Reflektioner 03.03.2019

AMI-datasäkerheten är en del av elnätets tillförlitliga drift

Harri Valkonen, Head of Product Management, Aidon:

Elnätet är en del av samhällets kritiska infrastruktur och med digitaliseringen ökar dess betydelse ständigt. Därför är elnätet ett intressant objekt för sabotörer. Datasäkerheten inom alla delar av ett elnät som blir alltmer digitaliserat måste fungera. Vad ska datasäkerheten för fjärravläsningssystem som förmedlar stora mängder detaljerad information innehålla, och vad kan elnätsbolagen göra för att säkerställa säker insamling, överföring, lagring och användning av data?

Ett livsvillkor för en smidig affärsverksamhet är att den väsentliga informationen är pålitlig, uppdaterad och tillgänglig. Därför är en stark datasäkerhet mycket viktig för företag och organisationer. Det är även mycket viktigt för elnätets ägare att få säkra mätresultat från nätets alla delar. Som utvecklare av AMI (Advanced Metering Infra)-lösningar tar vi på Aidon vår del av ansvaret för att bygga och upprätthålla en stark datasäkerhet.

AMI-datasäkerheten är inte bara en IT-lösning med brandväggar och kryptering, utan systemets datasäkerhet omfattar allt från elmätarna till avläsningssystem och affärssystem. Vad ska datasäkerheten omfatta? När man talar om datasäkerhet använder man ofta CIA som förkortning. Akronymen bildas av orden ConfidentialityIntegrity och Availability, vilket beskriver datasäkerhetens huvudmål:

1. Informationens sekretess

Harri Valkonen, Head of Product Management, Aidon

Confidentiality of information syftar på dataskydd och på informationens sekretess: data ska vara skyddad mot obehörig användning, vilket innebär att endast de instanser som har rätt till den får ta del av dessa data. Sekretessen hör framförallt ihop med skyddet av den personliga integriteten: ännu noggrannare insamling av tidsdata gör det möjligt att noggrant följa konsumenters vanor. De personer som hanterar privatpersoners information måste vara bundna av sekretess. Vid analys av elförbrukningen samt nätets skick och belastning kan olika skyddsåtgärder tillämpas på behandlingen av personuppgifter: minimering, pseudonymisering och anonymisering. Minimering innebär att den insamlade informationen begränsas till exakt det som behöver analyseras. Pseudonymisering innebär att till exempel identiteten, adressen och koordinater för en mätpunkt eller avläsningssystemets användardata ersätts med en pseudonym så att de inte kan länkas till en viss person. Anonymisering innebär att personen inte längre kan identifieras utifrån data. Identifieringen måste raderas oåterkalleligt och på ett sådant sätt att ingen extern instans åter igen kan göra den identifierbar.

2. Dataintegritet

Integrity of information innebär att data ska förbli oförändrad under hantering, arkivering och överföring. Data får inte heller tappas bort på grund av oförsiktighet. Det måste vara möjligt att verifiera informationens ursprung, till exempel måste elförbrukningen kunna spåras. Kommunikationsfel i den digitala miljön kan orsaka fel som påverkar dataintegriteten. Avsiktlig manipulering av förbrukningsdata kan vara ett problem och det ska finnas mekanismer för att upptäcka och förhindra detta.

3. Tillgänglighet till data

Availability of information syftar på informationens tillgänglighet och användbarhet. Data ska vara enkelt och snabbåtkomligt för de instanser som behöver dem. Ett elavbrott eller ett systemfel kan orsaka fördröjningar i åtkomsten. En cyberattack kan medföra att systemet måste stängas av, så att data inte längre är åtkomligt. Dataåtkomsten hör ihop med arkiveringen och arkivets åtkomlighet.

Hur målen ska nås

Insamling och säker överföring av insamlade data om eldistributionen och elförbrukningen till de instanser som behöver och har rätt att hantera sådana data är en central uppgift för Aidon. De avancerade säkerhetslösningar som vi tillhandahåller utgör en viktig del av helheten, men det räcker inte enbart med tekniska lösningar. Helheten påverkas också av mänskligt beteende, processer och andra administrativa åtgärder.

Terrorism och krig är inga typiska hot mot datasäkerheten i det nordiska samhället. Försumlighet och nonchalans innebär ett större hot. Svaga lösenord som förvaras oaktsamt, olåsta datorer, tillträde för okända personer vars identitet inte kontrolleras, eller anslutning av ett USB-minne till den egna datorn av ren nyfikenhet, utgör mer sannolika risker än massiva cyberattacker som syftar till att störa affärsverksamheten eller att slå ut elnätet. Risker för datasäkerheten orsakade av misstag i den egna verksamheten hamnar sällan på löpsedlarna, till skillnad mot cyberattacker. Ett starkt IT-system och ansvarskännande systemanvändare bidrar till att förebygga eventuella cyberattacker och skyddar eldistributionen som helhet.