Beredskap og cybersikkerhet
Forretningsstrategi, forretningsmodell og kjerneverdier
Hafslund opererer i en bransje som er under stor omstilling med digital transformasjon og utvikling av ny og moderne teknologi. Konsernets kjernevirksomhet, fornybar energiproduksjon, må kunne utnytte endringer med innovativ teknologi og teknologisk disrupsjon. Hafslund skal skape merverdi av data ved å utvikle nye, smarte og intelligente modeller, og modeller som gir bedre risikoforståelse og markedsbeslutninger. Hafslunds data og informasjon skal sikre at Hafslund har mer innsikt og bedre løsninger for mer effektiv styring av produksjon, forbruk og lagring av energi. Hafslund skal utnytte endringer i markedet med ny teknologi og bidra til å skape en balanse i energisystemet ved å utvikle og tilgjengeliggjøre distribuerte energiløsninger som kan agere raskere i eksisterende og nye markeder.
Den digitale transformasjonen og bransjens høye endringstakt gjør oss også interessant for kriminelle aktører. Hafslunds eksterne risiko- og trusselbilde krever derfor et aktivt og kontinuerlig forebyggende arbeid med informasjonssikkerhet og fysisk sikring. Arbeidet skal sikre og redusere risiko for tap av liv og helse, påvirkning og tap av ytre miljø, tap og frafall av driftskontinuitet, og tap av omdømme, markedsandeler og finansiell fortjeneste. Hafslund skal ha en kontinuerlig forbedring av cybersikkerhet, informasjonssikkerhet og beredskap som tilrettelegger og sikrer konsernet en høy innovasjonskraft og konkurranseevne, samtidig som Hafslund sikrer sine produksjonsanlegg og sin kraftforsyning til samfunnet. Tiltak skal iverksettes for å redusere risiko for uønskede hendelser, sabotasje, skade og hærverk til et akseptabelt risikonivå.
Påvirkning, risikoer og muligheter
Verden er preget av urolige tider og uforutsigbarhet. Internasjonale konflikter og sikkerhetspolitiske situasjoner tilspisser seg og krever høyere beredskap og økt årvåkenhet, både fysisk og digitalt. Samtidig har cyberdomenet redusert behovet for fysisk tilstedeværelse og tilrettelegger for avanserte digitale informasjons- og nettverksoperasjoner.
Hafslund inngår i et internasjonalt marked og er en aktør med vesentlig betydning for kraftproduksjon på nasjonalt nivå. Konsernet er avhengig av at dets leveranse- og produksjonskjeder er stabile og forutsigbare, og sikret mot uønskede fysiske og digitale angrep. Tap eller frafall av disse, vil kunne gi alt fra mindre driftsforstyrrelser til større innvirkninger på konsernets kraftforsyning til samfunnet og forpliktelser i internasjonale markeder. Hafslund må beskytte og sikre sine produksjonsanlegg, leveransekjeder, persondata og tjenester og systemer, mot påvirkning som kan gi driftsavbrudd, uønskede hendelser, brudd på personvernet, og brudd på konfidensialitet, integritet og tilgjengelighet.
Tabellen nedenfor oppsummerer konsernets vesentlige risikoer og muligheter:
| Risikoer | Muligheter | |
|---|---|---|
| Tap av driftskontinuitet, kraftproduksjon og kraftforsyning | Innovasjon gjennom utnyttelse av ny og moderne teknologi og nye datamodeller | |
| Frafall og tap av informasjon, data og tjenester ved cyberangrep eller uønskede IT-hendelser | Økt konkurransekraft gjennom bedre analyse og mer innsikt i data | |
| Brudd på personvern og personopplysningssikkerheten | Digital omstillingsevne til å hurtigere utnytte endringer i kraftmarkedene | |
| Mer effektive og bedre arbeidsverktøy for Hafslunds ansatte |
Policy/retningslinjer
Hafslund er underlagt et strengt lov- og regelverk som setter høye krav til beskyttelse av informasjon, tjenester og systemer, kraftstasjoner og produksjonsanlegg. Digital og fysisk sikkerhet er en forutsetning for å sikre tillit til at Hafslund har en kontinuerlig kraftforsyning til samfunnet og bevare tillit til eiere, kunder, partnere og ansatte. Alle skal være trygge på at Hafslund ivaretar pålagte plikter i lov- og regelverk, og at konsernet har etablerte tiltak som sikrer beskyttelse av konfidensialitet, integritet og tilgjengelighet for konsernets informasjon, tjenester, systemer og produksjonsanlegg.
Konsernets øverste ledelse har besluttet å basere styring og ledelse av informasjonssikkerhet, personvern og fysisk sikring via et styringssystem basert på ISO27K-standarden. Dette er en internasjonalt anerkjent standard og en strategisk beslutning for konsernet.
Styringssystemet definerer og beskriver vår policy og sikkerhetsstrategi, og angir rammene for hvordan Hafslund skal nå vedtatte sikkerhetsmål og ivareta Hafslunds plikter i lov- og regelverk, innfri krav og forventninger fra eiere, styret og øverste ledelse, samt andre interessenter. Styringssystemet skal videre sørge for en helhetlig og strukturert tilnærming til arbeidet med fysisk sikring, informasjonssikkerhet og personvern, med tydelige beskrivelse av krav og retningslinjer, metode, prosesser og tiltak, for forebyggende beskyttelse av selskapets digitale og fysiske verdier.
Styringssystemet er basert på en kontinuerlig prosess med forbedring og måling, og korrigering og tilpasning etter endringer i lov- og regelverk, konsernets mål og strategier, og det eksterne risiko og trusselbildet.
Digital og fysisk sikkerhet er en forutsetning for å sikre tillit til at Hafslund har en kontinuerlig kraftforsyning til samfunnet og bevare tillit til eiere, kunder, partnere og ansatte.
Tiltak og aktiviteter
Hafslund tar fysisk sikring, cybersikkerhet og personvern på alvor, og har i 2023 iverksatt flere prosjekter, forbedringstiltak og aktiviteter for å imøtekomme et mer skjerpet trussel- og risikobilde.
I 2023 har Hafslund videreutviklet og fortsatt implementering av styringssystem for informasjonssikkerhet etter tidligere endringer i konsernet. Arbeidsprosesser, prosedyrer og teknologiske tiltak er videreutviklet og implementert i retningslinjer, prosesser, rutiner og teknologiske løsninger. Til sammen skal dette gi konsernet et velfungerende styringsverktøy som sikrer et akseptabelt risikonivå for Hafslunds virksomhet. Kontroll av implementering og etterlevelse er gjort gjennom egne og uavhengige revisjoner og tilsyn, sikkerhetstester, sikkerhetsgjennomganger, beredskapsøvelser, og måling av modenhet.
Forbedringsarbeid og aktiviteter er definert gjennom et flerårig og kvartalsvise veikart. De viktigste og mest vesentlige aktivitetene for 2023 er overordnet beskrevet nedenfor:
Sikkerhetsstyring
Forbedring og videreutvikling av konsernets ledelsessystem/styringssystem for informasjonssikkerhet, og påse at konsernet ivaretar endringer i lov- og regelverk for informasjonssikkerhet, personvern og beredskap.
Sikkerhetskultur
Opplæring, holdningsskapende arbeid og forbedring av sikkerhetskultur og risikoforståelse rundt digital og fysisk risiko/trusler, med hensikt å redusere risiko for sosial manipulering, uønskede hendelser og feil fra ansatte og innleide. Mål om å sikre at personell i Hafslund til enhver tid utøver og ivaretar god praksis for fysisk sikkerhet, informasjonssikkerhet og personvern.
Bemanning og kapasitet
Videreutviklet organisering og bemanning av beredskap og informasjonssikkerhet i henhold til endringer i konsernet. Gjennomført konsekvensanalyse for å nå konsernets definerte ambisjonsnivå på modenhet for informasjonssikkerhet og personvern. Økt beredskap og sikring som følge av et mer skjerpet trussel- og risikobilde.
Teknologi
Videreutvikling av IT-tjenester og systemportefølje for å forbedre og optimalisere tjenestelevering i konsernet. Kontinuerlig forbedring og modernisering av teknologiske sikringstiltak og sikkerhetsløsninger i henhold til endringer i risiko- og trusselbildet, og etter anbefalinger fra myndigheter.
Personvern
Forbedring av personvern og håndtering av personopplysninger for å ivareta krav til behandlinger, herunder ivaretakelse av de registrertes rettigheter og sikre lovlige behandlinger, samt beskyttelse av personopplysninger. Herunder opprettelse av en egen stilling for å ivareta ansvar med styring av personvernregelverket.
Beredskap og beredskapsøvelse
Beredskap og IT-beredskapsøvelser er avholdt på ulike områder og deler av konsernet. IT-beredskapspersonell har øvd på aktivering av beredskapsroller og beredskapsorganisering i ulike beredskapssituasjoner. Herunder er det gjennomført øvelser av både typen mobiliseringsøvelse, teoretiske table-top/diskusjonsøvelse, tekniske hands-on øvelser og fysiske øvelser.
Måling, revisjon og etterlevelse
For å sikre kontinuerlig forbedring og kontroll på etterlevelse av eksterne og interne krav til sikring og beredskap, er det gjort flere typer revisjoner og kontrollerende aktiviteter. Herunder etterlevelse av lov- og regelverk, krav i Styringssystem for informasjonssikkerhet, samt modenhetsanalyse og benchmarking. I tillegg er området informasjonssikkerhet revidert av konsernets internrevisjon. Hensikten var å kvalitetssikre og påse at arbeidet med informasjonssikkerhet svarer til konsernets behov og forventninger fra eiere, styret og øverste ledelse.
Mål
Dette vesentlige temaet og det tilhørende styringssystemet er en prosess med fokus på kontinuerlig forbedring og tilpasning til det gjeldende risikobildet. Følgende mål er definert for temaet:
| Mål | Resultat 2023 | Resultat 2022 | Kommentar |
|---|---|---|---|
| Ingen uhåndterte IT-sikkerhetshendelser | 0 | 0 | |
| Ingen IT-sikkerhetshendelser med alvorlig konsekvens | 0 | 2 | Uværet «Hans» og hendelsen på Braskereidfoss er ikke regnet som IT-sikkerhetshendelse |
| Minimum 1 IT-beredskapsøvelse avholdt | 3 | 3 | |
| Ingen brudd på personvernet, herunder personopplysningssikkerhet som medfører høy risiko for Hafslunds ansatte | 0 | - | Ny |
Indikatortabell
Sikring og beredskap
| Sikre IT-tjenester og systemer | Enhet | 2023 | 2022 | Kommentar |
|---|---|---|---|---|
| Antall uhåndterte IT-sikkerhetshendelser | Antall | 0 | 0 | |
| Antall IT-sikkerhetshendelser med alvorlig konsekvens | Antall | 0 | 2 | |
| Antall IT-beredskapsøvelse | Antall | 3 | 3 | |
| Antall brudd på personvernet som kan gi høy risiko for våre registrerte | Antall | 0 | - | Ny indikator. |
