– Det er bare et tidsspørsmål før norsk vannforsyning stenges eller skades i et ondsinnet cyberangrep.
Det sier Jørgen Dyrhaug, seniorrådgiver i Nasjonal Sikkerhetsmyndighet (NSM).
Derfra advares det nå mot at mange norske vannforsyningsanlegg er for lett tilgjengelig utenfra gjennom elektroniske systemer. Det innebærer en stor risiko for at folk med uvennlige hensikter enkelt kan ramme vannforsyningen.
Flere spør om sårbarhet
Antallet henvendelser fra norske virksomheter, kommuner og interkommunale vannselskaper har formelig eksplodert siden februar i fjor.
Etter at Russland invaderte Ukraina og systematisk har angrepet og ødelagt nabolandets infrastruktur for blant annet vann- og strømforsyning har norske kommuner blitt mer bevisste på sårbarheten i vår egen infrastruktur.
Her til lands trenger man ikke bomber, missiler og droner for å ta ut vannforsyningen. En datamaskin med nettforbindelse og riktige kunnskaper har lenge vært tilstrekkelig for å skape store problemer for befolkningen. Nå er kunstig intelligens i ferd med å gi en kraftig oppskalering i både kapasitet og skadepotensial hos de som ikke vil oss vel.
Komplekst internett og lite kunnskap
Hovedproblemet er spriket mellom hvor komplekst internett er og hvor lettvint vi bruker det.
– Vår aller viktigste infrastruktur er styrt av datamaskiner koblet til et nett av lange digitale leverandørkjeder, med komplekse systemer som henger sammen. Det hele driftes av mennesker som ikke skjønner hvordan internett og datamaskiner fungerer. Sånt blir det lett trøbbel av, sier Dyrhaug.
Han illustrerer det med eksempler fra flyreiser.
– De fleste av oss svinger til høyre når vi går ombord i flyet, og setter oss ned som passasjerer. To godt kvalifiserte personer svinger til venstre, og setter seg i cockpit. De styrer flyet med strengt tatt ganske basic teknologi de kan godt. Vi andre kan ikke styre flyet, og det vet vi. Det er det samme med internett. Det er mer komplisert enn du tror, og du selv er mindre kompetent enn du tror. Det er et kjempesprik! Internett er ikke en tresleiv, det er et gigantisk system med svært kompleks teknologi. Du og jeg er ikke piloter på internett, sier han.
Amedia et eksempel
Dyrhaug mener det som skjedde med Amedia i romjulen 2021 er et godt eksempel på hva som kan skje. Konsernet ble rammet av et løsepengevirus, og alt av produksjonssystemer gikk ned.
– Vi klarer oss fint uten avisa noen dager. Det er ikke sikkert det går like bra om noe lignende skjer med vannforsyningen til et større område, sier han.
Enn si om noen skulle ramme flere vannverk samtidig, og dermed både stoppe vannforsyning og utfordre kapasiteten til å løse problemene.
Dyrhaug mener det bør stilles strengere krav til kunnskap hos de som velger, setter opp og bruker datasystemer for styring av vannforsyningen.
– Tenk på hva som kreves før du får kjøre bil. Der er det krav til en viss teoretisk utdanning med eksamen, prøving av ferdigheter, sertifisering og straff hvis du gjør alvorlige feil. Det er også strenge krav til biler og andre kjøretøyer på veien. Alt det til tross for at trafikken egentlig er et vennlig sted. Cyberspace er ikke et vennlig sted. Det er fullt av folk med dårlige hensikter, som bare ikke har rettet oppmerksomheten mot norsk vannforsyning. Ikke ennå, advarer Dyrhaug.
Mulige elektroniske angrep
– Hvis noen skulle ønske å skade oss gjennom vannforsyningen, hvilke muligheter har de?
– De kan kutte forsyningen. Sette i en digital propp, som ikke trenger å være lett å fjerne. Kloranlegg er også en mulighet. Man kan stoppe kloring, eller pøse på med overkloring i farlige meengder. Mulighetene er mange.
– Hva bør kommuner og vannverkseiere gjøre?
– Skjønne at det er en mulighet! Ny teknologi gir nye muligheter, på godt men også på vondt. Alt for mange ser bare på fordelene. Jeg har møtt fagfolk fra mange kommuner, og har alt for ofte fått høre at "sånn har vi ikke tenkt på det". Vi må dessverre bli bedre til å tenke verstefall, sier Jørgen Dyrhaug i NSM.
Møter fagfolk på VA-dagene
Uka etter påske møter han fagfolk fra den norske vannbransjen på VA-dagene, som arrangeres av PAM Norge.
Der skal han gi en oppdatert orientering om hva NSM vet om cyberangrep og kunstig intelligens som trusler mot vannforsyning. Det er et område også Norsk Vann jobber mye med nå.
– Ja, dette er en stor og aktuell trussel, bekrefter Kjetil Furuberg i Norsk Vann.
Han er avdelingsleder for vanntjenester i Norsk Vann, og ansvarlig for fagområdet beredskap.
Alvorlig trussel som krever kunnskap
Det jobbes aktivt og systematisk for å øke kompetansen og sikre systemene i møte med denne trusselen. Samtidig blir hackere og andre aktører også mer avanserte og har store ressurser.
– Derfor må arbeidet fortsette for å sikre at man ligger i forkant, sier Furuberg.
Kompetanse og kunnskap om cyber- og IT-sikkerhet er viktig. Norsk Vann har arbeidet systematisk over mange år med risiko, sårbarhet, sikkerhet og sikkerhetskultur, og laget et eget veiledningsmateriell på området.
Furuberg understreker alvoret i temaet, og henstiller til kommunene om at man henter inn kompetent bistand.
– Vi anbefaler å knytte seg til et kompetansesenter som kan dette. Eksempelvis Kommune-CSIRT, som støtter kommuner og fylkeskommuner med relevant informasjon om trusler, hendelser og sårbarheter i det digitale domenet, sier han.
På VA-dagene skal også rådgiver Terje Berg i Norsk Vann orientere om cybertrusselen sett fra Norsk Vanns side, og også gi et innblikk i mulighetene roboter, nevrale nettverk og kunstig intelligens gir i vannbransjen.