Upphandlingar utan säkerhetstänkande

Upphandlingar utan säkerhetstänkande

Energisektorns digitala system är ofta utan strategiskt skydd. Det kan ge svåra konsekvenser för elförsörjningen. – Energibranschen saknar en säkerhetsstrategi som både ser helheten och detaljerna, säger Peter Dahl på Valrex.

Varje år upphandlas material och tjänster till försörjningssektorn för mångmiljardbelopp. Ändå saknas ofta strategier för hur inköp av ny teknisk utrustning och tjänster ska förhålla sig till säkerhetsfrågorna, menar Peter Dahl, som driver konsultföretaget Valrex. Han ser hur digital säkerhet fortfarande är en icke-fråga för många av energibranschens aktörer, även för energiföretag som dagens lagstiftning kräver ett långtgående ansvar av.

Foto: Kevin Horvat.

– Energibranschen är nyvaken och det saknas ofta tillräcklig säkerhetskompetens i upphandlingar på energiområdet. Anledningen är att det råder brist på säkerhetsinsikt och påföljande ansvar i stora delar av försörjningssektorn, säger Peter Dahl.

– Resultatet blir att det inte sällan upphandlas digitala system utan ett genomtänkt strategiskt skydd. Tyvärr har upphandlingarna fått lite uppmärksamhet i säkerhetsarbetet. Här spelar upphandlingsorganisationerna en stor roll men i dag är många svenska upphandlingar nästan nakna vad gäller modern digital säkerhet.

Otäta arbetsinsatser
Enligt Peter Dahl finns det många bra punktinsatser på it-området i energibranschen och många risker åtgärdas i den dagliga verksamheten. Arbetet blir ändå ofta som att ”ösa en läckande båt”, menar han.

Peter Dahl

– Att arbeta mot spionage, digitala intrång och kartläggningar av främmande makter handlar om att göra strategiska val och peka ut strategiska leverantörer som man aktivt måste granska, diskutera med och följa upp , säger Peter Dahl.

– Då får man en försörjningsstrategi av varor och tjänster. Det är ett nytt sätt att arbeta i nära samarbete med myndigheterna.

Digitala säkerhetsstrategier inom försörjningssektorn är ett av Peter Dahls specialområden. Han har tidigare varit vd för upphandlingsorganisationen Sinfra och vice vd i Svensk Fjärrvärme, idag Energiföretagen Sverige.

När it blir ai
Det digitala spionaget är idag mycket avancerat, påpekar Peter Dahl. Det kommer främst via mjukvara men kan också vara inplanterad i viss hårdvara. Kommersiella produkter kan redan när de införskaffas innehålla spionprogram som kan vara mycket svåra att upptäcka. För energisektorn är det därför av stor vikt att upphandlingsområdet genomgås och stramas upp, menar han.

– Om morgondagens ai-teknik inte säkras och upphandlas på rätt sätt kan det få ödesdigra konsekvenser, säger Peter Dahl, något också flera ledande forskare har påpekat.

– Det behövs en helt ny förståelse för energiteknikens möjligheter och risker. Säkerhetsfrågorna har halkat bakpå medan den digitala utvecklingen har rusat fram med stordatahantering, artificiell intelligens och mönsterigenkänning.

Energiföretag kartläggs
Idag är olika typer av illegal datainsamling vanligt förekommande. Allvaret understryks inte minst av att också försvarsminister Peter Hultqvist varnar för att främmande makt har intresse av att kartlägga elnätet, menar Peter Dahl. Han känner själv till att kommunala energiföretag systematiskt kartläggs av okända ”intressenter” som i upphandlingstider plockar ut information om bolagen men utan avsikt att lämna anbud.

– Nu är hotet verkligt och akut. Vi vet att det finns länder som systematiskt försöker tränga igenom och nå våra data, både genom hårdvara och mjukvara, säger Peter Dahl.

– Mot den bakgrunden är det tydligt att energibranschens företag behöver en aktiv strategi för säkra inköp och för att säkra strategiska material och tjänster, och det är bråttom.

Tappar greppet
Att det blivit så här är egentligen inte så konstigt, menar Peter Dahl. Under lång tid har varken energibranschen eller samhället i övrigt upplevt skarpa hot mot verksamheterna.

– Hittills har upphandlingar har handlat om funktioner, pris och kanske kvalitet. Säkerhet har inte ens funnits med i underlagen, säger Peter Dahl. Alla energiföretag är emellertid själva ansvariga för sin datatrafik och därmed också hindrande av spionage eller sabotage.

Men alla energiföretag har it-säkerhetsansvariga som förmodligen menar att de har bra koll på läget?
– Ja och de kan som oftast sina frågor mycket väl men faran är att de håller på att förlora kampen. Det inflöde som ej är säkrat är större än det de hinner åtgärda.

NIS i blickfånget
Framöver kommer säkerhetsskyddslagen att ställa högre krav på̊ energiföretag än vad många i branschen idag inser, menar Peter Dahl. Det gäller både kommunala och privata aktörer.

– Det räcker inte längre att it-chefen är högutbildad. Säkerhetsfrågan måste bli en ledningsfråga där man utarbetar digitala säkerhetsstrategier i företaget och för försörjningskedjorna, säger Peter Dahl.

– På så vis får vi upp lagstiftningar som NIS och säkerhetsskyddslagen på näthinnan och först då kan vi vända trenden.

Men vad kan företagen konkret göra?
– Branschen och ledningsgrupperna måste ta tag i de strategiska frågorna, hur strukturerna kring inköp och upphandlingar ska se ut.

Rullande rutiner
– För de enskilda bolagen blir frågan vem man väljer att samarbeta med, säger Peter Dahl.

– Du måste helt konkret vrida och vända på den leverantör du ska välja, åter och åter igen vid varje ny upphandling. Här har inköpscentralerna ett stort ansvar för att erbjuda säkerhetskompetens, men det sker inte idag.

Det behövs kanske en strängare reglering?
– Nej, egentligen inte. Dagens lagstiftning är fullt tillräcklig – om den följs. Och det finns verktyg och metoder att jobba med, men branschen och energiföretagen måste sätta av resurser till det arbetet, säger Peter Dahl.

* * *

Tidningen ENERGI nr 2/2019 har tema It-säkerhet. Där berättar energibranschens upphandlingsorgansation Sinfras affärsområdeschef Lars-Eric Larsson varför it-säkerhet i första hand är en branschfråga och inte en upphandlingsfråga.

Lagen om informationssäkerhet för energisektorn baseras på EU:s NIS-direktiv (Directive for Network and Information Systems). NIS gäller från augusti 2018 och innebär nya krav på energiföretag. Energimyndigheten besvarar NIS-frågor här. Myndigheten är också tydlig med att sabotage hotar elnätens säkerhet, ett ansvar som vilar på energiföretagen. Ännu en ny svensk säkerhetsskyddslag börjar gälla den 1 april 2019.

 

Morten Valestrand
Av Morten Valestrand
Second Opinions skribent
Profil Second Opinion drivs på uppdrag av Energiföretagen Sverige. Läs mer

Vid publicering av en kommentar gäller följande regler:

– vi vill att alla som kommenterar ska vara identifierbara personer och vi vill därför för- och efternamn anges av den som kommenterar

– vi vill att diskussionen på Second Opinion ska hålla en god och respektfull ton och publicerar inte kränkande omdömen om enskilda personer.

Second Opinion förbehåller sig rätten att radera texter som bryter mot våra villkor och regler.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

*

Prenumerera på artiklar


Följ oss på Twitter

Senaste artiklarna

Skriv på Second Opinion

Alla är välkomna att skriva på Second Opinion. Vi publicerar dels artiklar som fördjupar kunskaper om energifrågor dels aktuella debattartiklar.
Skicka in din text
Vara-amnen

Ur arkivet