Nasjonal sikkerhetsmyndighet (NSM) advarer vannbransjen om økt aktivitet fra digitale trusselaktører. Direktør Arne Christian Haugstøyl oppfordrer VA-virksomheter til å styrke cybersikkerheten før det er for sent.
Den sikkerhetspolitiske situasjonen har endret seg dramatisk i det siste, og utvikler seg fra uke til uke nå.
For VA-bransjen betyr det at kritisk vanninfrastruktur er blitt et mer attraktivt mål for cyberangrep. NSM har observert aktivitet rettet mot digital infrastruktur knyttet til vannindustrien og demningsanlegg i Norge.
– Som NSM påpekte i årets risikovurdering, må vi i mye større grad være bevisst risiko i samfunnet vårt. Det er viktig å sikre egne verdier og ta ned sårbarheter for å redusere konsekvenser av uønskede hendelser, sier NSMs direktør Arne Christian Haugstøyl.
I mai gikk NSM ut med denne advarselen om økt trussel mot den digitale infrastrukturen i vannbransjen.
Les også: Digitalisering av kommunalteknikken får vi ikke til
Konkrete trusler mot vannbransjen
NSM kommenterer ikke enkelthendelser, men har varslet og fulgt opp berørte virksomheter. Samtidig har sikkerhetsmyndigheten dialog med sektormyndighetene i utsatte sektorer som umiddelbart bør iverksette tiltak.
Vannforsyning er samfunnskritisk infrastruktur som alle er avhengig av. Et vellykket angrep mot et vannverk eller store distribusjonsanlegg kan få dramatiske konsekvenser for folkehelse, samfunnsfunksjon og økonomi.
– Ved å dele åpent blir også virksomheter som ikke er underlagt sikkerhetsloven informert, og kan undersøke om de har tilstrekkelige tiltak på plass, forklarer Haugstøyl.
Etterretnings- og sikkerhetstjenesten PST følger med på og definerer trusler mot Norge.
Trusselaktørene i 2025 viser sabotasjeforhold i Norge, noe som er svært alvorlig og som norske myndigheter må agere på umiddelbart. Den politiske sikkerhetssituasjonen krever derfor at norske virksomheter påvirker egen sikkerhet gjennom forebyggende og risikoreduserende tiltak.
Flere norske kommuner har allerede opplevd forstyrrelser i sine digitale systemer, og erfaringene viser at konsekvensene kan være både kostbare og langvarige.
Det er for øvrig ikke bare vannbransjen som er for dårlig rustet mot digitale angrep. 4 av 10 norske virksomheter innen kritisk infrastruktur er "åpne som låvedører", framgår det av en pressemelding fra CNV Cyber nylig.
Enkle feil gjør angrep mulig
Generelt ser NSM at trusselaktører i cyberdomenet utnytter blant annet kjente sårbarheter som ikke blir rettet opp og svake passord på brukerkontoer. Det har også vært tilfeller der aktører har oppnådd tilgang gjennom bruk av standardpassord på eksempelvis nettverksutstyr fordi virksomheten ikke endret standardpassordet i installasjonsprosessen.
Mange norske virksomheter innen vannforsyning og annnen kritisk infrastruktur er "pip åpne" mot digitale angrep. (Foto: DNV Cyber)
Mange av angrepene mot vanninfrastrukturen kunne altså vært unngått med relativt enkle tiltak. Problemet er ofte ikke mangel på avansert sikkerhetsteknologi, men grunnleggende sikkerhetshygiene som ikke er på plass.
– Det er bekymringsfullt at så mange kritiske systemer fortsatt bruker standardpassord eller svake passord, sier Haugstøyl.
Når gammel erfaring møter nye trusler
Vannbransjen står overfor et interessant paradoks: Den erfarne driftslederen som kjenner anlegget som sin egen lomme, men som aldri har hørt om driftsteknologi-sikkerhet, møter den nyutdannede ingeniøren som kan cybersikkerhet, men ikke vet hvordan et vannverk fungerer i praksis.
Begge kompetansene trengs. Spørsmålet er hvordan vi får dem til å jobbe sammen.
Mens NSM snakker om avansert autentisering og atskilte nettverk, sitter det en enslig VA-sjef i en liten kommune som også er brannsjef, beredskapskoordinator og miljørådgiver. Hen har knapt tid til å oppdatere Windows, langt mindre å sette seg inn i industriell cybersikkerhet.
Dette er hverdagen for mange i bransjen.
Les også: Slik skal VA-produkter digitaliseres
Hvor starter jeg? De tre viktigste tiltakene først
For kommuner som føler seg overveldet av alle kravene, anbefaler ekspertene å starte med disse tre kritiske områdene:
- Sikre alle pålogginger umiddelbart. Bytt ut alle standardpassord på styringssystemer og nettverksutstyr. Dette er ofte den enkleste veien inn for angripere.
- Få oversikt over hvem som har tilgang. Lag en liste over alle som har tilgang til kritiske systemer, og fjern tilganger som ikke lenger trengs.
- Sørg for oppdaterte systemer. Etabler rutiner for regelmessige oppdateringer av programvare på alle systemer som styrer vannproduksjon og -distribusjon.
Først når disse grunnleggende tiltakene er på plass, bør kommunen gå videre med mer avanserte sikkerhetstiltak.
Hvor god er den digitale infrastrukturen i vannforsyningen i din kommune? Anlegget på bildet er ikke omtalt i artikkelen. (Foto: Jørn Søderholm)
Disse tiltakene må være på plass
NSM har utarbeidet en sjekkliste med konkrete tiltak som vannbransjen bør implementere:
Grunnleggende sikkerhetshygiene:
- Bytt ut alle standardpassord på utstyr og systemer
- Etabler sterke passord for tilkobling i nettverksutstyr
- Sørg for at passordrutiner følges konsekvent ved alle installasjoner
Beskytt styringssystemer:
- Etabler god logging i digital infrastruktur knyttet til styringssystemer og driftsteknologi
- Unngå direkte fjerntilgang over internett til styringssystemer
- Skill driftsteknologi- og IT-nettverk gjennom atskilte nettverk
Sikre eksponerte systemer:
- Hold programvare, fastvare og maskinvare oppdatert på alle digitale flater som er eksponert mot internett
- Skru av unødvendig funksjonalitet
- Bruk geoblokking der det er mulig
Styrk tilgangskontroll:
- Innfør strenge autentiseringskrav og aksesskontroll
- Bruk phishingresistent flerfaktor-autentisering
Bygg beredskap:
- Etabler og øv på planer for hendelseshåndtering
- Oppretthold tilstrekkelig kompetanse innen industriell cybersikkerhet
- Sett deg inn i standarder som NEK 820:2021 og NIST SP 800-82 rev. 3
Les også: Bygger fremtidens vannforsyning for Ålesund og naboer
DETTE KAN DU GJØRE I DAG
Umiddelbare tiltak som ikke koster penger:
- Sjekk alle standardpassord på SCADA-utstyr og styringssystemer
- Ring leverandøren og få oversikt over alle pålogginger til dine systemer
- Be IT-ansvarlig om status på oppdateringer av kritiske systemer
- Lag en liste over hvem som har tilgang til kritiske systemer
- Kontakt NSM på telefon 02497 hvis du oppdager mistenkelig aktivitet
- Undersøk muligheter for EU-finansiering gjennom NCC-NO
Hjelp til finansiering av sikkerhetstiltak
NSM leder senteret NCC-NO, som henter penger fra EU til cybersikkerhetstiltak rettet mot norske sektorer og virksomheter. Utlysninger fra NCC-NO gjør det mulig for små og mellomstore kommuner å få midler til sentrale cybersikkerhetstiltak.
Konkrete tall: EU-midler kan dekke opp til 70% av cybersikkerhetstiltak for mindre kommuner. En grunnleggende cybersikkerhetsgjennomgang koster typisk 50-150.000 kroner, mens en dags produksjonsstans på et vannverk kan koste kommunen fra 500.000 til 2 millioner kroner.
Dette kan være en mulighet for mindre vannverk og kommunale VA-avdelinger som sliter med begrensede budsjetter.
Hva koster det å være uten vann i tre dager? Anlegget på bildet er ikke omtalt i artikkelen. (Foto: Jørn Søderholm)
Kostnad versus konsekvens
En cybersikkerhetsrevisjon kan koste mer enn et mindre vannverk har i årlig vedlikeholdsbudsjett. Men hva koster det å være uten vann i tre dager?
Vi er flinke til å regne på rørskifter og pumper, men har vi regnet på hva digitale angrep kan koste oss?
Vannbransjen har hatt en tendens til å overlate det digitale til IT-konsulenter og leverandører. Men når sikkerhet blir kritisk, kan vi ikke lenger bare være "brukere" av teknologien – vi må forstå den. Spørsmålet er i hvilken grad bransjen har den kompetansen, og hvor villig man er til å investere i nødvendig oppgradering av den.
Arne Christian Haugstøyl i Nasjonal Sikkerhetsmyndighet. (Foto: NSM)
Bransjen mobiliserer
Nasjonal sikkerhetsmyndighet NSM er én av flere aktører som er opptatt av sikkerhet i vannforsyning.
Norsk Vann er i gang med å utarbeide en håndbok for sikring av vannforsyning som vil gi kommuner praktisk veiledning i sikkerhet tilpasset norske forhold. KS har også ressurser tilgjengelig for kommuner som trenger veiledning i digitale sikkerhetstiltak.
– Som sikkerhetsmyndighet er det vår oppgave å informere om sikkerhetstruende hendelser slik at norske virksomheter får iverksatt nødvendige tiltak. Formålet er å gjøre samfunnet mer motstandsdyktig, understreker Haugstøyl.
Virksomheter som forvalter skjermingsverdige verdier etter sikkerhetsloven må dessuten oppdatere risikovurderingen sin og iverksette nødvendige tiltak for å møte den økte risikoen.
Standarder er verktøy – ikke byrde
To standarder er spesielt viktige for vannbransjen:
- NEK 820:2021 for cybersikkerhet i styringssystemer
- NIST SP 800-82 rev. 3 som er en praktisk guide for driftsteknologi-sikkerhet.
Dette er ikke tunge teoretiske dokumenter, men konkrete verktøy som viser deg steg for steg hvordan man sikrer den digitale siden av infrastrukturen.
Kanskje trenger vi ikke alle å bli cybersikkerhetseksperter, men vi må alle forstå hva som kan gå galt når det digitale og det fysiske møtes. Det handler ikke bare om å installere den nyeste sikkerhetsløsningen, men om å bygge en kultur hvor digital sikkerhet er like naturlig som å sjekke klorverdier eller kalibrere en pumpe.
Tiden for å handle er nå
Den sikkerhetspolitiske situasjonen krever at norske VA-virksomheter tar cybersikkerhet på alvor. NSMs råd er krystallklart: Ha tydelige beredskapsplaner, øv på disse, etabler reserveløsninger for kritiske funksjoner, og sørg for kapasitet til gjenoppretting.
For en bransje som forvalter samfunnskritisk infrastruktur, er det ikke lenger spørsmål om cyberangrep kommer – men når de kommer, og hvor godt forberedt vi er. Spørsmålet er om vi skal vente til det er for sent, eller om vi tar regningen for å være forberedt nå.
Viktige kontakter:
- NSM cybersikkerhetshendelser: 02497 (døgnkontinuerlig)
- NCC-NO for EU-finansiering: www.ncc.no
- Norsk Vann for bransjespesifikk veiledning
