Intelligence First: The eSmart Systems Blog

Forbudt? Hva sier NVE til bruk av skytjenester i nettdriften?

Skrevet av Erik Åsberg | 7. desember 2017

En av de største trendene innenfor IT er skybaserte løsninger, og stadig flere virksomheter flytter over i skyen – også innen energibransjen. Men hva sier egentlig NVE om bruken av skytjenester i nettdriften?

Energibransjen står overfor en betydelig digitalisering. AMS-infrastruktur rulles ut i stor skala, sensorteknologi får større og større plass i strømnettet og skytjenester blir mer og mer utbredt. Denne teknologiske utviklingen åpner for en langt mer effektiv styring og drift av nettet. Samtidig bringer den med seg nye utfordringer i form av IKT-sikkerhet. 

En kort introduksjon til skytjenester

Enkelt beskrevet er en skyløsning en skalerbar tjeneste som tillater deg å lagre, prosessere og hente ut data internett. Følger vi Datatilsynets definisjon, er det en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. 

Fordelene med å legge deler av IT-plattformen ut i skyen er mange. For det første gir det virksomheter muligheten til å bygge skalerbare tjenester når det gjelder båndbredde, lagringskapasitet og prosessorkraft. For det andre gir skytjenester tilgang til tjenestene uansett hvor brukeren måtte befinne seg. For det tredje innehar skytjenester potensialet for store økonomiske besparelser sammenlignet med å drifte selv. Man betaler kun for den prosessorkraften og/eller den mengden lagret informasjon man faktisk behøver.

For nettselskaper spesifikt vil skybaserte tjenester kunne skape nye driftsmuligheter i den Big Data-hverdagen vi befinner oss i. Det gir muligheten til å bygge skalerbare tjenester som tillater en å snu seg raskt i et marked som kommer til å generere store mengder data som må behandles og analyseres raskt.

Her i Norge er NVE en premissgiver for å tenke sikkerhet gjennom hele verdikjeden til nettselskapene, også når det gjelder bruk av nye teknologier. Så hvilke retningslinjer gir NVE oss når det gjelder bruken av skytjenester i nettdriften?

Se også vår ressursside om effektiv nettdrift i en digital verden. 

Et digitalt trusselbilde og sårbarheter i skytjenester

Til tross for fordelene og mulighetene i skybaserte løsninger har det tidvis vært en betydelig skepsis mot bruk av skytjenester, og det eksisterer enkelte risikofaktorer knyttet til bruken av teknologien. I NVEs rapport «Regulering av IKT-sikkerhet» fra 2017, har en arbeidsgruppe kartlagt en rekke risikoer og sårbarheter som følger av digitaliseringen av energiforsyningen – alt fra målrettede trusler fra mennesker og digitale sårbarhet i administrative systemer til trusler mot AMS og konsentrasjonsrisikoer.

Når det gjelder skytjenester spesielt peker de på at det å lagre noe i skyen kan medføre at data ligger lagret fysisk utenfor Norge og overføres gjennom infrastruktur i et tredjeland. Er ikke innholdet sikret godt nok, kan det føre til at kritiske data havner utenfor kontrollen til virksomheten. Videre peker rapporten på introduksjonen av en rekke andre, nye sårbarheter som utfordringer med eierskap til data, vanskeligheter med å skifte leverandør og muligheten til å holde kjernevirksomheten i gang dersom IT-leverandørens internettforbindelse går ned.

Les også: Sky er sky? 5 forutsetninger for en vellykket skystrategi

Hva sier regelverket og NVE om bruk av skytjenester i nettdriften i dag?

Til tross for risikoene er det ingen konkrete forbud mot, eller regulering av, bruk av skytjenester i nettdriften i energiloven eller beredskapsforskriften. Sistnevnte har imidlertid strenge krav om å sikre informasjon som kan benyttes til å skade anlegg eller system i energiforsyningen. Denne informasjonen, såkalt kraftsensitiv informasjon, omfatter informasjon som gjelder infrastruktur, produksjon og transmisjon som kan brukes til planlegging av sabotasje, lokaliseringsinformasjon eller som er unntatt offentligheten.

Som arbeidsgruppen i NVEs rapport påpeker, er det imidlertid uklare regler rundt lagring av kraftsensitiv informasjon. På en side er det ikke eksplisitte forbud mot bruk av skytjenester i regelverket. På en annen side setter regelverket strenge krav til beskyttelse av kraftsensitiv informasjon. 

Graver vi litt videre skriver NVE i sin veiledning til beredskapsforskriften fra 2013 at det er et forbud mot å bruke skytjenester for overvåking og styring av anlegg i energiforsyningen. I den samme veilederen gir NVE også følgende anvisninger om man likevel velger å ta i bruk skytjenester:

  • En grundig vurdering av hva slags informasjon som skal legges over i skyen
  • En risikovurdering der for eksempel tap eller mangel på tilgjengelighet av informasjon vurderes
  • En vurdering av sikkerhetsnivået på skytjenesten, i form av at man sikrer at kun de som har tilgang på informasjon får tilgang
  • Finne ut om man kan dokumentere om energisensitiv informasjon lagres fysisk i Norge
  • Undersøke om leverandøren kan garantere at de har interne og eksterne sikkerhetsmekanismer som sikrer at uvedkommende ikke får tilgang til dokumentene
  • KBO-enheten må sikres adgang til å foreta inspeksjoner av lokalitetene der informasjonen lagres gjennom avtalen med leverandøren
  • Utarbeide sikkerhetsavtaler med leverandøren
  • Sikre at NVE har rett til å føre tilsyn med etterlevelse av bestemmelsene om informasjonssikkerhet i avtalen med leverandøren

Denne veiledningen er imidlertid i ferd med å endre seg. I en senere rapport, «Teknologiskifte i energiforsyningen» fra 2015, skriver NVE at det er viktig at beredskapsforskriften revideres på en måte som gjør at den tar høyde for den teknologiske utviklingen og legger til rette for en sikker utvikling av tjenester kan gi bedre nettnytte og forsyningssikkerhet. 

Kommende krav til bruk av skytjenester i nettdriften

I den tidligere nevnte rapporten «Regulering av IKT-sikkerhet» har arbeidsgruppen gitt en rekke anbefalinger om hvordan det eksisterende regelverket kan tydeliggjøres slik at det ikke hindrer innovasjon og utvikling. Når det gjelder bruk av skytjenester i nettdriften kom de frem til følgende anbefalinger til endringer:

Fordelen ved bruk av skytjenester må vurderes opp mot risikokostnaden. Noe av risikokostnadene må kunne dekkes og reduseres for selskapet gjennom en Service-Level-Agreement (SLA) med leverandøren. 

Virksomheten må gjøre en verdivurdering av informasjonen. Kravene til redundans blir strengere jo høyere verdien på informasjonen er. Informasjon som er kritisk for drift og beredskap, eller spesielt viktig med tanke på rikets sikkerhet, kan det være viktig å ha lokale kopier av. Denne informasjon må kun lagres nasjonalt. 

Minimumskrav til hva som må kontraktsfestes. Virksomheten må kontraktfeste minimum følgende: 

  • Eierskap til data gjennom et tydelig regelverk.
  • Krav til at skyleverandøren har sertifisering, som for eksempel ISO 27018.
  • Krav til økonomi og konkursbeskyttelse. Det betyr at om du bruker en skytjeneste, må du ha rett til å flytte dataene dine hjem om leverandøren skulle gå konkurs.
  • En exit-strategi som viser hvordan data kan tas tilbake i eget eller annet datasenter dersom det er ønskelig. Dette kan være aktuelt om dersom leverandøren blir kjøpt opp og tjenestetilbudet endres. Økonomi og praktiske forhold må også avklares.
  • Virksomheten bør sikres tilgang til tredjeparts revisjonsrapport for tilsyn med leverandøren.
  • Krav til at virksomheten varsles dersom uønskede hendelser oppstår og dataene blir kompromittert.

Kontroll- og styringssystemer i energiforsyningen bør ikke tillates lagt i skyen. Det betyr at SCADA ikke skal legges i skyen. DMS, derimot, kan legges i en skyløsning forutsatt at data sikres og at det kun er et overvåkningssystem uten styringsfunksjonalitet. Det er også verdt å merke seg at dersom AMS med bryte- og strupefunksjonalitet integreres med driftskontrollsystemer, vil de delene av AMS som er sammenkoblet med SCADA defineres som et driftskontrollsystem. 

Kraftsensitiv informasjon må lagres innen EU. Som en følge av den stadig tettere sammenkoblingen av Europas energiinfrastruktur, mener arbeidsgruppen at EU kan være en mulig grense når det gjelder lagring av kraftsensitiv informasjon. Likevel bør virksomheten gjøre en risikoanalyse av den valgte løsningen for lagring, overføring og deling av kraftsensitiv informasjon. 

Konklusjon

Digitaliseringen av energibransjen skaper unektelig en rekke fordeler for nettdriften, men det er viktig at nettselskapene setter seg inn i, og forstår, risikoene som følger med en økt bruk av teknologi i verdikjeden – inkludert skytjenester. Det er ikke et direkte forbud mot skytjenester i regelverket, men enkelte typer informasjon er så kritisk at kravene til sikkerhet er høy. Dagens retningslinjer er tidvis uklare, men mye tyder på at det vil komme nye regler og retningslinjer som vil gjøre det enklere å vurdere bruken av skytjenester. Jeg håper denne korte artikkelen har gitt deg noen gode råd på veien.