En av de største trendene innenfor IT er skybaserte løsninger, og stadig flere virksomheter flytter over i skyen – også innen energibransjen. Men hva sier egentlig NVE om bruken av skytjenester i nettdriften?
Energibransjen står overfor en betydelig digitalisering. AMS-infrastruktur rulles ut i stor skala, sensorteknologi får større og større plass i strømnettet og skytjenester blir mer og mer utbredt. Denne teknologiske utviklingen åpner for en langt mer effektiv styring og drift av nettet. Samtidig bringer den med seg nye utfordringer i form av IKT-sikkerhet.
Enkelt beskrevet er en skyløsning en skalerbar tjeneste som tillater deg å lagre, prosessere og hente ut data internett. Følger vi Datatilsynets definisjon, er det en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett.
Fordelene med å legge deler av IT-plattformen ut i skyen er mange. For det første gir det virksomheter muligheten til å bygge skalerbare tjenester når det gjelder båndbredde, lagringskapasitet og prosessorkraft. For det andre gir skytjenester tilgang til tjenestene uansett hvor brukeren måtte befinne seg. For det tredje innehar skytjenester potensialet for store økonomiske besparelser sammenlignet med å drifte selv. Man betaler kun for den prosessorkraften og/eller den mengden lagret informasjon man faktisk behøver.
For nettselskaper spesifikt vil skybaserte tjenester kunne skape nye driftsmuligheter i den Big Data-hverdagen vi befinner oss i. Det gir muligheten til å bygge skalerbare tjenester som tillater en å snu seg raskt i et marked som kommer til å generere store mengder data som må behandles og analyseres raskt.
Her i Norge er NVE en premissgiver for å tenke sikkerhet gjennom hele verdikjeden til nettselskapene, også når det gjelder bruk av nye teknologier. Så hvilke retningslinjer gir NVE oss når det gjelder bruken av skytjenester i nettdriften?
Se også vår ressursside om effektiv nettdrift i en digital verden.
Til tross for fordelene og mulighetene i skybaserte løsninger har det tidvis vært en betydelig skepsis mot bruk av skytjenester, og det eksisterer enkelte risikofaktorer knyttet til bruken av teknologien. I NVEs rapport «Regulering av IKT-sikkerhet» fra 2017, har en arbeidsgruppe kartlagt en rekke risikoer og sårbarheter som følger av digitaliseringen av energiforsyningen – alt fra målrettede trusler fra mennesker og digitale sårbarhet i administrative systemer til trusler mot AMS og konsentrasjonsrisikoer.
Når det gjelder skytjenester spesielt peker de på at det å lagre noe i skyen kan medføre at data ligger lagret fysisk utenfor Norge og overføres gjennom infrastruktur i et tredjeland. Er ikke innholdet sikret godt nok, kan det føre til at kritiske data havner utenfor kontrollen til virksomheten. Videre peker rapporten på introduksjonen av en rekke andre, nye sårbarheter som utfordringer med eierskap til data, vanskeligheter med å skifte leverandør og muligheten til å holde kjernevirksomheten i gang dersom IT-leverandørens internettforbindelse går ned.
Les også: Sky er sky? 5 forutsetninger for en vellykket skystrategi
Til tross for risikoene er det ingen konkrete forbud mot, eller regulering av, bruk av skytjenester i nettdriften i energiloven eller beredskapsforskriften. Sistnevnte har imidlertid strenge krav om å sikre informasjon som kan benyttes til å skade anlegg eller system i energiforsyningen. Denne informasjonen, såkalt kraftsensitiv informasjon, omfatter informasjon som gjelder infrastruktur, produksjon og transmisjon som kan brukes til planlegging av sabotasje, lokaliseringsinformasjon eller som er unntatt offentligheten.
Som arbeidsgruppen i NVEs rapport påpeker, er det imidlertid uklare regler rundt lagring av kraftsensitiv informasjon. På en side er det ikke eksplisitte forbud mot bruk av skytjenester i regelverket. På en annen side setter regelverket strenge krav til beskyttelse av kraftsensitiv informasjon.
Graver vi litt videre skriver NVE i sin veiledning til beredskapsforskriften fra 2013 at det er et forbud mot å bruke skytjenester for overvåking og styring av anlegg i energiforsyningen. I den samme veilederen gir NVE også følgende anvisninger om man likevel velger å ta i bruk skytjenester:
Denne veiledningen er imidlertid i ferd med å endre seg. I en senere rapport, «Teknologiskifte i energiforsyningen» fra 2015, skriver NVE at det er viktig at beredskapsforskriften revideres på en måte som gjør at den tar høyde for den teknologiske utviklingen og legger til rette for en sikker utvikling av tjenester kan gi bedre nettnytte og forsyningssikkerhet.
I den tidligere nevnte rapporten «Regulering av IKT-sikkerhet» har arbeidsgruppen gitt en rekke anbefalinger om hvordan det eksisterende regelverket kan tydeliggjøres slik at det ikke hindrer innovasjon og utvikling. Når det gjelder bruk av skytjenester i nettdriften kom de frem til følgende anbefalinger til endringer:
Fordelen ved bruk av skytjenester må vurderes opp mot risikokostnaden. Noe av risikokostnadene må kunne dekkes og reduseres for selskapet gjennom en Service-Level-Agreement (SLA) med leverandøren.
Virksomheten må gjøre en verdivurdering av informasjonen. Kravene til redundans blir strengere jo høyere verdien på informasjonen er. Informasjon som er kritisk for drift og beredskap, eller spesielt viktig med tanke på rikets sikkerhet, kan det være viktig å ha lokale kopier av. Denne informasjon må kun lagres nasjonalt.
Minimumskrav til hva som må kontraktsfestes. Virksomheten må kontraktfeste minimum følgende:
Kontroll- og styringssystemer i energiforsyningen bør ikke tillates lagt i skyen. Det betyr at SCADA ikke skal legges i skyen. DMS, derimot, kan legges i en skyløsning forutsatt at data sikres og at det kun er et overvåkningssystem uten styringsfunksjonalitet. Det er også verdt å merke seg at dersom AMS med bryte- og strupefunksjonalitet integreres med driftskontrollsystemer, vil de delene av AMS som er sammenkoblet med SCADA defineres som et driftskontrollsystem.
Kraftsensitiv informasjon må lagres innen EU. Som en følge av den stadig tettere sammenkoblingen av Europas energiinfrastruktur, mener arbeidsgruppen at EU kan være en mulig grense når det gjelder lagring av kraftsensitiv informasjon. Likevel bør virksomheten gjøre en risikoanalyse av den valgte løsningen for lagring, overføring og deling av kraftsensitiv informasjon.
Digitaliseringen av energibransjen skaper unektelig en rekke fordeler for nettdriften, men det er viktig at nettselskapene setter seg inn i, og forstår, risikoene som følger med en økt bruk av teknologi i verdikjeden – inkludert skytjenester. Det er ikke et direkte forbud mot skytjenester i regelverket, men enkelte typer informasjon er så kritisk at kravene til sikkerhet er høy. Dagens retningslinjer er tidvis uklare, men mye tyder på at det vil komme nye regler og retningslinjer som vil gjøre det enklere å vurdere bruken av skytjenester. Jeg håper denne korte artikkelen har gitt deg noen gode råd på veien.