Tre ting har gjort energisystemet vårt mer sårbart og utsatt for cyberangrep:
De to første punktene er villet politikk.
– Det fungerer fint når det er fred i verden. Men etter mange år med dyp fred og globalisering, har vi blitt avhengige av lange leverandørkjeder. Det gjelder også for digitale tjenester, sier førsteamanuensis i digital sikkerhet ved Universitetet i Oslo Janne Hagen.
Situasjonen er endret. Globalt samarbeid har blitt skjørere. Tilliten til global handel har fått seg en knekk med siste tids utvikling i Midt-Østen.
Den nyeste Kripos-rapporten bør være en vekker for mange. Den dokumenterer hvor omfattende cyberkriminalitet har blitt.
Førsteamanuensis Janne Hagen, Universitetet i Oslo
I flere år har Hagen sett på hvordan kraftforsyningen kan bli sikrere.
For å forklare hvordan alt henger sammen, drar hun fram to laptoper. I møte med mine hevede øyenbryn, utbryter hun:
– Jeg har med meg tre!
Når Hagen bytter roller, bytter hun også datamaskin. I sikkerhetsbransjen kan man aldri være sikker nok. Når hun ikke er førsteamanuensis, jobber hun som konsulent for sikkerhetsselskapet Gritera.
Hva skjer hvis noen kutter strømmen?
Se for deg Ukraina, lille julaften 2015. Da stod en kvart million mennesker uten strøm – i bitende kulde. Kanskje var det øyeblikket verden forstod trusselen rettet mot en digitalisert infrastruktur som styrer strømnettet.
Uten strøm – ingen varme. Heller ingen digitale tjenester, intet internett. Tilgang til skytjenester forsvinner. Å lade elbilen er også en utfordring. Å leve i uvisshet, uten mulighet til å dra noen steder, blir fort ubehagelig.
Legg til geopolitiske spenninger og krigsfare, og situasjonen blir uholdbar.
Hagen nevner flere eksempler på at energisystemer har blitt utsatt for cyberangrep. Så langt har ingen ført til store konsekvenser for kraftnettet.
Hun forteller om en nyere hendelse i Polen desember 2025. Heller ikke denne hendelsen fikk konsekvenser for kraftproduksjonen eller strømnettets stabilitet.
Her angrep hackere 30 sol- og vindparker via dårlig sikret brannmur og komponenter i styringssystemet til anleggene. Angrepet hadde karakter av å være målrettet og destruktivt. Det kunne spores tilbake til kjente hackkergrupper basert på metodene de benyttet.
Så kan vi som samfunn gjøre? Hagen har følgende råd.
1: Tenk sikkerhet i designen av ny teknologi
– Tidligere visste man kanskje ikke hva slags grunn man bygget veien på. Når den raste ut i leirskred, ble man overrasket. Liknende situasjoner kan oppstå om sikkerhet ikke er en del av grunnmuren i ny teknologi, forklarer Hagen.
Derfor bør sikkerhet være med fra start i utviklingen av nye systemer. Det er lettere å gjøre sikkerhet til en del av arkitekturen i starten.
Samtidig er ny teknologi, som kunstig intelligens (KI), med på å endre sikkerhetslandskapet. Ved bruk av KI kan kode utvikles mye raskere. De som ikke kan kode, kan gjøre det med språkmodeller.
– All ny innovasjon endrer premissene for sikring av systemet. Når sikkerheten en gang var designet for gamle systemer og gamle trusler, blir det krevende å ta høyde for nye risikoer, sier hun. KI brukes også av kriminelle til å finne sårbarheter, utvikle skadevare og lage phishing-eposter.
Derfor må systemer driftes av personell som har sikkerhetskompetanse og tid, mener Hagen. I Polen-hendelsen var ikke vanlige sikkerhetsråd fulgt.
2: Kompetanse på alle nivåer, i alle deler av landet
Sikkerhet er ikke et isolert fagfelt, men dekker ledelse, økonomi, juss og teknologi. Mennesket er fortsatt det svakeste leddet når det kommer til digital sikkerhet.
– Vi er avhengige av at det bor folk med kompetanse i hele Norge. Kraftforsyningen er en distribuert infrastruktur med anlegg i fjellheimen så vel som i byer. Kraftforsyningen trenger folk på bakken for å reparere fysisk skade, sier hun.
Trær som velter over kraftlinjene eller andre naturlige hendelser er fortsatt den største trusselen mot kraftnettet.
– Kraftforsyningen trenger ansatte med sikkerhetskompetanse. Det er en fare for at vi får en massiv kompetanseflukt fra praktisk arbeid til for eksempel å lage fine KI-applikasjoner til underholdning og effektiviseringsformål fordi lønningene er høyere der, fortsetter hun.
I tillegg er hun bekymret for om toppledere har nok sikkerhetskompetanse. Det er økonomiske hensyn som styrer, med mindre det finnes tydelige myndighetskrav. Digitalsikkerhetsforskriften som trådte i kraft i fjor, plasserer et tydelig ansvar på lederen av virksomheten.
3: Digital suverenitet – vi må ha tilgang til og eie våre egne løsninger
– Det er stadig flere digitale løsninger, og vi blir mer og mer avhengige av disse. Energiloven gir NVE myndighet til å fatte vedtak om at kraftforsyningen skal kunne styres fra norsk territorium i ekstraordinære situasjoner og krig. Det kan bli en utfordring i praksis, sier Hagen.
– Jeg tror ikke vi har gjort ferdig tankerekken og risikovurderingen på dette området. På den annen side kan skyteknologi utenfor et kriserammet geografisk område også utgjøre en beredskap.
Viktige kraftanlegg skal kunne driftes manuelt ved en krise. Da må man ha nok fagfolk til denne jobben. Det krever også at det finnes en beredskapsplan med turnus og at arbeidsoppgavene er innøvd.
4: Sikre gamle systemer som kan nås fra internettet
– Gamle systemer, for eksempel innen prosesskontroll, har ikke innebygd sikkerhet slik som nyere systemer har. Dersom de koples til IT-systemet eller kan nås fra internettet vil de være utsatt for cybertrusler. Slike systemer må sikres i egne soner med barrierer som hindrer ikke-godkjente brukere å få tilgang. Kraftforsyningen bruker en miks av gamle og nye systemer, sier Hagen.
– De er utviklet over tid. Presset økonomi vil gjøre det krevende å erstatte gamle systemer, så da må billigere sikkerhetsløsninger tas i bruk for å beskytte disse. I tillegg vil beskyttede sikkerhetskopier av både data og systemkonfigurasjon være nyttige beredskapstiltak.
5: Brukernavn og passord – ikke bruk standardpassord
Den mest banale, og likevel den vanskeligste regelen: Ikke bruk standard brukernavn og passord.
– Ser vi igjen på cyberangrepet i desember i 2025 mot de polske sol- og vindkraftanleggene, så hadde de brukt et standard brukernavn og passord i system der man kunne logge seg på fra nettet.
Hagen forteller at angrepets mål var å ødelegge. Det skjedde på et tidspunkt der det var kaldt og kraftnettet var presset, men heldigvis ble det ikke noe mer enn en digital driftsforstyrrelse. Hackerne gjenopprettet fabrikkinnstillingene på enhetene. Det førte til at man mistet styringen over anleggene. Det ble likevel ingen strømstans:
– Fysikken virket tross alt, sier Hagen. Anlegget leverte strøm, kraftnettet ble ikke påvirket, men ingen kunne styre sol- og vindparken.
Kriminelle bruker KI
Hagen mener at denne hendelsen viser at mangel på kompetanse, tid og menneskelige ressurser til sikkerhetsarbeid er noe av grunnen til at det går galt. Sikkerhetsarbeidet er usynlig inntil det inntreffer en hendelse.
– Angrep, kriminalitet og sabotasje er under en veldig utvikling. Den nyeste Kripos-rapporten bør være en vekker for mange. Den dokumenterer hvor omfattende cyberkriminalitet har blitt, hvordan kriminelle bruker KI, kommersialiserer tjenestene sine og samarbeider på tvers av landegrenser, forteller hun.
Lettere å velte et tre over en kraftlinje enn å hacke seg inn
Etter å ha snakket med Hagen, blir jeg urolig.
– Kan uvedkommende skru av kraftsystemet i Norge?
– Det er for komplisert å skru av hele kraftnettet, beroliger Hagen.
– I Norge har hvert selskap sin egen miks av teknologi. Det er ikke enkelt å komme seg inn og stenge alt. Det finnes mye enklere måter å ramme kraftnettet på enn å hacke det. Naturen er fortsatt den største trusselaktøren og den som forårsaker mest utfall av strømforsyningen.
Helt beroligende er det likevel ikke, for Hagen forteller at økt digitalisering og overgangen til fornybar energi har skapt flere flater der hackere kan komme seg inn.
Mer fornybar energi øker risikoen for hacking
For eksempel vil mer fornybar energi kreve flere omformere som omformer produsert strøm til riktig frekvens slik at strømmen kan leveres inn på kraftnettet. Omformerne er sårbare fordi de er digitale, og fordi de er porter som strømmen må passere før den kan distribueres .
– I omformerne er programvare. De skal forvaltes og sikkerhetsoppdateres, det er det leverandøren som gjør, forklarer Hagen. Og leverandøren kan befinne seg på andre siden av kloden. Cyberangrep mot leverandører er også en risiko.
Hagen forteller at samtidig med at vi har fått mer fornybar energi, er risiko blitt vanskeligere å vurdere.
– Trussellandskapet er mer krevende. De kriminelle økosystemene er mer komplekse og avanserte og angrepsflatene øker, sier hun.
Derfor mener hun at sikkerhet blir viktigere i årene som kommer.
Les også disse sakene fra Universitetet i Oslo:
forskning.no vil gjerne høre fra deg!
Har du en tilbakemelding, spørsmål, ros eller kritikk? TA KONTAKT HER