Energiselskapene ønsker seg et nasjonalt samarbeid i arbeidet med IKT-anskaffelser og tjenesteutsetting. De synes det er vanskelig å stille gode nok krav til leverandørene på egenhånd. I en fersk NVE-rapport anbefales en slik løsning. Det bør lages felles krav til bruk i tjenesteutsetting av IKT og bestilling av nye IKT-systemer, heter det. Også energisektoren er utsatt for uønskede IKT-hendelser, både tilfeldige og målrettede. Dataangrep mot virksomheter via digitale verdikjeder ser ut til å være økende, samtidig som bruk av skytjenester og tjenesteutsetting av IT-driften griper om seg.
Som del av et prosjekt innen digital proaktiv beredskap har NVE sett på hvilke tiltak som kan redusere sjansen for uønskede IKT-hendelser ved tjenesteutsetting. Rapporten fra undersøkelsen, «IKT-sikkerhet ved anskaffelser og tjenesteutsetting i energibransjen», foreligger nå.
Undersøkelsen avdekket bl.a. for å utarbeide nøyaktige krav som ikke gir rom for tolkning, kreves store ressurser, og til og med de største selskapene trenger ekstern hjelp i slike prosesser. Selskapene forteller at for å gjøre gode bestillinger må de ha tverrfaglig kompetanse, både innen business, IKT og jus.
Bransjesamarbeid
På bakgrunn av dette er en av anbefalingene i rapporten at det bør arbeides med et bransjesamarbeid for å utarbeide felles krav til bruk i tjenesteutsetting av IKT og bestilling av nye IKT-systemer. Ved at bransjen går sammen vil det sannsynligvis bli lettere å få gjennomslagskraft i forhandlinger med de største leverandørene. En observasjon som refereres, er at et felles europeisk krav om personvern har ført til at leverandører over hele verden har måttet tilpasse seg.
Når en virksomhet har tatt beslutningen om å sette ut en tjeneste eller kjøpe inn et produkt, er det fortsatt veldig mye arbeid som må gjøres. En del av dette arbeidet er å vurdere sikkerheten hos leverandøren. Dette er en betydelig mengde arbeid og det er vanlig at selskap leier inn ekstern kompetanse for å ta seg av mindre eller større deler av dette arbeidet. Mindre selskaper kan ha problemer med å finne denne kompetansen eller har ikke råd til å ansette ekstern hjelp. Det kan ende opp med å gå ut over sikkerheten hos systemene til kunden, sikkerhetstilstanden i tjenesteforholdet, eller eventuelt påvirke det totale sikkerhetsbildet i energibransjen i Norge. Det er vanskelig for et energiselskap å undersøke sikkerheten gjennom hele verdikjeden.
Stort sett kontroll på IKT-sikkerhet
Under intervjuene fortalte leverandørene at de stort sett hadde kontroll på IKT-sikkerheten ett ledd ned i leverandørkjeden, men ikke spesielt lenger. Verdikjedene kan bli veldig lange, spesielt i tilfeller med maskinvareleverandører. Det er ikke praktisk mulig eller nødvendig å undersøke sikkerheten helt ned til selskapet som utvinner råmaterialet, og for så vidt ender ikke verdikjeden hos dem heller. En mulig løsning er sertifisering med anerkjente rammeverk som er utbredt i industriell sammenheng, heter det i rapporten.
En annen anbefaling i rapporten er at energiselskapene bør benytte seg av en kontraktsfestet rett til å komme på tilsyn hos sine leverandører. Dette kan bidra til å oppdage sikkerhetsfeil og mangler. Tilsynsbesøk er en god måte for selskapene å kontrollere at de får det produktet de betaler for. I følge beredskapsforskriften er energiselskapene dessuten forpliktet til å påse at leverandørene oppfyller de samme sikkerhetskravene som de selv er pålagt.
Bli den første til å kommentere på "Vil ha samarbeid for å utvikle gode nok sikkerhetskrav til IKT-leverandører"