IT-sikkerhet

IT-sikkerheten i vannverk og fjøs får svært lite oppmerksomhet hos tilsynsmyndigheten

Det kan ta år før det skjer noen bedring.

Styringsystem ved et norsk vannrenseanlegg, fotografert i 2015. Digi.no kjenner ikke til noe som tilsier at IT-sikkerheten ved dette anlegget er mangelfull.
Styringsystem ved et norsk vannrenseanlegg, fotografert i 2015. Digi.no kjenner ikke til noe som tilsier at IT-sikkerheten ved dette anlegget er mangelfull. (Illustrasjonsfoto: Eirik Helland Urke)
EKSTRA

Det kan ta år før det skjer noen bedring.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

I juni i år skrev digi.no om to konkrete tilfeller hvor private styringssystemer var gjort helt eller delvis tilgjengelige for alle via internett fordi eierne og/eller installatørene hadde ignorert IT-sikkerheten. Det ene dreide seg om et vannverk, det andre en fôringsrobot på en gård. 

I ettertid av dette ble digi.no kontaktet av Ole Alexander Pihl Konstad, som sitter i IKT-utvalget til fagforeningen NITO, som etter å ha lest sakene hadde stilt seg spørsmålet om hvilket sektortilsyn som har det overordnede ansvaret for å følge opp IKT-sikkerheten de to tilfellene. 

– Det slo meg da jeg leste sakene. Dette ligger under Mattilsynet. Vannverket og bonden har regler å følge. Det er det tilsynet som skal stå for, sier Konstad til digi.no. 

Han mener at når så mye arbeid overlates til datasystemer, må Mattilsynet også kontrollere IKT-sikkerheten der de har ansvar. 

– Digitaliseringen har skjedd allerede. Spørsmålet er derfor ikke hva Mattilsynet planlegger å gjøre, men hva det gjør akkurat nå, sier Konstad. 

Fraværende IT-sikkerhet?

Konstad viser til en uttalelse som Svein Forberg Liane, rådgiver i Norconsult, kom med under et fagtreff arrangert av Norsk Vann i februar i år. Der sa han ifølge VVSaktuelt at datasikkerheten ved vannverk i mindre kommuner er nærmest fraværende.

Det skal være åpne linjer rett ut. Flere vannverk driftes fra land som Nederland og Tyskland. Noe av problemet er ifølge Liane at mindre kommuner i stor grad lener seg på vurderinger og råd fra eksterne rådgivere og leverandører fordi de selv har lavere formalkompetanse og spesialisering. 

Mattilsynet gir Konstad rett i at det er de som fører tilsyn med både bønder og vannverk, også når det gjelder IKT-sikkerhet. 

Vannverkene

La oss ta for oss de norske vannverkene først.

Line Ruden, seniorrådgiver og toksikolog i seksjon hygiene og drikkevann hos Mattilsynet, viser til Drikkevannsforskriften, som har en bestemmelse om forebyggende sikring. Der heter det blant annet at «Vannverkseieren skal sikre at vannbehandlingsanlegget og alle relevante deler av distribusjonssystemet er tilstrekkelig fysisk sikret, og at alle styringssystemer er tilstrekkelig sikret mot uautorisert tilgang og bruk.» 

– Mattilsynet er tilsynsmyndighet med denne bestemmelsen, skriver Ruden i en epost til digi.no. 

Les også

På spørsmål om i hvilken grad Mattilsynet kontrollerer at IKT-sikkerheten ved slike anlegg er god, svarer Ruden:

– Vi hadde et nasjonalt tilsynsprosjekt på vannforsyningssystemenes beredskapsplaner i 2016. I dette tilsynsprosjektet så vi blant annet på driftskontroll og IKT-systemer. Hovedkonklusjonen fra prosjektet er: «De fleste vannverkene har god kontroll på tekniske forhold som driftskontrollsystemer og IKT, kontroll av fysisk adgang, strømforsyning og varslingsrutiner.», skriver Ruden. 

Hun forteller samtidig at dette tilsynsprosjektet ble gjennomført før ny drikkevannsforskrift ble vedtatt. I den forrige drikkevannsforskriften var det ifølge Ruden ikke et like eksplisitt krav til at styringssystemer skal være tilstrekkelig sikret.

Ikke siden 2016

– Vi opplever dessuten at samfunnet har blitt mer oppmerksomme på problemstillinger knyttet til IT-sikkerhet siden da. Kanskje ligger lista høyere nå for hva som er bra nok. Norsk Vann har for eksempel nylig utgitt en bransjerapport som heter «Informasjonssikkerhet og skybaserte tjenester for vannbransjen». Noe av informasjon fra denne er tatt inn i vår regelverksveileder, fortsetter Ruden. 

Hun forteller videre at Mattilsynet har ikke hatt dette som et spesielt tilsynsfokus siden 2016. 

– Vannforsyningssystem er store og kompliserte systemer, som består av mange kritiske funksjoner som må være i orden for at det skal kunne produseres nok, trygt drikkevann. Når vi velger ut hvilke deler av vannforsyningssystemet vi skal ha spesielt fokus på ved tilsyn, velger vi en kombinasjon av det vi oppfatter som mest kritisk for å nå målet om nok, trygt drikkevann til alle, og det som det er en stund siden vi har undersøkt.

– Beredskap og forebyggende sikring, herunder IT-sikkerhet, faller absolutt inn under det vi mener er kritisk. Det er derfor sannsynlig at vi vil kjøre en ny runde med tilsynsfokus på dette innen få år, skriver Ruden. 

– Selv om IT-sikkerhet ved vannforsyningssystem ikke har vært det vi kaller «tilsynsfokus» de seneste årene, har vi likevel gjennomført noen enkeltstående tilsyn med dette ved noen vannforsyningssystem.

Avvises ikke

Digi.no spør Ruden om Mattilsynet likevel har noe inntrykk av hvordan det står til med IT-sikkerheten hos spesielt de mindre vannverkene. Det var som nevnt disse som ble trukket fram av Norconsult-rådgiveren Svein Forberg Liane. 

Les også

– Vi har ikke nok informasjon til å kunne uttale oss bastant om hvordan IT-sikkerheten er ved mindre vannforsyningssystem. Likevel kan vi nok si at vi ikke blir overrasket hvis det Svein Forberg Liane sier er sant. Vi har i ulike sammenhenger sett at kompetansen generelt ofte er lavere ved mindre vannforsyningssystem, og det er ingenting som tilsier at dette ikke også gjelder IT-sikkerhet, skriver Ruden. 

Har fått bistand

På spørsmål om Mattilsynet bør varsles dersom det oppdaget svikt i IT-sikkerheten ved vannverk, og om tilsynet har selv har kompetanse til å følge opp dette, svarer Ruden: 

– Mattilsynet vil gjerne varsles ved mistanke om at IT-sikkerheten ved et vannforsyningssystem er mangelfull. En slik varsling kan gjerne gjøres via «varslingsknappen» på nettsidene våre. Her tar vi imot bekymringer innen alle Mattilsynets fagområder. 

– I de tilfellene hvor vi har ført tilsyn med IT-sikkerhet i senere tid, har drikkevannsinspektørene fått bistand fra fagfolk med denne spesialkompetansen. Før vi kjører et spesifikt tilsynsfokus på et slikt tema, vil vi ha behov for mer utstrakt intern opplæring, avslutter Ruden. 

Hos bøndene

Torunn Knævelsrud, som er sjef for seksjon Dyrevelferd hos Mattilsynet, skriver til digi.no at bonden selv som har ansvaret for løsningene han eller hun har valgt, blir vedlikeholdt og ettersett slik at kravene i regelverket blir overholdt.

Torunn Knævelsrud, seksjonssjef, seksjon Dyrevelferd i Mattilsynet
Torunn Knævelsrud, seksjonssjef, seksjon Dyrevelferd i Mattilsynet. Foto: Mattilsynet/Bård Gudim

– Bonden har ansvar for at dyrene har det bra, og Mattilsynet har hovedansvar for å se til at dyrevelferdsloven blir fulgt, og at dyrenes grunnleggende behov blir dekket. Digitaliseringen i landbruket har pågått lenge, med for eksempel robotmelkemaskin og databrikker for fôrtildeling. Det er viktig at dyrene faktisk blir melket etter behov på forsvarlig måte, og at dyrene får fôr og vann slik de har behov for, men det er opp til bonden å velge løsninger, skriver Knævelsrud til digi.no. 

Ikke kjent med IT-angrep utenfra

– Hvis teknisk svikt, hacking eller manglende oppfølging fra bonden selv, rammer dyrevelferden, har Mattilsynet rett og plikt til å gripe inn. Hvis vi på tilsyn for eksempel avdekker at feil i styringssystemene har ført til at dyrene ikke har fått fôr og vann, så vil det være naturlig å fatte vedtak om utbedringer.

– Vurdering av IT-sikkerhet i seg selv er ikke noe som sees spesielt på, på tilsyn, men velfungerende løsninger er en forutsetning for at dyrevelferden ivaretas. Vi er ikke kjent med tilfeller av IT-angrep utenfra, men vi har for eksempel tidligere sett enkelte tilfeller der svikt i ventilasjonsanlegget har rammet dyrene, noe som er svært alvorlig.

Knævelsrud avslutter med å understreke at de alvorligste dyrevelferdssakene tilsynet avdekker, som regel skyldes menneskelig svikt, ikke teknisk svikt.

Les også

Kommentarer (3)

Kommentarer (3)
Til toppen