KS Bedrift var nylig til stede på NVEs beredskapskonferanse i Tromsø. Temaet for konferansen var sikkerhet og beredskap på alle områder. Tradisjonelt har kraftbransjen vært opptatt av uvær, enten det er lynnedslag, regn og skred, eller vind og trefall.
Gamle erfaringer
På disse områdene har vi lange tradisjoner for både å bygge gode løsninger og reparere feil når det er nødvendig. Bransjen kan helt sikkert bli bedre på feltet. Med mer ekstremvær i vente er vi helt nødt til å finne bedre løsninger på en del områder. Og det skal vi klare. Vi kjenner problemstillingene og for de som gjør en innsats på å holde seg oppdatert på løsninger, er det i stor grad kun et spørsmål om prioriteringer.
Nye utfordringer
På konferansen var IKT-sikkerhet nok en gang tema. Det er nødvendig med en sterkere bevissthet på feltet. Hverken bransjen som helhet, eller enkeltpersonene som jobber i den, har tilstrekkelig kompetanse på dette området. Denne gangen var outsourcing av IKT hovedtema. Det har fra mange hold blitt uttrykt bekymring for hvem som har tilgang på styringssystemene for bransjen. På konferansen kom det klart fram at det er klare begrensinger både på hvem som kan lage programvaren og på hvem som skal ha tilgang på denne i den daglige driften. Eksemplene på strømløse nett i utlandet skremmer. Så der er vi vanligvis noenlunde gode.
Behovet for sikkerhetsbevissthet på IKT-feltet ble i høyeste grad aktualisert etter konferansen. Dagen etter var det store oppslag om at verden kan lammes av et nytt datavirus. Og mange ble faktisk rammet, særlig i utlandet, i liten grad her hjemme. Dette kan muligens være fordi vi i større grad har systemer som automatisk gjennomfører sikkerhetsoppdatering. Det kan også være fordi angrepet startet et annet sted i verden og ikke rakk å spre seg hit før oppmerksomheten rundt viruset ble stor og det i praksis ble stoppet. Jeg tror vi hadde litt flaks, men håper vi slapp enkelt unna fordi norske databrukere er bevisste på å holde pc’er og systemer oppdatert med siste versjon av all sikkerhetsprogramvare. Skal jeg dømme etter hva som ble sagt ved ulike lunsjbord, er inntrykket dessverre at vi har et stort forbedringspotensial.
For hva ville skjedd med et selskap som ble hardt rammet av et virus som sperrer tilgangen til alle systemene? Å betale løsepenger kan være fristende, men er prinsipielt en dårlig løsning som kanskje heller ikke ville gitt det ønskede resultat. For hva om backupen også er infisert? Kanskje også forrige ukes backup? Kan bedriften overleve en slik situasjon? Spørsmålene er mange, men svaret er heldigvis relativt enkelt.
Hva gjør vi?
Hovedbudskapet i dag er at dette i stor grad dreier seg om bevissthet. Både brukerne og bedriftene må innse at datasikkerhet må tas på alvor. God datasikkerhet krever kompetanse – denne må de aller fleste hente fra eksterne eksperter. Sammen må selskapene få på plass gode systemer, holdninger og rutiner, og de må følges. Og det må øves, akkurat som for annet beredskapsarbeid.
Lykke til i arbeidet!