De fem vanligste sikkerhetsutfordringene i kommunale vannverk
Ingen kommuner er like. Men når vi ser på tvers av prosjekter og vurderinger i VA-sektoren, er det fem sikkerhetsutfordringer som dukker opp igjen og igjen, uavhengig av kommunestørrelse, geografi og teknisk modenhet. Kjenner du deg igjen?
Radarchartet viser de fem sikkerhetsområdene fra cluster 4 med to datasett: Et mulig nivå i dag (oransje, lav score på alle fem) vs anbefalt NIS2-nivå (grønn, stiplet).
1. Manglende oversikt over hva som faktisk er koblet til nettverket
Den første utfordringen handler ikke om teknologi. Den handler om kunnskap.
Mange kommuner har ikke en komplett og oppdatert oversikt over hvilke enheter som er koblet til driftsnettet. Pumpestasjoner, sensorer, HMI-er og PLS-er installert over mange år av ulike leverandører, med ulik dokumentasjon og ulikt konfigurasjonsnivå. Noen er kjent og godt dokumentert. Andre er glemt, ikke oppdatert, og kjører på operativsystemer som ikke lenger får sikkerhetsoppdateringer.
Det er ikke mulig å beskytte noe man ikke vet at man har.
En nettverkskartlegging avdekker gjerne enheter ingen i kommunen visste var der – og som i mange tilfeller er direkte tilgjengelige fra internett. Det er et ubehagelig funn, men bedre å oppdage det selv enn å la en angriper gjøre det.
Hva digitalsikkerhetsloven krever: Virksomheten skal ha oversikt over sin kritiske infrastruktur og de systemer som støtter den. Uten en oppdatert systemkatalog er det ikke mulig å gjennomføre en forsvarlig risikovurdering.
2. Utdatert og ukontrollert fjernaksess
Fjernaksess er nødvendig. Problemet er at det i mange kommuner har vokst frem organisk – én løsning per leverandør, uten koordinering og uten en samlet oversikt over hvem som egentlig kan komme inn.
Resultatet er gjerne: parallelle VPN-løsninger med varierende sikkerhetsnivå, tilganger til leverandører som ikke lenger er aktive, mangel på flerfaktorautentisering for systemer som styrer kritisk infrastruktur, og ingen logging av hva som faktisk skjer under tilgangsøktene.
Fjernaksess er en av de vanligste inngangsportene ved angrep mot OT-systemer internasjonalt. Og i motsetning til sofistikerte zero-day-angrep handler de fleste vellykkede innbrudd om grunnleggende ting: gamle tilganger som aldri ble fjernet, svake passord, og ingen som følger opp.
Hva digitalsikkerhetsloven krever: Virksomheten skal ha kontroll på hvem som har tilgang til sine systemer, med dokumentasjon og logging av all fjernaksess. Les mer i vår artikkel Slik sikrer du fjernaksess til pumpestasjoner og vannverk.
3. Flate nettverk uten segmentering
Når alt er koblet til alt, er konsekvensene av et angrep vanskeligere å begrense. Et flatt nettverk – der pumpestasjoner, renseanlegg, SCADA-systemer og kontor-PC-er befinner seg i samme nettverkssegment – gir en angriper fri bevegelse når de først er inne.
Det betyr at et angrep som starter ved et sårbart punkt i periferien, potensielt kan nå de mest kritiske styringssystemene. Og det betyr at en infisert bærbar PC koblet til kontornettet kan bli inngangsporten til et industrielt styringssystem.
Segmentering begrenser skadeomfanget. Det er ikke et fullstendig forsvar mot angrep, men det er forskjellen mellom en hendelse som påvirker én stasjon og en hendelse som påvirker hele infrastrukturen.
Hva digitalsikkerhetsloven krever: Kritiske systemer skal beskyttes mot uautorisert tilgang, og tiltak skal være på plass for å begrense konsekvensene av sikkerhetshendelser. Les mer i vår artikkel Hvorfor flate nettverk er en risiko i VA-sektoren.
4. Logging som dekker driftsavvik – men ikke sikkerhetshendelser
De fleste VA-virksomheter logger driften godt. Trykk, flow, alarmer og tekniske hendelser er dokumentert. Dersom en pumpe stopper, er det mulig å gå tilbake og se nøyaktig hva som skjedde.
Men sikkerhetshendelser er noe annet. En uautorisert innlogging etterlater ikke nødvendigvis noe spor i et driftssystem. En angriper som beveger seg lateralt i nettverket, genererer ikke driftsalarmer. En leverandørkonto som brukes utenfor normal arbeidstid og utfører kommandoer ingen ba om, er ikke synlig i SCADA-systemets driftslogg.
For å oppdage sikkerhetshendelser trenger virksomheten logger som faktisk er designet for det: påloggingslogger, nettverkslogger, endringer i systemkonfigurasjon, og en kapasitet til å analysere disse loggene over tid. Det er ikke det samme som driftslogging – og det krever enten intern kompetanse eller en ekstern partner som kan fylle den rollen.
Hva digitalsikkerhetsloven krever: Virksomheten skal ha evne til å oppdage sikkerhetshendelser og håndtere dem. Uten sikkerhetsorientert logging er ikke denne evnen til stede.
5. Leverandørstyring som stopper ved kontraktsinngåelsen
Den siste utfordringen er kanskje den som er vanskeligst å snakke om, fordi den handler om relasjoner – ikke teknologi.
De fleste kommuner har gode relasjoner til sine VA-leverandører. De stoler på dem, og det er det oftest god grunn til. Men tillit er ikke en sikkerhetskontroll. Digitalsikkerhetsloven er tydelig: ansvaret for sikkerhetsnivået kan ikke outsources, uansett hvem som drifter systemene.
I praksis betyr det at kontrakter må inneholde konkrete sikkerhetskrav – ikke bare generelle formuleringer om at leverandøren skal «følge gjeldende regelverk». Det betyr at kommunen må følge opp at kravene faktisk etterleves, ikke bare at de er signert. Og det betyr at leverandører med tilgang til kritiske systemer må dokumentere sitt eget sikkerhetsnivå.
For mange kommuner er dette en ny øvelse. Tidligere var det tilstrekkelig å ha en driftsavtale som fungerte. Nå må avtalen også dekke tilgangsstyring, logging, hendelsesrapportering og risikovurdering.
Hva digitalsikkerhetsloven krever: Virksomheten skal ha kontroll på sin leverandørkjede og stille krav til leverandørers sikkerhetsnivå. Manglende leverandørstyring er et direkte brudd på loven – ikke bare en anbefalt god praksis.
Gjenkjenner du dem?
Det er uvanlig at en kommune har alle fem utfordringene fullt løst. Det er heller ikke forventet. Det som forventes, er at utfordringene er kjent, at de er risikovurdert, og at det finnes en plan for å adressere dem.
NetNordics Security Advisory-team gjennomfører modenhetsanalyser som gir et strukturert bilde av dagens situasjon og et prioritert veikart for forbedring. Ta kontakt for å finne ut hva en slik gjennomgang innebærer for din virksomhet.
Innholdsfortegnelse
Innholdsfagskategori
Innholdstype
Relatert innhold
NIS2 for kommuner: hva betyr kravene i praksis?
Slik sikrer du fjernaksess til pumpestasjoner og vannverk
Digitalsikkerhetsloven vs. NIS2: hva er forskjellen?
Har kommunen kontroll på hvem som har tilgang til vannforsyningen?
NIS2 og Digitalsikkerhetsloven: Hva betyr de nye sikkerhetskravene for vann- og avløpssektoren?
CyberTalk 2026: Fra antagelse til bevis
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!