Nasjonal sikkerhetsmyndighet (NSM) advarer vannbransjen om økt aktivitet fra digitale trusselaktører. Direktør Arne Christian Haugstøyl oppfordrer VA-virksomheter til å styrke cybersikkerheten før det er for sent.
Den sikkerhetspolitiske situasjonen har endret seg dramatisk i det siste, og utvikler seg fra uke til uke nå.
For VA-bransjen betyr det at kritisk vanninfrastruktur er blitt et mer attraktivt mål for cyberangrep. NSM har observert aktivitet rettet mot digital infrastruktur knyttet til vannindustrien og demningsanlegg i Norge.
– Som NSM påpekte i årets risikovurdering, må vi i mye større grad være bevisst risiko i samfunnet vårt. Det er viktig å sikre egne verdier og ta ned sårbarheter for å redusere konsekvenser av uønskede hendelser, sier NSMs direktør Arne Christian Haugstøyl.
I mai gikk NSM ut med denne advarselen om økt trussel mot den digitale infrastrukturen i vannbransjen.
Les også: Digitalisering av kommunalteknikken får vi ikke til
NSM kommenterer ikke enkelthendelser, men har varslet og fulgt opp berørte virksomheter. Samtidig har sikkerhetsmyndigheten dialog med sektormyndighetene i utsatte sektorer som umiddelbart bør iverksette tiltak.
Vannforsyning er samfunnskritisk infrastruktur som alle er avhengig av. Et vellykket angrep mot et vannverk eller store distribusjonsanlegg kan få dramatiske konsekvenser for folkehelse, samfunnsfunksjon og økonomi.
– Ved å dele åpent blir også virksomheter som ikke er underlagt sikkerhetsloven informert, og kan undersøke om de har tilstrekkelige tiltak på plass, forklarer Haugstøyl.
Etterretnings- og sikkerhetstjenesten PST følger med på og definerer trusler mot Norge.
Trusselaktørene i 2025 viser sabotasjeforhold i Norge, noe som er svært alvorlig og som norske myndigheter må agere på umiddelbart. Den politiske sikkerhetssituasjonen krever derfor at norske virksomheter påvirker egen sikkerhet gjennom forebyggende og risikoreduserende tiltak.
Flere norske kommuner har allerede opplevd forstyrrelser i sine digitale systemer, og erfaringene viser at konsekvensene kan være både kostbare og langvarige.
Det er for øvrig ikke bare vannbransjen som er for dårlig rustet mot digitale angrep. 4 av 10 norske virksomheter innen kritisk infrastruktur er "åpne som låvedører", framgår det av en pressemelding fra CNV Cyber nylig.
Generelt ser NSM at trusselaktører i cyberdomenet utnytter blant annet kjente sårbarheter som ikke blir rettet opp og svake passord på brukerkontoer. Det har også vært tilfeller der aktører har oppnådd tilgang gjennom bruk av standardpassord på eksempelvis nettverksutstyr fordi virksomheten ikke endret standardpassordet i installasjonsprosessen.
Mange norske virksomheter innen vannforsyning og annnen kritisk infrastruktur er "pip åpne" mot digitale angrep. (Foto: DNV Cyber)
Mange av angrepene mot vanninfrastrukturen kunne altså vært unngått med relativt enkle tiltak. Problemet er ofte ikke mangel på avansert sikkerhetsteknologi, men grunnleggende sikkerhetshygiene som ikke er på plass.
– Det er bekymringsfullt at så mange kritiske systemer fortsatt bruker standardpassord eller svake passord, sier Haugstøyl.
Vannbransjen står overfor et interessant paradoks: Den erfarne driftslederen som kjenner anlegget som sin egen lomme, men som aldri har hørt om driftsteknologi-sikkerhet, møter den nyutdannede ingeniøren som kan cybersikkerhet, men ikke vet hvordan et vannverk fungerer i praksis.
Begge kompetansene trengs. Spørsmålet er hvordan vi får dem til å jobbe sammen.
Mens NSM snakker om avansert autentisering og atskilte nettverk, sitter det en enslig VA-sjef i en liten kommune som også er brannsjef, beredskapskoordinator og miljørådgiver. Hen har knapt tid til å oppdatere Windows, langt mindre å sette seg inn i industriell cybersikkerhet.
Dette er hverdagen for mange i bransjen.
Les også: Slik skal VA-produkter digitaliseres
For kommuner som føler seg overveldet av alle kravene, anbefaler ekspertene å starte med disse tre kritiske områdene:
Først når disse grunnleggende tiltakene er på plass, bør kommunen gå videre med mer avanserte sikkerhetstiltak.
Hvor god er den digitale infrastrukturen i vannforsyningen i din kommune? Anlegget på bildet er ikke omtalt i artikkelen. (Foto: Jørn Søderholm)
NSM har utarbeidet en sjekkliste med konkrete tiltak som vannbransjen bør implementere:
Grunnleggende sikkerhetshygiene:
Beskytt styringssystemer:
Sikre eksponerte systemer:
Styrk tilgangskontroll:
Bygg beredskap:
Les også: Bygger fremtidens vannforsyning for Ålesund og naboer
Umiddelbare tiltak som ikke koster penger:
NSM leder senteret NCC-NO, som henter penger fra EU til cybersikkerhetstiltak rettet mot norske sektorer og virksomheter. Utlysninger fra NCC-NO gjør det mulig for små og mellomstore kommuner å få midler til sentrale cybersikkerhetstiltak.
Konkrete tall: EU-midler kan dekke opp til 70% av cybersikkerhetstiltak for mindre kommuner. En grunnleggende cybersikkerhetsgjennomgang koster typisk 50-150.000 kroner, mens en dags produksjonsstans på et vannverk kan koste kommunen fra 500.000 til 2 millioner kroner.
Dette kan være en mulighet for mindre vannverk og kommunale VA-avdelinger som sliter med begrensede budsjetter.
Hva koster det å være uten vann i tre dager? Anlegget på bildet er ikke omtalt i artikkelen. (Foto: Jørn Søderholm)
En cybersikkerhetsrevisjon kan koste mer enn et mindre vannverk har i årlig vedlikeholdsbudsjett. Men hva koster det å være uten vann i tre dager?
Vi er flinke til å regne på rørskifter og pumper, men har vi regnet på hva digitale angrep kan koste oss?
Vannbransjen har hatt en tendens til å overlate det digitale til IT-konsulenter og leverandører. Men når sikkerhet blir kritisk, kan vi ikke lenger bare være "brukere" av teknologien – vi må forstå den. Spørsmålet er i hvilken grad bransjen har den kompetansen, og hvor villig man er til å investere i nødvendig oppgradering av den.
Arne Christian Haugstøyl i Nasjonal Sikkerhetsmyndighet. (Foto: NSM)
Nasjonal sikkerhetsmyndighet NSM er én av flere aktører som er opptatt av sikkerhet i vannforsyning.
Norsk Vann er i gang med å utarbeide en håndbok for sikring av vannforsyning som vil gi kommuner praktisk veiledning i sikkerhet tilpasset norske forhold. KS har også ressurser tilgjengelig for kommuner som trenger veiledning i digitale sikkerhetstiltak.
– Som sikkerhetsmyndighet er det vår oppgave å informere om sikkerhetstruende hendelser slik at norske virksomheter får iverksatt nødvendige tiltak. Formålet er å gjøre samfunnet mer motstandsdyktig, understreker Haugstøyl.
Virksomheter som forvalter skjermingsverdige verdier etter sikkerhetsloven må dessuten oppdatere risikovurderingen sin og iverksette nødvendige tiltak for å møte den økte risikoen.
To standarder er spesielt viktige for vannbransjen:
Dette er ikke tunge teoretiske dokumenter, men konkrete verktøy som viser deg steg for steg hvordan man sikrer den digitale siden av infrastrukturen.
Kanskje trenger vi ikke alle å bli cybersikkerhetseksperter, men vi må alle forstå hva som kan gå galt når det digitale og det fysiske møtes. Det handler ikke bare om å installere den nyeste sikkerhetsløsningen, men om å bygge en kultur hvor digital sikkerhet er like naturlig som å sjekke klorverdier eller kalibrere en pumpe.
Den sikkerhetspolitiske situasjonen krever at norske VA-virksomheter tar cybersikkerhet på alvor. NSMs råd er krystallklart: Ha tydelige beredskapsplaner, øv på disse, etabler reserveløsninger for kritiske funksjoner, og sørg for kapasitet til gjenoppretting.
For en bransje som forvalter samfunnskritisk infrastruktur, er det ikke lenger spørsmål om cyberangrep kommer – men når de kommer, og hvor godt forberedt vi er. Spørsmålet er om vi skal vente til det er for sent, eller om vi tar regningen for å være forberedt nå.
Viktige kontakter: