å håndtere IKT-angrep i kraftforsyningen, heter det i rapporten.

Alvorlig er den nest høyeste graden av kritikk Riksrevisjonen kan komme med. De bruker også sin svakeste grad av kritikk, «kritikkverdig», om fem punkter i rapporten. Samtidig merker de seg at regelverket ble styrket fra 2019.

– Det er alvorlig når vi vet at risikoen for dataangrep i strømforsyningen øker. Hvis vi ikke tar dette på alvor nå, kan det komme et angrep som vil få fatale konsekvenser, sier riksrevisor Per-Kristian Foss i en pressemelding.

Mangler styring

I perioden 2016 til 2019 registrerte NVE om lag 30 såkalte «uønskede hendelser» knyttet til IKT-systemer og informasjonssikkerhet i kraftselskapene.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

– Dette inkluderer tilfeller av krypteringsvirus og inntrengingsforsøk i IKT-systemer, mislykkede oppdateringer av programvare, brudd på besøksrestriksjoner for driftssentraler og lekkasjer av kraftsensitiv informasjon, skriver Riksrevisjonen.

– Vi vet ikke om deres hensikter, men konstaterer at de har lyktes med å kompromittere systemene, sier Foss til NTB.

Riksrevisjonen mener NVE ikke har sterk nok styring av arbeidet med IKT-sikkerhet i kraftforsyningen og ikke vet nok om resultatene av sitt eget arbeid på området. Det mangler også ressurser og midler til å følge opp arbeidet, og tilsynet med kraftselskapene er mangelfullt på flere måter.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Olje- og energidepartementet får også kritikk for at de ikke har fulgt opp NVEs arbeid godt nok og dermed har manglet informasjon til å ta avgjørelser om tiltak på området.

Artikkelen fortsetter under annonsen

– Det er alvorlig at departementet rett og slett ikke har oversikt i sin sektor, sa Foss under presentasjonen.

Anbefaler bedre veiledning til selskapene

I rapporten kommer Riksrevisjonen med anbefalinger til departementet om å sørge for at NVE styrker arbeidet sitt for å styrke IKT-sikkerheten, blant annet gjennom bedre kunnskapsgrunnlag, bedre tilsyn, og god veiledning til kraftbransjen.

– Det er positivt at regelverket er styrket, men rapporten viser at mange selskaper mangler kompetanse innen datasikkerhet. Det er derfor viktig at NVE følger opp med god veiledning til selskapene, sier Foss.

Olje- og energiminister Tina Bru (H) skriver i sitt svar til Riksrevisjonen at en del av det anbefalte arbeidet for å styrke sikkerheten allerede er påbegynt.

NVE skriver i en pressemelding at de vil se nærmere på innholdet og følge opp forslagene til forbedringstiltak.

Blant de største vellykkede hackerangrepene mot en kraftforsyning i verden fant sted i Ukraina i desember 2015. Deler av landet, deriblant noen bydeler i hovedstaden Kiev, mistet strømmen i en times tid.