VIL STATKRAFTS IT-OUTSOURCING TIL INDIA GI BEDRE SIKKERHET?


Lise Lyngsnes Randeberg, president i Tekna

Foto: CF-Wesenberg@kolonihaven.no


Statkraft har inngått avtale med indiske HCL om outsourcing av administrative IT-systemer. Tekna stiller spørsmål ved om dette faktisk vil bedre sikkerheten, gitt det vi i dag vet om risiko og sårbarhetsbildet for kritisk infrastruktur.

Statkraft hevder at en outsourcet kontordel vil være isolert fra driftssystemene for kraftproduksjon. Norges vassdrags- og energidirektorat, NVE, beskriver i forslag til nye beredskapsforskrifter at avanserte trusselaktører ofte benytter kontor og administrative systemer som inngangsport til de mer kritiske driftssystemene for kraftproduksjon. Digitaliseringen gjør det vanskelig å skille systemer for administrasjon fra drift. Tekna stiller spørsmål ved hva slags risiko- og sårbarhetsvurderinger som er gjort og om Statkraft har tatt høyde for et slikt scenario.

Tekna blir ikke overrasket om Statkraft blir den neste norske forvalter av kritisk infrastruktur som må reversere outsourcing av IT til utlandet. Helse Sør-Øst, Statoil og DNB har erfart at mangelfulle risiko- og sårbarhetsvurderinger har skapt problemer for drift og sikkerheten. Tjenesteutsettingen har blitt trukket tilbake. Vi håper at Statkraft har hatt tett kontakt med Statoil og lært av deres erfaringer.

Statkraft har, som forvalter av kritisk infrastruktur, ansvar for å vurdere sikkerheten i egne systemer. Statkraft bør i sine vurderinger også ta hensyn til risikoscenarier slik de er åpent kommunisert av overordnede myndigheter. Etterretningstjenestens rapport Fokus 2018 viser til at både styrings- og administrasjonssystemer for kraft er særlig utsatt.
Stortinget har nettopp vedtatt ny sikkerhetslov hvor en samlet opposisjon ønsker å legge kraftsektoren inn under loven. Stortinget forutsetter at sektormyndighetene selv bestemmer dette og regjeringen er i gang med å utforme forskrifter i tråd med dette som skal gjelde fra januar 2019. Dette vil føre til at samfunnssikkerhet må vurderes ved outsourcing av informasjonssystemer.

Hvis Statkraft ikke ser risiko der våre folkevalgte og våre fagmyndigheter ser det, har ikke bare Statkraft et problem. Da har Norge en sikkerhetsutfordring. Vi håper derfor at det er gjennomført grundige sikkerhet og sårbarhetsvurderinger i Statkraft som inkluderer vurdering av teknisk-, kompetanse- og landrisiko.

 

 

Annonse