Når strømnettet blir angrepsmål
Cybersikkerhet i kraftsektoren er en del av samfunnssikkerheten
Strømforsyning er en forutsetning for nesten alle andre samfunnsfunksjoner. Helse, vannforsyning, telekommunikasjon, transport og finans er avhengige av stabil energitilgang. Det vet de som leverer strømmen. Og det vet de som vil skade oss.
Norske og europeiske trusselvurderinger peker over tid på energiinfrastruktur som et strategisk høyprioritert mål for både statlige og organiserte aktører. Erfaringene fra angrep mot europeisk energisektor de siste årene viser at teknisk kapasitet og vilje er til stede. For norske kraftselskaper er spørsmålet derfor ikke om de er interessante mål – men om de er forberedt på å møte den som faktisk prøver.
Et teknologilandskap med innebygd kompleksitet
Kraftsektoren opererer i et sammensatt miljø der driftsteknologi og administrative IT-systemer i økende grad er vevd sammen.
OT-systemer som SCADA, ICS og PLS er designet for stabil drift og høy tilgjengelighet. Mange har lang levetid, begrenset mulighet for oppdatering og avhengigheter som gjør endringer krevende. De er bygget for å aldri stå stille – og det er nettopp det som gjør dem vanskelige å sikre i en verden der tilkoblingen bare øker.
Digitaliseringen har akselerert dette. Smarte målere, fjernstyring, integrasjoner mot markedsplattformer og skybasert analyse har etablert nye forbindelser mellom IT- og OT-miljøer som aldri var tiltenkt å henge sammen. Hvert grensesnitt er et potensielt inngangspunkt. Og utfordringen ligger ikke nødvendigvis i enkeltkomponenter – den ligger i helheten av historiske arkitekturvalg kombinert med nye tilkoblinger og økt ekstern eksponering.
Slik jobber angriperne
Aktører som retter seg mot kraftinfrastruktur er tålmodige og metodiske. De søker ikke umiddelbar synlighet – de søker posisjon.
Initial tilgang etableres gjerne via IT-siden, gjennom phishing, kompromitterte kontoer eller leverandørtilganger. Deretter kartlegges miljøet gradvis. Bevegelsen mot OT-systemer skjer sakte og kontrollert, uten å vekke unødvendig alarm. Målet kan være informasjonsinnhenting, etablering av vedvarende tilgang – eller posisjonering mot kritiske kontrollpunkter for bruk på et strategisk valgt tidspunkt.
Det avgjørende spørsmålet er derfor ikke bare om perimeteret holder. Det er om uønsket aktivitet oppdages før den rekker å få konsekvenser for drift. Tidlig deteksjon og koordinert respons er ikke nice-to-have. Det er det eneste som skiller en håndterbar hendelse fra en alvorlig krise.
Hva en sikkerhetsvurdering bør avdekke
En helhetlig sikkerhetsvurdering i kraftsektoren må ta høyde for både tekniske og operasjonelle forhold – og for det unike samspillet mellom IT og OT som kjennetegner bransjen.
Sentrale spørsmål å besvare er hvilke systemer og tjenester som er eksponert eksternt, hvordan IT- og OT-miljøene faktisk er segmentert i praksis, om leverandørtilganger gir utilsiktet bevegelsesrom, og hvor langt en angriper kan bevege seg ved intern kompromittering. Og ikke minst: om deteksjons- og responskapasiteten faktisk dekker begge sider av infrastrukturen.
Ekstern penetrasjonstesting gir innsikt i synlig eksponering. Intern testing og Assumed Breach-øvelser viser konsekvensene dersom en angriper allerede har fotfeste. For virksomheter med etablert overvåking kan Red Team-øvelser validere den faktiske evnen til å oppdage og håndtere et målrettet angrep – ikke bare i teorien, men under realistiske forhold.
Digitalsikkerhetsloven og NIS2 tydeliggjør noe kraftsektoren egentlig har visst lenge: at sikkerhet ikke kan behandles som et IT-anliggende adskilt fra virksomhetsstyringen. Krav til risikovurdering, hendelseshåndtering og kontinuerlig forbedring gjelder nå eksplisitt, og dokumentert testing er forutsetningen for å kunne vise at kravene faktisk etterleves, ikke bare at de er kjent.
Testing i miljøer der alt må virke
I kraftsektoren kan testing ikke gjennomføres uten grundig planlegging. Det er ikke en innvending mot testing – det er et premiss for hvordan det gjøres riktig.
Tilgjengelighet og sikker drift ivaretas gjennom tydelige avgrensninger, grundige risikovurderinger og løpende dialog med driftsansvarlige gjennom hele oppdraget. Vi etablerer klare rutiner for umiddelbar varsling dersom noe kritisk avdekkes underveis. Omfang og metodikk tilpasses det enkelte miljø – for noen er kartlegging og sårbarhetsvurdering riktig første steg, for andre er det mer relevant å validere modenhet gjennom scenariobaserte øvelser.
Hos NetNordic gjennomføres sikkerhetstesting i tett samarbeid med teknisk og operativ ledelse. Vi vet at det ikke finnes et standardopplegg som passer kraftsektoren – og vi jobber deretter.
Funn som gir varig effekt
En test som ender som en statisk rapport, gir et øyeblikksbilde. Det er et utgangspunkt – ikke et mål.
Funn må kunne følges over tid, med tydelige prioriteringer, plassert ansvar og synlig fremdrift – for de som jobber med lukking, og for ledelse og styre som skal ta beslutninger på informert grunnlag. Dokumentasjonen må alltid være tilgjengelig og oppdatert, også i møte med tilsynsmyndigheter.
Det gjør sikkerhetstesting til mer enn en kontroll. Det gjør det til et styringsverktøy.
Ansvaret strekker seg utover virksomheten
Konsekvensene av alvorlige hendelser i kraftsektoren påvirker ikke bare selskapet selv – de påvirker samfunnet. Det er et ansvar som fortjener en tilnærming til sikkerhet som er like seriøs.
Spørsmålet er ikke om trusselen finnes. Spørsmålet er hvor godt dere kjenner eget risikobilde – og om dere ville oppdaget det hvis noen allerede var på vei inn.
Ønsker dere en dialog om sikkerhetstesting tilpasset kraftsektoren? Vi tar gjerne en innledende samtale om miljø, modenhet og hvilke tiltak som vil gi størst effekt der dere er i dag.
Innholdsfortegnelse
Innholdsfagskategori
Innholdstype
Relatert innhold
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!
Siste innhold
Hvorfor menneskelige feil innen cybersikkerhet fortsatt utgjør den største risikoen
NIS2, Schrems II og VMware: Tre grunner til at cloud-arkitekturen din må gjennomgås i 2026
