Gå til innhold
NetNordic Norway
salg.no@netnordic.com +47 67 247 365 Webshop Community
Support Under Attack?
Oppdatert 01 jun, 2026
Publisert 01 jun, 2026
Cybersikkerhet NetNordic Artikkel

Har kommunen kontroll på hvem som har tilgang til vannforsyningen?

Det er et ubehagelig spørsmål. Og for mange kommuner er svaret mer usikkert enn det burde være.

Blindsonen ingen snakker om

Når kommuner diskuterer cybersikkerhet i VA-sektoren, dreier samtalene seg gjerne om teknologi: brannmurer, segmentering, sikkerhetsovervåking. Det er viktige temaer. Men den største blindsonen er ofte enklere og mer konkret enn som så.

Hvem har tilgang til systemene akkurat nå?

Ikke hvem som skal ha tilgang ifølge en gammel systemliste. Ikke hvem som sto i kontrakten da driftsavtalen ble signert. Men hvem som faktisk, i dag, kan logge inn på pumpestasjoner, SCADA-systemer og driftsnett i kommunen.

Svaret på dette spørsmålet er overraskende ofte: vi vet det ikke med sikkerhet.

Hvem har tilgang – og hvorfor?

I en typisk kommunal VA-organisasjon vil tilgangene se omtrent slik ut dersom de kartlegges:

Interne ansatte: Driftsoperatører, VA-ingeniører og teknisk personell med tilgang til driftssystemer. Disse er gjerne godt dokumentert internt.

Driftspartnere og IKS: Interkommunale selskaper eller private driftspartnere som styrer anleggene på vegne av kommunen. De har gjerne brede tilganger, noen ganger bredere enn nødvendig for oppdraget.

Automasjonsleverandører: Leverandørene av PLS-er, SCADA-systemer og annen styringsteknologi. De har typisk fjernaksess for support og vedlikehold.

Systemintegratorer og konsulenter: Prosjektleverandører som har hatt tilgang i forbindelse med utbyggings- eller oppgraderingsprosjekter. Disse tilgangene fjernes ikke alltid etter prosjektslutt.

Servicepersonell: Teknikere fra ulike leverandører som jevnlig utfører vedlikehold på utstyr. De kan ha tilgang via leverandørens systemer uten at kommunen nødvendigvis har full oversikt.

Tidligere ansatte og tidligere leverandører: Den kategorien ingen liker å snakke om, men som i mange kommuner er reell. Tilganger som aldri ble tatt bort da samarbeidet ble avsluttet.

Les også: NIS2 og Digitalsikkerhetsloven – hva gjelder for VA-sektoren.

Hva skjer når noen slutter eller bytter leverandør?

En av de vanligste, og mest alvorlige, sikkerhetsbristene i kommunal VA-infrastruktur handler om livssyklusstyring av tilganger: hva som skjer med tilgangen til systemene når noen slutter, eller når en leverandøravtale avsluttes.

I de beste tilfellene finnes det en rutine: tilgangen trekkes tilbake innen en dag eller to, kontoen deaktiveres og dokumenteres. I de vanligste tilfellene er prosessen uformell: den som er ansvarlig for driften, vet at noe bør gjøres, men det er ikke en etablert prosedyre, og det skjer i mellom mange andre oppgaver.

I de verste tilfellene – og det er ikke sjeldent – skjer ingenting. Tilgangen lever videre. Kontoen er aktiv. Og dersom leverandøren selv utsettes for et dataangrep, er den kontoen en åpen dør inn i kommunens kritiske infrastruktur.

En revisjonsøvelse: hva bør kommunen vite?

Et praktisk utgangspunkt for å vurdere tilgangssituasjonen er å stille seg følgende spørsmål og se om svarene finnes:

  • Systemkatalog: Har vi en oppdatert oversikt over hvilke systemer som er koblet til driftsnettet, og hvem som har tilgang til hvert av dem?
  • Tilgangsliste: Kan vi på ett sted se alle aktive brukere og kontoer som har tilgang til VA-systemene – inkludert leverandørkontoer og systemkontoer?
  • Aktivitetslogg: Kan vi si hvem som logget inn på SCADA-systemet sist uke, hvilken konto de brukte, og hva de gjorde?
  • Offboarding-prosess: Hva er rutinen dersom en driftspartner skiftes ut? Er det definert hvem som er ansvarlig for å trekke tilbake tilganger, og er det dokumentert at det gjøres?
  • Leverandørrevisjon: Har vi de siste tolv månedene gjennomgått hvilke leverandørtilganger som er aktive, og vurdert om de fortsatt er nødvendige?

Dersom svarene på noen av disse spørsmålene er usikre eller negative, er det et tegn på at tilgangsstyringen bør styrkes, og at digitalsikkerhetsloven stiller krav som ikke er oppfylt.

Hva loven faktisk krever

Digitalsikkerhetsloven og NIS2 er begge tydelige på tilgangsstyring som et kjerneområde. Kravene kan oppsummeres slik:

Minste privilegium: Tilganger skal begrenses til det som er nødvendig for at en person eller et system kan utføre sin oppgave. En serviceteknikker som skal vedlikeholde én pumpestasjon, trenger ikke tilgang til hele driftsnettet.

Dokumentasjon: Alle tilganger skal være dokumentert med begrunnelse – hvem har tilgang, til hva, og hvorfor.

Logging: All tilgang til kritiske systemer skal logges på en måte som gjør det mulig å rekonstruere hva som har skjedd ved en hendelse.

Livssyklusstyring: Tilganger skal trekkes tilbake umiddelbart når de ikke lenger er nødvendige. Dette er et krav, ikke en anbefaling.

Sterk autentisering: For tilgang til kritiske systemer er brukernavn og passord alene ikke tilstrekkelig. Flerfaktorautentisering skal brukes.

Logging og revisjon: to ulike ting

En viktig distinksjon er forskjellen mellom logging og revisjon. Logging er den tekniske prosessen der tilgangsøkter og handlinger registreres i et system. Revisjon er den menneskelige prosessen der noen faktisk ser på disse loggene og vurderer hva de forteller.

Mange kommuner har logging på plass, i hvert fall delvis. Revisjon er sjeldnere. Loggene samles inn, men ingen ser på dem jevnlig og ingen analyserer dem for å oppdage avvik.

Digitalsikkerhetsloven og NIS2 krever begge deler. Logging uten revisjon er ikke tilstrekkelig for å si at virksomheten kan oppdage sikkerhetshendelser.

Et naturlig startpunkt

Tilgangsstyring er ett av de områdene der relativt enkle tiltak kan gi stor effekt raskt. En tilgangsrevisjon – en systematisk gjennomgang av hvem som har tilgang til hva, og om det er begrunnet, er et naturlig første steg som ikke krever store investeringer i ny teknologi.

NetNordics Cyber Advisory-team gjennomfører tilgangsrevisjoner og modenhetsanalyser for VA-virksomheter og kommuner. Vi hjelper med å kartlegge dagens situasjon, identifisere de mest kritiske blindsonene og prioritere tiltak som gir størst effekt raskest.

Ta kontakt for en uforpliktende samtale om tilgangsstyring i din virksomhet.

Kontakt Oss

Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!

Siste innhold

NIS2 for kommuner: hva betyr kravene i praksis?
Cybersikkerhet
Artikkel
jun 01, 2026

NIS2 for kommuner: hva betyr kravene i praksis?

Slik sikrer du fjernaksess til pumpestasjoner og vannverk
Cybersikkerhet
Artikkel
jun 01, 2026

Slik sikrer du fjernaksess til pumpestasjoner og vannverk

De fem vanligste sikkerhetsutfordringene i kommunale vannverk
Cybersikkerhet
Artikkel
jun 01, 2026

De fem vanligste sikkerhetsutfordringene i kommunale vannverk

Vårt nyhetsbrev

Få de aller siste nyhetene og oppdateringene rett i innboksen din.