It-sikkerhed i fokus på landets vandværker
Ny trusselsvurdering, nye direktiver og eksempler med cyberangreb sætter skub på it-sikkerheden på landets vandværker.
Debatindlæg af Jan Andersen, landsformand for Danske Vandværker. Bragt i WaterTech tirsdag den 4. februar 2025.
I januar 2025 kom den første trusselsvurdering af drikke- og spildevandsområdet, som Center for Cybersikkerhed står bag. Vurderingen er, at vandsektoren står over for det højeste mulige trusselsniveau fra cyberkriminalitet og en middel trussel fra andre former for cyberangreb. Det sætter en fed streg under, at vi skal tage it-sikkerheden dybt alvorligt. Alle vandværker bør sikre, at man er bedst muligt forberedt, hvis krisen skulle ramme. Derfor bør den aktuelle trusselsvurdering også være anledning til, at man over hele linjen genbesøger sine beredskabsplaner.
Trusselsvurderingen kommer i samme periode, som NIS2- og CER-direktiverne er i gang med at blive implementeret i dansk lovgivning. Og er vandbranchen så klar til det? Ja, det skal vi naturligvis være. I Danske Vandværker har vi længe haft fokus på it-beredskab og fysisk beredskab. Indsatsen for it-sikkerhed skal naturligvis svare til vandværkets størrelse, men som minimum anbefaler vi, at alle har styr på mindst fem ting: 2-faktor-login, sikkert password, opdateret firewall, overblik over alt it-udstyr samt naturligvis en beredskabsplan for it.
Lige nu er der stadig ikke en klar køreplan for implementeringen af NIS2. Den forventer vi først er på plads, når bekendtgørelsen sendes i høring i maj. Direktiverne kommer kun til at have direkte lovvirkning for de store vandforsyninger, men som brancheforening for mange af de mindre vandværker i Danmark arbejder Danske Vandværker målrettet for, at vandværkernes kriseberedskab er opdateret og modstandsdygtigt over hele linjen: Som et af de mest digitaliserede lande er der ikke nogen vandværker i Danmark, der ikke bruger it: Enten i styresystemer af selve vandværkerne eller til at sende fakturaer ud eller opbevare kontaktinformationer på forbrugere. Derfor skal alle også vurdere deres sårbarheder og sikre sig bedst muligt.
Højt prioriteret emne
Implementeringen af NIS2-direktivet kan sammen med trusselsvurderingen forhåbentlig bidrage til, at emnet kommer endnu højere op på dagsordenen. Danske Vandværker arbejder for, at alle vandværker uanset størrelse har en beredskabsplan, lige som vi sætter fokus på it-sikkerhed og beredskab generelt gennem en række forskellige indsatser: Kurser og kodeks for godt bestyrelsesarbejde, skriftlig information, skabeloner og et beredskabsspil, der kan bidrage til at øge bestyrelsernes fokus på eventuelle udfordringer og inspirere til, hvordan man kommer hele vejen rundt, når man skal give sit beredskab et eftersyn.
Derudover er det helt afgørende, at det administrative it er adskilt fra den teknologi, man bruger til at overvåge og styre processer i eksempelvis sensorer, pumper og ventiler. Ellers anbefaler vi, at vandværket kan gå over til manuel drift, så man stadig kan forsyne forbrugerne med vand, hvis it-systemerne er nede. Eller sikre nødforsyning fra et nabovandværk, hvilket ofte vil være en mulighed særligt for mindre vandværker.
Den decentrale struktur betyder alt andet lige, at det ikke er sandsynligt, at hele landets drikkevandsforsyning bliver ramt på samme tid: Det angreb, der fandt sted før jul på et mindre vandværk, var alvorligt, men trods alt en midlertidig udfordring for et mindre antal forbrugere. Men it-angrebet er samtidig et tydeligt eksempel på, hvor vigtigt det er, at vi tager truslen alvorligt og arbejder målrettet og professionelt med it-sikkerhed og beredskab. Og så er det et eksempel på, hvor vigtigt det er, at vi deler erfaringer og viden, så vi kan få en samlet læring ud af de tilfælde, hvor uheldet er ude. Men uden at vi alle behøver at begå de samme fejl. Læring på tværs, samarbejde om løsninger og udbredelse af viden må være overskriften for den kommende tids indsatser, lige som den helt lavpraktiske implementering af direktiverne kommer til at fylde. Og selv om ingen kan vide sig sikker, uanset hvor godt man har forberedt sig, så er der heller ingen tvivl om, at det har stor betydning, om man har styr på sin it-sikkerhed og har en klar køreplan for, hvem der skal gøre hvad og hvornår, hvis uheldet alligevel skulle være ude.
Kommende arrangementer
Bestyrelsen
Fysisk
19. marts 2025
BNBO workshop: Fra frivillige aftaler til kommunes påbud
- Medlemspris 815 DKK
Bestyrelsen
Online
20. marts 2025
Få grundvandsbeskyttelse med ind i Grøn Trepart
- Gratis for medlemmer
Bestyrelsen
Drift og hygiejne
Online
24. marts 2025
Optimér kvaliteten i anlægsarbejde
- Medlemspris 195 DKK
Bestyrelsen
Online
27. marts 2025
GDPR i hverdagen
- Medlemspris 195 DKK
Messe tilmelding for udstillere
28. marts 2025
Udstiller – Forplejning til fagmessen
- Gratis for medlemmer
Messe tilmelding for udstillere
28. marts 2025
Udstiller – Book en stand til fagmessen
- Medlemspris 1.880 DKK