PwC: Energiselskaber har fokus på it-sikkerhed

PricewaterhouseCoopers har lavet en undersøgelse for Energistyrelsen af it-sikkerheden blandt virksomheder i el- og naturgassektoren i Danmark. Undersøgelsen viser, at sikkerhedsniveauet er fornuftigt, men at der er rum til forbedring.

PwC’s undersøgelse fra foråret 2015 viser, at el- og naturgasbranchen har et højt fokus på driftsstabilitet, beredskab og fysisk sikring, der alle bidrager til at højne forsyningssikkerheden. Undersøgelsen påpeger samtidig en række områder inden for cyber- og informationssikkerheden, hvor el- og naturgasvirksomhederne fortsat kan forbedre deres procedurer og rutiner.

Resultatet for alle el- og naturgasvirksomhederne er 2,8 efter den såkaldte CMMI-skala, som går fra 1 til 5. Denne CMMI-skala (Capability Maturity Model Integration) anvendes til at måle it-sikkerhedsmæssig modenhed i mange forskellige brancher. Skalaen udtrykker ikke, hvilke tekniske foranstaltninger en virksomhed har for at sikre it-sikkerheden, men udelukkende hvordan procedurer og administrative tiltag håndteres. PwC vurderer helt generelt, at opnåelse af 5 på CMMI-skalaen vil være yderst sjældent.

• Vi er tilfredse med, at el- og naturgasbranchen generelt er fokuseret på it-sikkerheden, og på dette tidlige stadie er et gennemsnitligt modenhedsniveau på 2,8 fornuftigt. Men det er samtidig klart, at vi i samarbejde med branchen skal arbejde med at styrke it-sikkerheden yderligere, så vi mindsker sårbarheden over for cyberangreb på vores energiforsyning, siger kontorchef i Energistyrelsen, Marie Hindhede.  

De forskellige virksomhedstyper har forskellige opgaver og ansvarsområder i det samlede forsyningssystem, og derfor er deres besvarelser ikke direkte sammenlignelige. Dog viser rapporten, at der er sammenhæng mellem virksomhedernes modenhed og deres størrelse. De større selskaber med regionalt ansvar har alle etableret formaliserede procedurer for styring af informationssikkerhed.

Som opfølgning på undersøgelsen har Energistyrelsen iværksat en analyse af risici og sårbarheder i el- og naturgasbranchen, der fokuserer på forbindelserne mellem de forskellige aktører i sektorerne.

Der vil som opfølgning blive stillet relevante krav til it-sikkerhed hos virksomhederne i el- og naturgassektorerne i overensstemmelse med Danmarks nationale strategi for cyber- og informationssikkerhed. Kravene vil understøtte behovet for både fleksibilitet og sikkerhed i energisystemet fremadrettet.

• Det er væsentligt for den vigtige, fortsatte udvikling af it-sikkerheden, at vi fortsat arbejder sammen med sektorens mange aktører om at skabe de bedste og mest holdbare løsninger, siger Marie Hindhede.

Læs PwC's rapport: "Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber"

Fakta om undersøgelsen

PwC’s modenhedsundersøgelse belyser virksomhedernes modenhedsniveau inden for cyber- og informationssikkerhed, og analysen har undersøgt såvel håndtering af ansættelsesprocedurer, leverandører, kontorcomputere som styringssystemer til levering og produktion af el og naturgas.

Undersøgelsen er baseret på anonyme spørgeskemabesvarelser. Denne anonymitet medfører, at undersøgelsen ikke oplyser de enkelte virksomheders sikkerhedsniveau.

Brancheorganisationen Dansk Energi og transmissionsselskabet Energinet.dk har været inddraget i udarbejdelsen af undersøgelsen.

57 ud af 77 adspurgte selskaber har afgivet besvarelse. Selskaberne er såvel produktions- og distributionsvirksomheder i el- og naturgassektorerne som produktionsbalanceansvarlige virksomheder - og transmissionsselskabet Energinet.dk. Undersøgelsen har været baseret på 29 spørgsmål med hver seks valgmuligheder, hvor der gives point mellem nul og fem. Syv kategorier er vurderet:  

1. Ledelsesforankring af informationssikkerheden
2. Informationssikkerhed i forhold til medarbejdere
3. Beskyttelse af data
4. It-beredskab
5. Processer for styring af informationssikkerhed
6. Fysisk sikring
7. Teknologianvendelse til sikring af it- og informationsaktiver

CMMI-skalaen

Niveau

Beskrivelse af virksomhedens modenhed inden for området

0

Ikke-eksisterende - Virksomheden har ikke identificeret og adresseret problemstillingerne.

1

Ad hoc - Virksomheden har identificeret problemstillinger, som bør adresseres. Der findes ingen standardiserede processer, som tager hånd om problemstillingerne – dette sker typisk på en medarbejders eget initiativ.

2

Intuitiv - De samme procedurer følges af forskellige personer, der udfører en opgave. Der er ingen formel træning eller kommunikation omkring standardprocedurer. Udførelse sker på medarbejderens eget initiativ.

3

Defineret - Procedurer er standardiserede, dokumenterede og kommunikerede. Medarbejderne bør følgeprocedurer. Procedurerne er typisk en simpel formalisering af guidelines.

4

Styret og målbar - Ledelsen overvåger og måler anvendelse af procedurer og griber ind, hvis processer ikke fungerer effektivt. Aktiviteter forbedres konstant og sikrer effektivitet. Automatisering anvendes i begrænset omfang.

5

Optimeret - Aktiviteter er blevet optimeret, baseret på resultater fra integrationen og sammenligning med andre virksomheder. It anvendes som et integreret værktøj til at automatisere processer og støtter op omkring forbedring af kvalitet og effektivitet. Dette gør virksomheden agil.

Kontakt:

Pressechef i Energistyrelsen, Ture Falbe-Hansen, Tlf.: 25 13 78 46, tfh@ens.dk

Ture Falbe-Hansen
Pressechef
Center for Organisation
Tlf.: 25 13 78 46
tfh@ens.dk