4 av 10 norske selskaper oppgir at virksomheten deres ikke har full oversikt over sikkerhetsrisikoene fra underleverandørene.
Nesten like mange oppgir at selskapet kan ha blitt infiltrert uten at leverandørene har rapportert hendelsen.
Det kommer frem i en rapport fra DNV Cyber, en del av Det Norske Veritas, som ble lagt frem onsdag.
DNV Cyber opplever dette som dramatisk, spesielt med tanke på myndighetenes trusselvurdering med økt trusselnivå.
– Fred kan ikke lenger tas for gitt. Samtidig ser vi en økende trend hvor leverandører blir brukt som inngangsport for cyberangrep mot kritiske samfunnsfunksjoner, sier direktør for DNV Cyber Arve Johan Kalleklev
Foto: DNV– Flere har kontroll på inngangsdøra si, men de har ikke full kontroll på bakdøra. Den står på gløtt, og det er hull i sikkerhetssystemet deres, sier direktør i DNV Cyber, Arve Johan Kalleklev til NRK.
Norge kan gå i svart
DNV Cyber har spurt over 1100 bedrifter om hvordan de er rustet mot cyberangrep. Rapporten er nedslående, men det er også lysglimt.
– Å vite at du har en utfordring er jo første steg i forhold til å gripe fatt i og gjøre noe med den utfordringen, sier Kalleklev.
Norske virksomheter mangler oversikt over sikkerhetsrisikoen hos leverandører, ifølge undersøkelse.
Illustrasjon: Adobe StockRapporten peker på at kraftsektoren er særlig utsatt og sårbar, og er et hovedmål for angrep fra fremmede makter. Norges lange kystlinje og omfattende leverandørindustri er et hovedmål for statssponsede cyberangrep.
Cybertrusler mot kraftsektoren er spesielt alvorlig fordi det kan ha konsekvenser for alt fra sikkerhet for personell, til skader på miljø og kritisk infrastruktur.
– Et digitalt angrep kan føre til tap av data, bortfall av kritiske funksjoner og evnen til å opprettholde kraftleveranse – noe som også påvirker Europa, sier Kalleklev.
– Et angrep i verdikjeden kan i ytterste konsekvens gi store dominoeffekter og ta ut flere aktører samtidig, advarer han
Sårbarheten hos norske virksomheter innen kritisk infrastruktur utgjør alvorlige sikkerhetshull i norsk beredskap, ifølge DNV Cyber.
– Det er stor omstilling knyttet til energibransjen. En viktig løsning i forhold til den omstillingen er digitalisering. Stadig flere av systemene som har vært analoge, blir nå digitale. Når de blir digitale, så får du en større angrepsflate for digitale angrep, forklarer Kalleklev.
19. mars 2019 ble Hydro rammet av et omfattende cyberangrep. Angrepet påvirket virksomheten globalt i mer enn 40 land.
Foto: REUTERSOppmerksom på faren
I Norges vassdrags- og energidirektorat, NVE opplever de at kraftbransjen jobber godt med sikring av systemene.
– Med globale leverandørkjeder og økt bruk av underleverandører er sikkerhet i leverandørkjeder absolutt et viktig punkt å følge opp, sier Jan Helge Luth i NVE
Foto: NVE– Dette er et tema vi har jobbet strukturert med de siste årene, vi har delt vårt arbeide med bransjen for å veilede på området, og vi har hatt dette som et tema på våre tilsyn, sier Jan Helge Luth, seksjonssjef for Digital sikkerhet i NVE til NRK.
– I NVE jobber vi med forskjellige risikoer kraftsektoren er utsatt for og cyberangrep er en av disse. Vi er spesielt opptatt av cybersikkerhet for driftskontrollsystemer. Dette er selve nerven i kraftsystemet, avslutter han.
I undersøkelsen fra DNV Cyber svarer hele 8 av 10 bedrifter at kompetansen til å håndtere sofistikerte angrep ikke er tilstrekkelig.
Like mange svarer at ansatte er det svakeste leddet i bedriften.
– Manglende kompetanse forsterker sårbarhetene i forsyningskjedene ytterligere. Det er viktig å få med seg det svakeste leddet å få opp kompetansen gjennom hele organisasjonen, understreker Arve Johan Kalleklev i DNV Cyber
Publisert 26.03.2025, kl. 12.11 Oppdatert 26.03.2025, kl. 12.12