2017-12-19 15:42

Verksamhetsåret 2017 går mot sitt slut!

Verksamhetsåret 2017 går mot sitt slut! En genomgång av säkerhetshändelser under verksamhetsåret 2017 ger vid handen att det har varit ett av de mest händelserika åren ur ett säkerhetsperspektiv. En regelbunden ström av nyheter om olika typer av hot och händelser som energibranschen, och andra, har behövt förhålla sig till, har publicerats under året.

Granskningar av säkerheten visar på säkerhetsbrister och att företagen och myndigheter fortfarande har lång väg att vandra för att nå en tillfredställande nivå på säkerheten i organisationen och de egna systemen. Inte sällan beror detta på bristande acceptans av och/eller förståelse för hoten och de möjliga konsekvenserna som dessa kan bibringa.

Låt oss påminna om ett axplock av händelser som bland annat har uppmärksammats här på Energisäkerhetsportalen.

  • Under året har vi sett ett större utbrott av skadlig kod för utpressning som återkommande blommat upp i flera omgångar. Koden WannaCry är en (eng.)ransomware som drabbade många organisationer i Sverige hårt. 
  • Ett annat exempel på skadlig kod som vi varnat för under året är CrashOverride. Denna skadliga kod är främst fokuserad på att påverka industriella styrsystem och är ett exempel på den ökande hotbilden mot just system som sköter funktioner som är samhällsviktiga.
  • Vi har i ett inslag särskilt uppmärksammat hur sårbara vindkraftverk är då dessa ofta är uppkopplade via publika nätverk och har bristande fysiskt skydd. Detta i en tid av ökande antal attacker och nivå på dessa attacker i publika nät.

Under året har vi även bevittnat frapperande säkerhetsbrister. Fallet med Transportstyrelsen och outsourcing av känsliga uppgifter till utlandet har knappast gått någon obemärkt förbi. Listan är lång över olika nyheter som informerar om möjliga attackvektorer och sårbarheter över året.

En av de senaste artiklarna på Energisäkerhetsportalen återkopplar till en undersökning som genomförts av Ekoredaktionen. Den visar på en gravt oroande mängd system som är åtkomliga via Internet eller andra semipublika nät och som helt saknar skydd mot obehörig åtkomst. Dessa system saknar även grundskydd för åtkomst, som den mest rudimentära formen av säkerhetslösning. Det finns absolut inga bra anledningar eller ursäkter för att INTE vidta grundläggande säkerhetsåtgärder för att skydda sin verksamhet och sina IT-system.

Det är positivt att säkerheten i viktiga samhällsfunktioner granskas i den omfattning som det har gjorts på senare tid. Även om slutsatserna från en del externa experter utan djupare insyn i våra verksamheter kan ibland kännas lite överdrivna och felaktiga, bör vi dock välkomna externa konstruktiva granskningar och tyckanden. Vi bör se de som en del av de ingångsvärden som vi har att ta hänsyn till i vårt systematiska säkerhetarbete.

Medarbetare och däribland säkerhetsföreträdare som ansvarar och arbetar för att säkra samhället vitala funktioner och infrastrukturer blir sällan uppmärksammade för alla de goda insatser som dagligen görs. Faktum är att genom medarbetarnas aktiva deltagande och kompetens har leveranser i det svenska samhällets vitala tjänster fungerat tillfredställande. Få incidenter har drabbat samhällstjänsterna och de incidenter som inträffats kunnat hanteras på ett mer eller mindre effektivt sätt. Ett systematiskt säkerhetsarbete kräver dock en ständigt pågående omvärldsbevakning, utvärdering av hotbilder och skyddsåtgärder.

Risker och sårbarheter har alltid förekommit i alla verksamheter och kommer att förekomma även i framtiden. Det vore naivt att tro annat. Säkerhetsarbetet går i mångt och mycket ut på att hantera säkerhetsrelaterade risker och sårbarheter i verksamheter. Det viktiga i sammanhanget är att arbeta systematiskt och utifrån aktuella hotbilder, vidta förebyggande säkerhetsåtgärder för att förhindra eller minska skadeverkningarna av hoten och sårbarheter samt ha en god beredskapsförmåga för att effektivt kunna hantera händelser när de väl inträffar. Säkerhetsfrågor inom energisektorn tas alltid på största allvar och är föremål för ständig utvärdering och utveckling.

Med det så vill vi tacka för alla de goda arbetsinsatserna som genomförts i samhällets tjänst under verksamhetsåret 2017 och önska er alla en god jul och ett riktigt gott nytt säkerhetsår!

Alireza Hafezi