Vandforsyninger i Europa oplever et stigende antal cyberangreb

En gruppe af hackere skaffede sig midt i august adgang til it-systemet i vandselskabet South Staffordshire PLC i det sydlige Midtengland. Hackerne truede med at offentliggøre interne dokumenter og afsløre, hvordan de brød ind i systemet, medmindre de fik en løsesum.

Et sådant ransomware-angreb, som det kaldes, er en typisk form for cyberkriminalitet. Dog er hackeres foretrukne metode at kryptere dokumenter, indtil de får den krævede betaling.

Britiske cybersikkerhedseksperter udtalte, at angrebet formentlig var inspireret af sommerens tørke i regionen.

South Staffordshire PLC, som driver forsyninger i Cambridge og Birmingham-området, oplyste, at der var uregelmæssigheder i det administrative it-system som følge af angrebet, men at hændelsen ikke påvirkede kapaciteten til at forsyne aftagerne med rent drikkevand.

Selskabet fulgte rådet fra det britiske nationale cybersikkerhedscenter om at undlade at udbetale en løsesum. At give efter kunne opmuntre til yderligere angreb, hed det. Samtidig besluttede selskabet at iværksætte yderligere forebyggende sikkerhedsforanstaltninger.

EurEau er sammenslutningen af nationale vandsektororganisationer i europæiske lande, og de følger udviklingen i Europa.

”Mange af vores medlemmer har bemærket en stigning i antallet af angreb,” siger Oliver Loebel, generalsekretær i EurEau.

Hidtil har vandsektoren, ifølge Loebel, ikke været et specifikt mål. Men han vurderer, at dette kan ændre sig.

”Vi må desværre forvente øgede sikkerhedsrisici i de kommende år på grund af de ændrede geopolitiske forhold i Europa og globalt, og her er den russiske invasion af Ukraine et vigtigt element. Det vil også have følger for vores sektor. Vi kan ikke udelukke, at der kommer målrettede angreb,” siger Oliver Loebel.

EurEaus daglige leder tilføjer, at det er svært at få et klart overblik, fordi mange vandselskaber behandler sikkerhedsoplysninger som fortrolige og ikke ønsker at dele dem med andre.

Flere omfattes af standarder

Forventningen om flere cyberangreb og anden it-understøttet kriminalitet fører til skærpede sikkerhedsforanstaltninger i disse år rundt om i landene og på europæisk niveau.

”Drikkevand bliver set som kritisk infrastruktur i de fleste af vores medlemslande, og samme udvikling er på vej med hensyn til spildevand. Betegnelsen kritisk infrastruktur skyldes ikke kun de ydelser, som vand- og spildevandsselskaber leverer direkte til borgerne, men også, at vi interagerer med anden kritisk infrastruktur, heriblandt hospitaler, fødevareproduktion og energiforsyning. Det handler ikke kun om at servicere mennesker, men om at sikre samfundsvigtige funktioner,” siger Oliver Loebel.

EU er inde i den sidste fase af revisionen af det såkaldte NIS-direktiv fra 2016 om sikkerheden vedrørende netværk og informationsystemer. NIS 2-direktivet blev godtaget af EU-Parlamentet og EU’s Ministerråd i en politisk aftale midt i maj. Udkastet var udarbejdet af EU-Kommissionen.

Hovedformålet er fælles EU-standarder for cybersikkerhed i samfundsvigtige sektorer, herunder vand og spildevand. NIS 2 forpligter flere sektorer og enheder i EU-lande end hidtil til at træffe sikkerhedsmæssige foranstaltninger i forhold til cybertrusler, der er i direktivet fokus på partnere/underleverandører, en ledelse kan holdes ansvarlig for manglende efterlevelse af krav, håndhævelsen styrkes generelt, og de nationale myndigheders tilsyn skærpes.

Læs også "10 gode råd om cybersikkerhed".

Men hvad koster det?

”I EurEau er vi overvejende positive over for NIS 2. Det kommende direktiv sætter den rette ramme for medlemslande og aktører i vores sektor til at øge cybersikkerheden. Vi hilser det velkommen, at der er krav om at identificere risici, lave forebyggende tiltag og efterfølgende tjekke, at sikkerheden er forbedret,” siger Oliver Loebel.

Han minder i næste nu om, at der stadig er en menneskelig faktor at indkalkulere. Det er nødvendigt at minimere sandsynligheden for, at der kan ske menneskelige fejl i varetagelsen af sikkerheden.

Samtidig med at EurEau er positiv over for NIS 2, udtrykker Oliver Loebel bekymring på et par punkter:

”Vi har en frygt for, at der bliver lagt en urimelig stor økonomisk byrde på små og mellemstore forsyninger. Teksten i direktivet er en smule uklar på dette punkt. Vi er også bekymrede for selskabers udgifter til myndighedernes tilsyn. Det er tegn på, at det kan blive dyrt,” siger Loebel.

EurEaus daglige leder pointerer, at der er meget spillerum med hensyn til omsætningen af EU-direktivet til national lovgivning.

"Fordi der er mulighed for tilpasning til nationale forhold, håber vi, at vores medlemsorganisationer rundt om i landene vil engagere sig i udmøntningen af NIS 2,” siger han.

Forbindelsesled til EU

EurEau har udpeget ”menneskefremkaldte sikkerhedsrisici” som en af otte store udfordringer i vandsektoren i Europa i de kommende 10 år. Cybersikkerhed fremhæves som et særligt vigtigt fokus.

Oliver Loebel forklarer, at regulering og gennemførelse af tiltag er noget, der sker på EU-niveau og nationalt niveau. Dette er EurEau ikke det primære organ til at håndtere.

”Men vi kan skærpe opmærksomheden om problemet. Vi opfordrer desuden til, at der kommer certificeret it-hardware og -software på markedet, således at vores medlemmer kan være forvisset om, at dette er sikkert by design. Vi orienterer vores medlemmer om ny EU-lovgivning og deres muligheder for at øve indflydelse. Vi kan viderebringe til EU, hvad vores medlemmer er optaget af nationalt,” opremser Oliver Loebel.

”Og ikke mindst kan vi presse på for, at små aktører i vandsektoren får støtte i deres bestræbelser på at blive mere beredt til at modstå eventuelle cyberangreb,” siger EurEaus generalsekretær.