VA-sektorn har det viktiga ansvaret för att förse samhället med rent och säkert vatten samtidigt som det hanterar och behandlar avloppsvatten. Sektorn står inför ett brett spektrum av cybersäkerhetsutmaningar. Dolda sårbarheter på grund av det enkla faktum att många vattenrenings- och distributionssystem designades långt innan cybersäkerhet var ett problem. På grund av sin natur är de flesta vattenrenings- och distributionsanläggningar belägna i avlägsna områden, vilket gör dem sårbara för fysiska attacker som kan störa system.
Idag saknar många vatten- och avloppsaktörer resurser för att investera i specialtutbildad cybersäkerhetspersonal eller att upprätthålla effektiva säkerhetsrutiner. Som alla branscher finns det alltid en risk för insiderhot såväl som tredjepartsrisker, eftersom många leverantörer i denna sektor ofta använder tredjepartsleverantörer, vilket skapar potentiella ingångar för angripare. Styrsystem som hanterar kritiska tekniska processer i vattenrenings- och distributionsprocessen är ofta anslutna till internet och är känsliga för attacker.
Branschspecifika utmaningar
VA-sektorn kommer sannolikt att påverkas hårt av NIS2-direktivet. Vattenverk kan behöva investera mycket i cybersäkerhetsåtgärder för att säkerställa att de förblir motståndskraftiga mot cyberhot, vilket kräver en ökning av deras budgetanslag för åtgärder inom cybersäkerhet.
Detta inkluderar uppgradering av teknik, upphandling av ny säkerhetsutrustning och utbildningsprogram för anställda. Detta ska inte bara ses som ökade kostnader utan kan i sin tur stimulera efterfrågan på cybersäkerhetstjänster, främja konkurrens och innovation. Vattenverk kan behöva anpassa sina upphandlingsmetoder för att uppfylla NIS2-kraven för cybersäkerhet. NIS2-direktivet betonar samordning mellan olika sektorer och vattenverk kommer att behöva öka samarbetet med andra sektorer för att utveckla och implementera sammanhängande strategier för cybersäkerhet.
Utbildning i cybersäkerhet – en av 10 viktiga åtgärder för ökad cyberhygien
NIS2-direktivet kräver att VA-sektorn och andra 'essential and important entities' implementerar 10 grundläggande säkerhetsåtgärder för att ta itu med specifika former av troliga cyberhot.
- Riskbedömningar och säkerhetspolicyer för informationssystem.
- Policyer och förfaranden för att utvärdera effektiviteten av säkerhetsåtgärder.
- Policyer och förfaranden för användning av kryptografi.
- En plan för hantering av säkerhetsincidenter.
- Säkerhet kring upphandling av system och utveckling och drift av system.
- Säkerhetsrutiner för anställda med tillgång till känsliga eller viktiga uppgifter.
- En plan för att hantera affärsverksamheten under och efter en säkerhetsincident.
- Användningen av multifaktorautentisering.
- Säkerhet kring leverantörskedjor och relationen mellan företaget och direktleverantören.
- Cybersäkerhetsutbildning och en praktik för grundläggande datorhygien.
Cybersäkerhetsutbildning är inte bara "med på listan". Det är ett välkänt faktum att medvetenhetsträning är en viktig del i att skapa den organisatoriska säkerhetskultur som behövs för att organisationer ska kunna följa många av de andra säkerhetsåtgärderna som NIS2 har i uppdrag. Utan medvetenhetsträning året runt kommer många av de operativa procedurerna så småningom att misslyckas – på grund av mänskliga misstag.
Våra nya uppdaterade versioner av Information Security Awareness-utbildningar riktar sig till alla anställda, chefer, ledningar och styrelser och är en del av att vara NIS2-kompatibel.
Vi erbjuder också en introduktion till NIS2 direktivet till alla våra kunder.