Innsidetrusselen i kraftbransjen

Kraftsektoren er en av Norges mest kritiske infrastrukturer. Uten stabil og sikker strøm stopper sykehus, digital infrastruktur, industri, nødetater og samfunnets grunnleggende funksjoner. Samtidig øker kompleksiteten og sårbarheten i sektoren: mer digitalisering, mer fjernstyring, mer integrasjon mellom IT og OT, og et skjerpet trusselbilde.Mens oppmerksomheten ofte rettes mot cyberangrep og eksterne aktører, peker både nasjonale og internasjonale erfaringer på noe annet:

Den mest utfordrende risikoen kan komme innenfra – fra personer med legitim tilgang.

Dette er innsidetrusselen.

Hva er innsidetrusselen?

En innsidetrussel handler om risiko som oppstår fra personer på innsiden av virksomheten. Dette er aktører som allerede har legitim tilgang til systemer, informasjon eller fysiske områder, og som kan påføre virksomheten skade, enten bevisst eller ubevisst.

Typiske former for innsidetrusler er:

• Ansatte eller innleid personell som misbruker sin tilgang
  Personer som bevisst bruker rettigheter og tilgang de har fått i jobbsammenheng til å hente ut, endre eller misbruke informasjon, systemer eller verdier.
• Personer som blir utsatt for påvirkning, press eller utpressing
  Medarbeidere kan over tid bli sårbare for påvirkning utenfra, for eksempel gjennom økonomiske problemer, personlige relasjoner eller trusler, noe som kan føre til handlinger som skader virksomheten.
• Medarbeidere som bryter rutiner eller mangler sikkerhetsforståelse
  Mange innsidetrusler oppstår uten onde hensikter, som følge av manglende opplæring, lav bevissthet eller brudd på etablerte rutiner og retningslinjer..

Hvorfor er det vanskelig å oppdage innsidetrusler?

Det som gjør innsidetrusselen spesielt krevende å avdekke, er at disse personene allerede opererer innenfor virksomhetens tillitsrammer. De har:

• Riktige kort, som gir fysisk adgang til bygg og områder
• Riktige tilganger, til systemer, applikasjoner og sensitiv informasjon
• Riktig kompetanse, som gjør at handlingene fremstår som faglig begrunnet
• Legitim tilstedeværelse, som gjør at aktivitet sjelden vekker mistanke

Der eksterne trusselaktører må bryte seg inn, omgå sikkerhetsmekanismer og etterlate spor, har insideren allerede den tilgangen som trengs. Dette gjør at uønskede handlinger ofte kamufleres som normal arbeidsaktivitet, og at tradisjonelle sikkerhetstiltak alene ikke er tilstrekkelige for å håndtere innsiderisiko.

Hvorfor kraftbransjen er spesielt utsatt

Kraftforsyningen skiller seg ut fra andre sektorer på flere måter:

• Tilgang til driftssensitive systemer (SCADA, styringssystemer, driftssentraler)
• Små, spesialiserte fagmiljøer, ofte med få erstatningspersoner
• Leverandørkjeder med ujevn sikkerhetsmodenhet
• IT/OT-integrasjon, som gjør feil mer alvorlige enn før
• Høy geopolitisk verdi, der kartlegging og påvirkning er reelle trusler

Her kan en enkelt handling, med eller uten intensjon, gi store driftsmessige konsekvenser eller svekke beredskapen.

Krav i kraftberedskapsforskriften (§ 6-7)

Kraftberedskapsforskriften stiller tydelige krav til personkontroll.
KBO-enheter skal gjennomføre bakgrunnssjekk før ansettelse, og kan også kreve kredittsjekk for personer som skal få tilgang til anlegg eller systemer i klasse 2 og 3. Før kredittsjekk tas i bruk, må virksomheten gjøre en risikovurdering, og opplysningene skal slettes etter endt vurdering.

Formålet er å sikre at personer med tilgang til klassifiserte systemer og anlegg er egnet og tilstrekkelig vurdert. Kravet gjelder ikke for personell som er sikkerhetsklarert etter sikkerhetsloven.

I praksis velger mange virksomheter å gå lenger enn minstekravene og inkludere innleid personell, leverandører, underleverandører og personer med indirekte teknisk tilgang som et ekstra sikkerhetslag rundt kritiske systemer.

Les hele kraftberedskapsforskriften på Lovdata sine sider.

Personellsikkerhet: helheten som reduserer innsidetrusselen

Personellsikkerhet handler ikke om å mistenkeliggjøre ansatte. Det handler om:

• riktig tilgang til riktig person til riktig tid
• forståelse for risiko både før, under og etter ansettelse
• prosesser som oppdager endringer tidlig

Et solid personellsikkerhetsarbeid består blant annet av:

• grundig og risikobasert tilgangsstyring
• opplæring og bevisstgjøring om sikkerhetsrutiner
• strukturerte onboarding- og offboarding-prosesser
• rutiner for varsling av bekymringer
• løpende vurderinger av endringer som kan øke sårbarhet

Når dette fungerer godt, reduseres både bevisste og utilsiktede innsidetrusler.

Bakgrunnssjekk og sårbarhetsvurderinger er kritiske tiltak i sensitive roller

I kraftbransjen er bakgrunnssjekk ikke en formalitet, den er en integrert del av beredskapsarbeidet. Bakgrunnssjekk gir:

• et faktabasert bilde av historikk og integritet
• avklaringer knyttet til økonomi, identitet og tidligere roller
• grunnlag for vurdering av egnethet for tilgang til kritisk infrastruktur

Les mer om hvordan du kan bygge gode bakgrunnssjekkrutiner her.

Sårbarhetsvurderinger og sikkerhetssamtaler utfyller dette ved å gi innsikt i forhold som kan endre seg over tid, som:

• endringer i livssituasjon
• belastning eller stressfaktorer
• påvirkningsfare
• problematiske tilknytninger
• rolleendringer

Sammen gir disse to metodene en langt mer robust vurdering av risiko enn noen av dem alene.

Fra kontroll til tillit: en sunn sikkerhetskultur

Effektivt personellsikkerhetsarbeid handler like mye om å skape trygghet som å håndtere risiko.

Når tiltakene er:

• forutsigbare
• rettferdige
• tydelig kommunisert
• profesjonelt gjennomført

…øker også tilliten internt. Ansatte forstår sin rolle i å beskytte virksomheten, og sikkerhetskulturen blir sterkere og mer motstandsdyktig.

Semacs tilbyr fagkompetanse for en tryggere kraftforsyning

Semac støtter kraftsektoren med:

• profesjonelle bakgrunnssjekker
• sårbarhetsvurderinger og sikkerhetssamtaler
• rådgivning knyttet til kravene i § 6-7
• etablering av risikobaserte prosesser for tilgangstildeling
• oppfølging gjennom hele livssyklusen for personell med kritisk tilgang

Målet er å gi virksomhetene et tydeligere risikobilde – og bedre beslutningsgrunnlag.

Ønsker du å styrke arbeidet med personellsikkerhet eller oppfylle kravene i § 6-7?

Semac bistår gjerne med innsikt og veiledning. Ta kontakt for en uforpliktende prat om hvordan dere kan styrke sikkerheten rundt kritiske tilganger.