Energibransjen særlig utsatt for cyberangrep: – Mer sårbar enn noensinne

Fire av ti norske virksomheter innen kritisk infrastruktur mangler oversikt over åpne bakdører hos leverandørene, viser en fersk rapport fra DNV Cyber.

DNV Cyber Priority Report avdekker alvorlige sikkerhetshull i norske virksomheters forsyningskjeder med mulige konsekvenser for økonomien, samfunnet og menneskeliv. Den globale studien er gjennomført blant 1150 sikkerhetsfagfolk i virksomheter innen kritisk infrastruktur – pÃ¥ tvers av sektorer som energi, maritim og helse.  

4 av 10 norske respondenter oppgir at virksomheten deres ikke har full oversikt over sikkerhetsrisikoene i forsyningskjeden. Nesten like mange (39 %) oppgir at selskapet kan ha blitt infiltrert uten at leverandører har rapportert hendelsen. 

Sikkerhetshull i beredskapen

Politiets sikkerhetstjenestes (PST) sikkerhetsvurdering for 2025 peker på økende og mer uforutsigbare trusler fra statlige aktører. Ifølge Nasjonal sikkerhetsmyndighets (NSM) direktør Arne Christian Haugstøyl er altfor mange norske virksomheter «åpne som låvedører» og E-tjenesten fastslår at verden har blitt farligere det siste året.  

Fred kan ikke lenger tas for gitt. Samtidig ser vi en økende trend hvor leverandører blir brukt som inngangsport for cyberangrep mot kritiske samfunnsfunksjoner. Det hjelper lite om vi er aldri så nøye med å låse inngangsdøren hvis bakdøren står på gløtt. En manglende oversikt over forsyningskjeden skaper et alvorlig sikkerhetshull i Norges beredskap, sier Arve Johan Kalleklev, direktør for DNV Cyber. 

9 av 10 norske virksomheter i studien har økt fokus på cybersikkerhet som følge av geopolitiske spenninger, men funnene etterlater ingen tvil om at mer må gjøres for å sikre verdier og liv, påpeker Kalleklev.

Energibransjen særlig utsatt

Norges lange kystlinje og omfattende leverandørindustri gjør kraftsektoren til et hovedmÃ¥l for statssponsede cyberangrep gjennom forsyningskjeden.  

NVE har de siste Ã¥rene styrket veiledningen for digital sikkerhet i kraftbransjen, blant annet gjennom rapporter om sikkerhet i leverandørkjeder og skytjenester i kritisk infrastruktur, men den nye rapporten fra DNV Cyber viser at sÃ¥rbarhetene fortsatt er betydelige.  

– Kraftsektoren kombinerer fysisk og digital infrastruktur i en grad få andre sektorer gjør, og takten i digitaliseringen har på kort tid gjort operasjonelle teknologisystemer (OT) mer komplekse og mer utfordrende å beskytte enn tradisjonelle IT-systemer.  

– 77 % av norske aktører mener virksomheten er mer sårbar enn noensinne for cyberangrep mot denne typen miljøer. Samtidig har norsk kraft blitt enda mer kritisk å sikre for oss selv og for Europa etter krigen i Ukraina. Det krever målrettede tiltak, sier Arve Johan Kalleklev.

Mangel på kompetanse

I Totalberedskapsmeldingen som nylig ble lagt frem introduserte regjeringen en cyberberedskapsordning hvor næringslivet spiller en nøkkelrolle i beredskapen. Samtidig pÃ¥peker justis- og beredskapsministeren at kompetansemangelen innen cybersikkerhet er pÃ¥ et alarmerende nivÃ¥. 

– Manglende kompetanse forsterker sårbarhetene i forsyningskjedene ytterligere. Studien indikerer at opplæringen i 82 % av norske virksomheter ikke er tilstrekkelig nok til å håndtere sofistikerte angrep, og 84 % peker på ansatte som det svakeste leddet, sier Kalleklev.

– Ledere og ansatte må få bedre opplæring

PÃ¥ den positive siden vil EU-direktiver som NIS2 og Cyber Resilience Act (CRA) skjerpe kravene til risikostyring i forsyningskjeden for industrielle systemer. Ifølge DNV Cyber-rapporten er strengere regulering den største driveren for Ã¥ investere i bedre cybersikkerhet.  

Kalleklev peker pÃ¥ modenhetsvurderinger for cybersikkerhet som et annet viktig bidrag til en positiv utvikling. DNV har sammen med forsikringsselskapet Gjensidige utviklet et modenhetsverktøy som tilbys industrien gjennom Finans Norge Forsikring Drift. NÃ¥ etterlyser han en dugnad i norsk næringsliv for Ã¥ tette sikkerhet- og kompetansegapet i forkant av EU-direktivene.  

– Vi ser en positiv utvikling, men funnene viser også at vi har en vei å gå. Sikkerhetskulturen må styrkes, og ledere og ansatte må få bedre opplæring i hvordan de skal håndtere dagens trusler. Cybersikkerhet er ikke lenger bare en sak for ITavdelingen – det er et toppleder- og styreansvar. Selskaper må teste sin egen responskapasitet, stille strengere krav til leverandører og bygge en sterk sikkerhetskultur, sier Kalleklev. 

Flere tall fra undersøkelsen: 

Blant norske virksomheter oppgis å holde tritt med sofistikerte trusler som den største utfordringen for å møte nye cybersikkerhetreguleringer.

• 71 % mener at trusselen mot kritisk infrastruktur i Norge ikke blir tatt alvorlig nok av myndighetene, sett i lys av dagens geopolitiske situasjon. 

• 69 % oppgir at ledelsen ser cybersikkerhet som den største risikoen for virksomheten 

• 77 % oppfatter at ledelsen har tilstrekkelig forstÃ¥else av risikoen 

• 69 % oppgir at virksomheten har investert mer i cybersikkerhet i Ã¥r enn i fjor