Energibolagen kämpar med fragmentering och silos, vilket förhindrar en effektiviserad strategi för efterlevnad. En mer solid grund behövs, men hur kan detta göras?
Av Kate O'Flaherty
Energibolag driver många olika system, av vilka många aldrig var avsedda att anslutas till internet. Det är därför ingen överraskning att Cybersäkerhet — och efterlevnad av regelverk som täcker området — är fortfarande en av sektorns största utmaningar.
I 2010, den Stuxnet-mask visade det verkliga hotet som en cyberattack mot sektorn utgjorde, efter att centrifuger som användes i det iranska kärnkraftsprogrammet utplånats. På senare tid har kriget mellan Ryssland och Ukraina sett flera statsstödda cyberförsök mot Ukrainas elnätSamtidigt, i USA, vattensektorn har också varit under attack.
Den växande risken för attacker som dessa och deras förödande konsekvenser har lett till ett antal förordningar som syftar till att stärka säkerheten för allmännyttiga företag, inklusive EU:s nätverks- och informationssystemdirektiv 2 (2) och Storbritannien Lagförslag om cybersäkerhet och motståndskraft.
I takt med att energibolag strävar efter att följa dessa många regler har vissa kritiserat branschen för att vara långsam med att anpassa sig. Faktum är att en nyligen genomförd blogg av Ernst & Young belyser ett behov av artificiell intelligens (AI)-teknik för att hantera komplexa riskhanteringsstrategier och säkerställa efterlevnad.
Men i en bransch som redan kämpar med fragmentering och silos, är det verkligen lösningen att lägga till fler verktyg?
Hålla jämna steg med regleringen
Många experter säger nej. Istället behöver energibolag en enhetlig, konstruerad stamnätsstruktur för regelefterlevnad som matchar komplexiteten i de fysiska system de driver. Detta börjar med att fixa grunden, snarare än att lägga ny teknik ovanpå gammal fragmentering.
De senaste cyberincidenterna som drabbat energibolag belyser en utmaning som går utöver att hålla jämna steg med regleringar. Pressen som energibolag står inför är verklig, men det beror inte på att reglerna förändras snabbare än organisationer kan reagera på.
Det beror på att kostnaden för fragmenterad, frånkopplad efterlevnad och riskhantering ”ökar snabbare än vad energibolagen kan absorbera”, säger Darren Guccione, VD och medgrundare på Keeper Security. IO.
Energibolag driver några av de mest sammankopplade fysiska systemen i världen. Ändå är processerna som styr cybersäkerhet, operativ motståndskraft, integritet, åtkomst från tredje part och regelefterlevnad ofta frikopplade från varandra.
"Cybersäkerhet, operativ teknik (OT) säkerhets-, integritets-, revisions- och regleringsteam är ofta organiserade som parallella funktioner, var och en med sina egna kontroller, verktyg och rapporteringsvägar, men begränsad gemensam insyn eller samordning, påpekar Guccione. ”Den fragmenteringen skapar verklig exponering.”
Dessa silos leder till ”dålig kommunikation, dubbelarbete, missförstånd och långsamt beslutsfattande”, säger Tracey Hannan-Jones, konsultchef för informationssäkerhet på UBDS Digital. ”Så när nya regler kommer tolkar och implementerar varje avdelning förändringar på olika sätt – eller inte alls – vilket leder till inkonsekvenser, ineffektivitet och dåligt utformade regelverk för att möta krav.”
Konceptet ”teknisk skuld” inom programvara – genvägar som skapar sammansatta framtida kostnader – ”passar perfekt ihop med efterlevnad”, säger Rayna Stamboliyska, VD på RS Consulting. ”Varje gång ett företag fäster ett nytt regelkrav på fragmenterade befintliga system, istället för att omstrukturera grunden, ackumulerar organisationen en ’efterlevnadsskuld’. ’Kostnaden för fragmenterad efterlevnad’ är i själva verket räntebetalningar på ’efterlevnadsskuld’ – och brittiska företag betalar sammansatt ränta utan att minska kapitalbeloppet.”
Underbearbetad
Ingen mängd ny teknik kan lösa problemet – särskilt om den bara läggs ovanpå fragmenterade system.
År 2024 använde stora företag i genomsnitt 45 cybersäkerhetsverktyg, enligt GartnerDetta tyder på att det inte är kärnproblemet att vara ”underutrustad med verktyg”, säger Rik Ferguson, vice vd för säkerhetsinformation på Forescout. ”På pappret kan den verktygsdjupet verka betryggande. I praktiken skapar det ofta ett annat problem: En säkerhetsmiljö som är hektisk, bullrig och svår att driva som en sammanhängande helhet.”
Styrelser ser ofta omfattande verktyg och antar att täckningen är heltäckande, säger Ferguson. ”Säkerhetsteam lägger samtidigt enorma mängder tid på att sammanfoga information, validera varningar och jaga aktivitet som inte alltid leder till mätbar riskminskning.”
Mitt i denna komplexa miljö kan organisationer se AI som "räddaren". Men detta kommer aldrig att fungera eftersom AI frodas på "högkvalitativ, integrerad data", säger Hannan-Jones på UBDS Digital. "I fragmenterade verktyg är data ofta av dålig kvalitet, spridd, inkonsekvent eller oåtkomlig. Utan enhetliga data kan AI-modeller bara producera begränsade eller otillförlitliga insikter."
En annan faktor att beakta är att AI inte kan åtgärda organisatoriska silos, säger Hannan-Jones. ”AI kan automatisera uppgifter eller generera rekommendationer, men den kan inte tvinga avdelningar att samarbeta eller dela information.”
Effektivt tillvägagångssätt
Istället för att bara lägga till nya verktyg bör energiföretag arbeta med en effektiviserad strategi för efterlevnad. Detta kan bidra till att underlätta central orkestrering, lokal ansvarsskyldighet, konsekventa kontroller, kontinuerlig övervakning och en integrerad syn på risker.
Som en del av detta ger standardisering ”ett enhetligt ordförråd och en uppsättning procedurer” för risk, säkerhet, integritet och AI, säger Hannan-Jones. Till exempel, ISO 27001 som omfattar informationssäkerhet, ISO 22701 om integritet, och ISO 42001 styrande AI-hantering.
Dessa ramverk kräver tydlig fördelning av roller och ansvar genom en centraliserad strategi. Detta säkerställer att alla vet vem som är ansvarig för vad, vilket förbättrar samordning och kommunikation och minskar luckor, säger Hannan-Jones. ”Organisationer kan sedan tillämpa dokumenterade, repeterbara processer för riskbedömning, incidenthantering och driva kontinuerlig förbättring”, förklarar hon.
Samtidigt, eftersom ISO-standarder är riskbaserade, kräver de att organisationer betraktar risker holistiskt, snarare än som en silo. Samordningen av riskhantering med affärsmål säkerställer att alla avdelningar "arbetar mot samma mål med en konsekvent strategi", säger Hannan-Jones.
När man vill effektivisera sin organisation är det första steget att kartlägga och standardisera sina kärnprocesser, råder Hannan-Jones. ”Dokumentera alla viktiga arbetsflöden i hela organisationen, inklusive tillgångshantering, underhåll, incidenthantering och riskhantering. Detta skapar tydlighet, avslöjar dubbelarbete, identifierar luckor och ger en stark baslinje för standardisering.”
Det är viktigt att se till att alla, inklusive ledningen, är med på tåget, säger Hannan-Jones. ”Som högre chefer måste man förespråka den enhetliga efterlevnadsmetoden, kommunicera dess värde och fördela resurser. Hållbar förändring kräver synligt stöd från toppen, med tydliga budskap i hela organisationen.”
Fördelar med efterlevnad
Även om utmaningar kvarstår blir regleringen inte mer komplex. Istället avslöjar den hur röriga och bräckliga interna strukturer har blivit. Risker inom energibolag blir bara en tillgång när de behandlas som själva elnätet: Ett fungerande system som är uppkopplat, kontinuerligt övervakat och konstruerat för motståndskraft.
Fördelarna är tydliga: När regelefterlevnaden blir samordnad och integrerad får energibolag snabbare regulatoriska åtgärder, en starkare cyberposition, mer tillförlitliga AI-modeller, bättre styrelseförsäkran och minskad dubbelarbete och kostnader.
Samordnad, integrerad efterlevnad gör det möjligt för företag att ”återfå operativ kapacitet”, så att de kan omdirigera sin energi till att förbättra säkerhetsresultaten, säger Conor Sherman, CISO på Sysdig. ”Du kan sedan lägga din tid på att förbättra nätets motståndskraft, snarare än att argumentera om ursprunget till en skärmdump för en revisor.”
