Cybersecurity Incident Management In The Electrical Energy Sector: Involvement Of Suppliers

Abstract

Den elektriske energisektoren har blitt en hjørnestein i dagens samfunn, og avhengigheten til elektrisk energi fortsetter å øke. Forstyrrelser i denne kritiske infrastrukturen vil få alvorlige konsekvenser og vil i verste fall kunne føre til tap av liv. Det har i de siste årene vært en økning i forekomsten av cyberangrep rettet mot energisektoren. Som et resultat av den omfattende digitaliseringsprosessen sektoren har gjennomgått, er det nå mulig å gjennomføre angrep mot de viktige prosesskontrollsystemene som tidligere var ansett som vanskelige å angripe. Mange nye sårbarheter har oppstått eksplisitt fra introduksjonen av informasjonsteknologi (IT) inn i de gamle operasjonellteknologi-systemene (OT) som ble designet for å kun eksistere i lukkede miljøer. Trussellandskapet har dermed endret seg, og vellykkede angrep på energisektoren er nå uunngåelige. Dette skaper behovet for godt forberedte prosedyrer for håndtering av cybersikkerhetshendelser.

Et resultat av den teknologiske utviklingen er at norske nettselskaper i større grad benytter produkter og tjenester fra eksterne leverandører. Selv om tjenesteutsetting tilfører ressurser, kompetanse og kostnadseffektivitet, introduseres også nye avhengigheter og sårbarheter for cyberangrep. Ettersom avhengigheten til leverandører og kompleksiteten til systemene øker, bør leverandørene i større grad involveres i nettselskapenes håndtering av cybersikkerhetshendelser. På bakgrunn av dette har denne studien undersøkt gjeldende praksis for involvering av leverandører i håndteringen av cybersikkerhetshendelser relatert til prosesskontrollsystemer. Studien ble gjennomført med en kvalitativ tilnærming med intervjuer og dokumentstudier som datainnsamlingsmetoder, og fasene til ISO/IEC 27035-standarden ble brukt til å kategorisere resultatene. Forskningen ble utført som case-studier av fire norske nettselskaper, hvorav to små og to store, en leverandør av prosesskontrollsystemer, i tillegg til et intervju med en representant fra Norges vassdrags- og energidirektorat (NVE).

Funnene viser tydelige forskjeller mellom små og store nettselskaper, og de indikerer at noen små nettselskaper ikke er godt nok forberedt til å håndtere cybersikkerhetshendelser i prosesskontrollsystemene sine. Basert på de deltakende selskapene, er det lite involvering av leverandører i planer, øvelser og evalueringer av hendelser, i tillegg til en manglende interesse fra den intervjuede leverandøren til å delta i beredskapsøvelser. Kombinasjonen av høy leverandøravhengighet og det lave antallet leverandører gjør sektoren sårbar for angrep rettet mot flere nettselskaper samtidig.

Funnene, kombinert med anerkjente standarder og retningslinjer for god praksis, resulterte i et sett med anbefalinger for å forbedre involveringen av leverandører i hendelseshåndteringen. Forfatterne bak denne rapporten anbefaler at nettselskapene bruker den unike muligheten de har for sektorsamarbeid til å øke ressursene sine og dermed redusere avhengigheten til leverandører. Videre vil det være fordelaktig å øke involveringen av leverandører i de forberedende aktivitetene for hendelseshåndtering. Til slutt anbefales mulige endringer rundt videreutvikling av gjeldende lovverk om leverandørinvolvering og sammenslåing av mindre organisasjoner. Disse forslagene er adressert til myndigheten og betraktninger rundt andre aspekter enn cybersikkerhet vil være nødvendige.

The electrical energy sector has become a cornerstone in today's society, and the dependence upon electrical energy continues to increase. Disruptions in this critical infrastructure will have severe consequences and can lead to loss of life. In recent years, there has been an increasing occurrence of cyberattacks aimed at the energy sector. Attacks against vital Process Control Systems (PCS) that were previously considered difficult are now feasible as a result of the digitalization process the sector has undergone. Many vulnerabilities have emerged explicitly from the introduction of Information Technology (IT) into the old Operational Technology (OT) systems that were created to exist in closed environments. The threat landscape has changed, and successful attacks are now inevitable, thus creating the need for well-prepared cybersecurity incident management processes.

The technological evolution has enabled Norwegian Distribution System Operators (DSOs) to make greater use of products and services from external suppliers. Although outsourcing provides resources, expertise and cost-effectiveness, it also introduces new dependencies and gates for potential attacks. As the dependence upon suppliers and the system complexity increase, the use of suppliers has to be taken into account in the cybersecurity incident management for the DSOs. Accordingly, this thesis has investigated current practices for the involvement of suppliers in incident management related to PCS. A qualitative approach with interviews and document reviews as data collection methods was used, and the results were categorized using the phases of the ISO/IEC 27035 standard. The research was conducted as case studies of four Norwegian DSOs, two small and two large, one supplier of PCS, in addition to an interview with a representative from the Norwegian Water Resources and Energy Directorate (NVE).

The findings of this study show distinct differences between small and large DSOs, and there are indications of some small DSOs not being prepared to handle cybersecurity incidents in their PCS. In general, based on the participating organizations, there is little involvement of suppliers in plans, exercises and the evaluation of incidents, and there was no interest from the interviewed supplier to participate in cybersecurity preparedness exercises. The combination of high supplier dependence and the small number of suppliers creates a vulnerability for the sector towards multiple, simultaneous attacks on several DSOs.

These findings, combined with accepted quality standards and good practice guidelines, resulted in a set of recommendations for improving the involvement of suppliers in incident management. The authors recommend that DSOs utilize the sector's unique possibility for collaboration to enhance their resources and thus reduce their dependence upon suppliers. Furthermore, they would benefit from more involvement of suppliers in preparatory incident management activities. Lastly, changes to the entire sector could be beneficial, such as further development of current legislation regarding supplier involvement and merging of smaller organizations. These suggestions are addressed to the authorities and other aspects than cybersecurity must be taken into account.