It-sikkerhed: Energiselskaber håndterer indre trusler

Sammen med Politiets Efterretningstjeneste (PET) afvikler Dansk Energi temadage om, hvordan energiselskaber kan gardere sig mod, at kolleger bevidst eller ubevidst udgør en trussel mod it-systemer og andre kritiske værdier.

IT-sikkerhed-Utility-Spionage

Danske energiselskaber skærper deres it-sikkerhed for at undgå, at kolleger bevidst eller ubevidst udgør en trussel mod deres it-systemer. Foto: Getty Images

It-sikkerhed: Hver fjerde norske virksomhed ud af 200 adspurgte har oplevet, at ansatte har delt forretningshemmeligheder med udenforstående fx via private e-mails og på sociale medier. Der er for energiselskaber med kritisk infrastruktur, konkurrenceudsatte aktiviteter og personfølsomme oplysninger altså god grund til at være opmærksomme på, at medarbejdere – fra koncerndirektør til piccoline – bevidst eller ubevidst kan komme til at true væsentlige værdier.

Af journalist Jesper Tornbjerg/Dansk Energi

Netop disse insidere – og outsidere i form af samarbejdspartnere og underleverandører med aftalt adgang til data m.m. – er i fokus på to brancheinterne temadage, som Dansk Energi arrangerer i samarbejde med Politiets Efterretningstjeneste (PET). Den første temadag med titlen 'Mennesket som det svageste og stærkeste led' har netop været afviklet i Kolding.

- Det var et godt kursus. Insideren som trussel er én, man helst ikke vil se i øjnene. Man tror på de ansatte, men statistikken viser noget andet, siger en af deltagerne, it-sikkerhedschef Jesper R. Jespersen fra AURA Energi.

Sikkerhed skal italesættes

Langt de fleste ansatte opfører sig sikkerhedsmæssigt fornuftigt, men der kan eksempelvis være nogle, der kommer til at klikke på noget, der ikke skulle være klikket på, eller kommer til at tale over sig. Sikkerhed bør altså ifølge PET italesættes af virksomhedernes topledelse og indbygges i kultur og processer, så hændelser med hacking, spionage, svindel, tyverier, sabotage m.m. kan forebygges – også i en travl hverdag. 

AURA Energi arbejder seriøst med udfordringerne og bliver løbende klogere:

- Kulturelt har vi en del at arbejde videre med. I forhold til den ubevidste insider kan vi gøre en del tekniske ting, der forebygger uheldige hændelser, men den ondsindede insider er sværere at have med at gøre, vurderer Jesper R. Jespersen og påpeger, at det er vigtigt at lave risikoanalyser og være klar på, hvilke værdier der skal beskyttes.

Det handler altså om at kende sine værdier og begrænse adgangen til dem, så svage sjæle uden et egentligt ærinde ikke kommer til at røbe noget eller – direkte ulovligt – bliver fristet til at levere fortrolige oplysninger videre af økonomiske, ideologiske, hævngerrige eller andre grunde. Ved hjælp af en række procedurer og værktøjer kan en virksomhed ifølge PET klæde sig selv og sine ansatte på, så det bliver svært at begå dumheder og kriminelle handlinger.

Uheldige hændelser

En anden deltager på temadagen, vagtleder Sven Jensen fra Verdo Produktion, har fået inspiration til sit sikkerhedsarbejde af de mange eksempler på uheldige hændelser, der blev præsenteret af PET ved hjælp af små film om det fiktive firma WindFuture og klip fra aviser fra virkelighedens verden. 

Læs om EG's løsninger til Utility-branchen

Et eksempel på tankeløshed handlede om en chef fra den britiske efterretningstjeneste MI5. Spionchefen blev fotograferet af en pressefotograf på vej til et vigtigt møde, og på billederne kunne man læse hemmelige informationer i de papirer, som den herefter prompte fyrede chef havde under armen.

- Oplægget fra PET var tankevækkende og interessant, siger Sven Jensen, der vurderer, at der kan være sikkerhedsmæssige gevinster at hente ved at koble it-beredskab og almindeligt beredskab tættere sammen.

Selvom Verdo Produktion ifølge Sven Jensen ikke har de store hemmeligheder, hæfter han sig også ved råd fra PET om at definere den kerne af viden, som de ansatte ikke skal dele med underleverandører, konkurrenter eller andre. Altså: Hvad taler vi ikke om på konferencer, messer, på sociale medier og i diverse personlige sammenhænge.

Op med den menneskelige firewall

Chefkonsulent Peter Kjær Hansen fra Dansk Energi oplyser, at den næste temadag om 'Mennesket som det svageste og det stærkeste led' afvikles på Frederiksberg den 2. februar 2018. Temadagen henvender sig bredt til ansatte i energiselskaberne, men er særligt oplagt for medarbejdere fra HR, it, drift og jura.

- Den menneskelige risikofaktor skal tages alvorligt, men omvendt er den menneskelige firewall i kombination med sund fornuft et af de bedste forsvarsværker, vi har, når vi skal drive og udvikle selskaberne til glæde for kunderne i en travl hverdag under økonomisk pres, siger Peter Kjær Hansen.

Mennesket som det svageste og stærkeste led

Tilmelding til temadagen Mennesket som det svageste og stærkeste led den 2. februar 2018. Kun for medlemmer af Dansk Energi.

Formålet med temadagene er at give medlemmer af Dansk Energi indsigt i og viden om de indre trusler – som i sagens natur kan være bevidst overlagte, men også det måske mere sandsynlige scenarie: ubevidst velmente.