Cybersecurity Preparedness Exercises in Smart Grid: Collaboration With Suppliers During Incident Response

Abstract

Introduksjonen av informasjons- og kommunikasjonsteknologi (IKT) i det tradisjonelle strømnettet har resultert i et digitalisert strømnett, ofte referert til som smart grid. Smart grid gjør driften og hendelseshåndteringen mer effektiv og robust, men kan samtidig også føre til økt risiko og nye trusler på grunn av mer komplekse systemer og lengre leverandørkjeder. Nylige angrep og trusselvurderinger indikerer at strømnettet er et attraktivt mål, noe som fremmer behovet for godt forberedte prosesser for hendelseshåndtering som involverer eksterne leverandører. Det er derfor nødvendig å forbedre nettselskapenes evne til å gjennomføre effektive cybersikkerhetsøvelser med sine leverandører. Denne studien adresserer dette gjennom utviklingen av scenarioer til bruk i beredskapsøvelser og en undersøkelse av hvilke faktorer som kan bidra til å gjøre det enklere å inkludere leverandører i beredskapsøvelser.

Hovedmetodene som ble brukt til datainnsamling i denne studien var en litteraturstudie og kvalitative intervjuer med nettselskaper og leverandører. Basert på de innsamlede dataene ble et sett med scenarioer og tilhørende diskusjonsspørsmål laget. De endelige utkastene er justert basert på tilbakemeldinger fra både nettselskaper og myndigheter. For ett av scenarioene, Ransomware, ble de tilhørende dokumentene som er nødvendig for å bruke scenarioet i en øvelse laget og en øvelse gjennomført med ett nettselskap. Tilbakemeldinger fra øvelsen ble samlet inn gjennom en felles førsteinntrykksevaluering rett etter øvelsen og en spørreundersøkelse som ble sendt ut neste dag. I tillegg, ved å gjennomføre en analyse av den innsamlede dataen, ble en liste over faktorer som kan bidra til å gjøre det enklere å inkludere leverandører i beredskapsøvelser utarbeidet.

Studiens resultater består av empiriske resultater fra datainnsamlingen og en samling av scenarioer med tilhørende dokumenter for diskusjonsøvelser. Tilbakemeldingene på scenarioene og resultatene fra den gjennomførte øvelsen viser at scenarioene kan bli brukt i øvelser og at det er sannsynlig at de tilfører verdi til bransjen. Videre identifiserte vi syv faktorer som kan forenkle det å involvere leverandører i øvelser. Disse inkluderer å involvere leverandørene tidligere i hendelseshåndteringsprosessen og innføre tiltak for å gjøre organiseringen og deltakelsen i øvelser mindre ressurskrevende. I tillegg er det viktig å stille klarere krav til leverandører om deres involvering, enten i lovgivning fra myndigheter eller i nettselskapenes kontrakter med leverandørene.

The introduction of Information and Communications Technology (ICT) into conventional power grids has resulted in a digitalized power grid, commonly referred to as smart grid. Smart grid enables a more efficient and robust operation and incident handling. However, it can also lead to increased risk and new threats due to more complex systems and longer supply chains. Recent attacks and threat reports indicate that the electrical power grid is an attractive target, promoting the need for well-prepared incident management processes that involve external suppliers. Consequently, it is necessary to improve Distribution System Operators' (DSO) ability to conduct effective cybersecurity preparedness exercises with their suppliers. This thesis addresses this through the development of scenarios for collaborative preparedness exercises and an investigation into which factors may contribute to making it easier to include suppliers in preparedness exercises.

This thesis' primary data collection methods are a literature study and qualitative interviews with DSOs and suppliers. Based on the data collection, a set of scenarios with corresponding discussion questions was created. The final drafts of the scenarios have been adjusted based on feedback gathered from both DSOs and authorities. For one of the scenarios, Ransomware, the additional documents necessary to use the scenario in a discussion exercise were created, and an exercise was conducted with a DSO. Feedback on the exercise was gathered through a joint first impression evaluation directly after the exercise and an individual questionnaire that was distributed the following day. In addition, by performing an analysis of the collected data, a list of factors that may make it easier to include suppliers in preparedness exercises was created.

The results from the thesis consists of empirical results from the data collection and a set of created scenarios with associated documents for discussion exercises. From the feedback on the scenarios and the results from the conducted discussion exercise, it is shown that the scenarios can be used in exercises and that they are likely to provide value to the industry. Furthermore, we identified seven factors that can simplify the involvement of suppliers in exercises. These include involving the suppliers earlier in the incident management processes and taking steps to make the organization of and participation in exercises less resource-demanding. Additionally, it is important to set clear requirements for the suppliers regarding their involvement, either in legislation from the authorities or in the DSOs' contracts with suppliers.