En ny rapport fra DNV viser at energibransjen øker sine investeringer i cybersikkerhet i år. Økte geopolitiske spenninger og med stadig mer digitalt tilkoblet infrastruktur øker sektorens bekymring for nye cybertrusler.
Et flertall (59 %) av 600 fagfolk i energisektoren som ble intervjuet av DNV i forbindelse med rapporten "Energy Cyber Priority 2023: Closing the gap between awareness and action" sier at deres organisasjon investerer mer i cybersikkerhet i 2023 sammenlignet med fjoråret. De erkjenner samtidig at cyberangrep mot bransjen er et spørsmål om "når" og ikke "om". To tredjedeler (64 %) mener at virksomhetens infrastruktur er mer sårbar for cybertrusler enn noen gang.
DNVs rapport viser at energibransjens risikoforståelse er mer moden enn tidligere. Seks av ti respondenter sier at cybersikkerhet nå er et fast punkt på agendaen i styrerommene. De fleste (77 %) rapporterer at cybersikkerhet blir behandlet som en forretningsrisiko. Et overveldende antall av respondentene (89 %) er enige om at cybersikkerhet er en forutsetning for å gjennomføre nødvendig digitalisering fremover.
– Cybersikkerhet er kritisk for energibransjen, for bransjens digitale transformasjon og for energiomstillingens akselerasjon. Akkurat som regjeringer og energiselskaper vet at de må omstille seg raskere for å nå målene i Parisavtalen, vet de også at de må handle tilsvarende raskt når det gjelder cybersikkerhet. Disse to områdene er knyttet sammen. Trygghet og sikkerhet er essensielt for at ren energiteknologi skal implementeres og drives i stor skala de kommende tiårene, sier Ditlev Engel, administrerende direktør for Energy Systems i DNV.
Sikring av operasjonell teknologi er nødvendig
Til tross for økt bevissthet, modenhet og investering i cybersikkerhet, sier mindre enn halvparten (42 %) av respondentene at deres organisasjon investerer nok. Bare en tredjedel (36 %) er trygge på at deres organisasjon har gjort tilstrekkelige investeringer for å sikre driftsteknologi (OT) – systemene som håndterer, overvåker, automatiserer og kontrollerer industrielle operasjoner.
De fleste (78 %) sier at geopolitisk usikkerhet har gjort deres organisasjon mer oppmerksom på potensielle sårbarheter i deres OT, ettersom bevisstheten om muligheten for at cyberkriminelle kan forårsake driftsstans og deaktivere sikkerhetssystemer har økt.
– Mens energiselskaper aksepterer at risikoen for cyberangrep øker, tenker enkelte i bransjen at et angrep ikke er noe som spesifikt vil skje dem, og de setter ikke av tilstrekkelig budsjett og ressurser, sier Anette Roll Richardsen, direktør for DNVs forretningsområde Cyber Security i Norge.
Strammere regulering vil åpne for ytterligere finansiering
Respondentene peker på regulering som den faktoren som mest sannsynlig vil åpne for økte budsjetter til cybersikkerhet. Nesten halvparten (49 %) nevnte det som en av de tre viktigste driverne.
Sektoren må forberede seg på å etterkomme en rekke nye og strengere krav til cybersikkerhet i årene som kommer. I EU vil for eksempel organisasjoner som tilbyr essensielle tjenester, inkludert energisektoren, møte strengere regulering gjennom det reviderte direktivet om sikkerhet for nettverk og informasjonssystemer (NIS2), som skal innarbeides i nasjonal lovgivning i 2024.
– Hvis du er godt rustet til å stå imot et cyberangrep, er det svært sannsynlig at du etterkommer reguleringer. Men å følge reguleringer garanterer i seg selv ikke nødvendigvis sikkerhet. Det krever riktig tankesett, bedriftskultur og kompetanse for å sikre at investeringer drevet av regulering fører til økt cybersikkerhet, sier Roll Richardsen.
Kompetansemangel og samarbeidsproblemer
DNVs rapport viser at respondentene er dypt bekymret for virksomhetenes evne til å rekruttere og beholde nødvendig kompetanse. Mangel på interne ferdigheter innen cybersikkerhet viser seg nå som den mest utfordrende barrieren for cybersikkerhet i bransjen.
Der kompetansen er på plass, dreier bekymringer seg om at eksperter på cybersikkerhet ofte sliter med å kommunisere og samarbeide med operative team som ikke deler deres forståelse av risikoene, samt med toppledelsen i organisasjonen. Disse utfordringene, kombinert med ulikheter i praktisk erfaring, fører til et gap i oppfatning av hvordan cybersikkerhet skal håndteres.
Tre fjerdedeler (76 %) av respondentene i DNVs undersøkelse mener at eksperter på cybersikkerhet må bli flinkere til å snakke samme språk som resten av organisasjonen. Like mange sier at deres cybersikkerhets- og ingeniørteam må lære å samarbeide mer effektivt hvis organisasjonen skal sikre eiendeler og infrastruktur i en tid der bransjen står overfor økt sårbarhet og store endringer.