SCADA-sikkerhet i vannforsyningsanlegg

SCADA-systemer i vannforsyningsanlegg overvaker og styrer prosesser som vannbehandling (klorering, filtrering, pH-regulering), pumpestasjoner og distribusjonssystemet. Disse systemene kommuniserer typisk via MODBUS, DNP3 eller proprietare protokoller over eksisterende kommunikasjonsinfrastruktur, som kan inkludere offentlig internett for fjernanlegg. (NIST SP 800-82, 2023)

Typiske sarbarheter i vannverks-SCADA:

• HMI-grensesnitt eksponert direkte pa internett (identifisert pa Shodan)
• Standard passord pa OT-enheter som aldri er endret
• Windows XP/7-baserte SCADA-klienter uten sikkerhetsoppdateringer
• Fjernstyringsverktoy (RDP, TeamViewer) med svak autentisering
• Manglende nettverkssegmentering mellom IT-kontornett og OT-systemer

Norske kommuner: Ressursutfordringer og kompetansegap

Norske kommuner drifter de fleste vannverk, og utfordringen er todelt: mangel pa OT-sikkerhetskompetanse og begrenset budsjett. En typisk norsk mellomstor kommune (20 000-50 000 innbyggere) har ett eller to vannverk med begrenset IT-stab uten OT-sikkerhetserfaring. NSMs rapport fra 2024 identifiserte at over 60% av norske kommunale vannverk manglet grunnleggende OT-sikkerhetstiltak som nettverkssegmentering og MFA for fjerntilgang. (NSM, 2024)

[PERSONAL EXPERIENCE] I arbeid med norske kommuner er den vanligste utfordringen ikke vilje, men ressurser og kunnskap. Kommunale IT-avdelinger er generaliststyr som haandterer alt fra PC-support til OT-systemer. OT-sikkerhet er en spesialdisiplin de mangler kompetanse pa. Interkommunalt samarbeid og managed OT-sikkerhetstjenester er de mest praktiske losningene for kommunene.

Interkommunale selskaper (IKS) for VA-tjenester (vann og avlop) er en lovende modell: ved a samle ressurser kan kommuner ansette eller kjope OT-sikkerhetskompetanse som enkeltkommune aldri ville hatt rad til. Mattilsynet og NSM anbefaler interkommunalt samarbeid pa OT-sikkerhet.

Regulering: Mattilsynet, NVE og Digitalsikkerhetsloven

Vannforsyning er regulert av Mattilsynet (mattrygghet og drikkevann), NVE (energi og beredskap) og Folkehelseinstituttet (folkehelseperspektiv). Digitalsikkerhetsloven (NIS2-implementering) inkluderer vannforsyning som kritisk sektor, med krav om risikostyring, hendelsesrapportering og sikkerhetstiltak. For de fleste norske vannverk betyr dette at de ma ha et dokumentert OT-sikkerhetsprogram og rapportere alvorlige hendelser til NSM. (NSM, 2025)

Drikkevannforskriften stiller krav til sikkerhet og beredskap for vannforsyningssystemer, inkludert krav om beredskapsplan som skal adressere sabotasje og uvedkommendes tilgang. I 2024 ble drikkevannforskriften oppdatert for a inkludere mer eksplisitte krav til digital sikkerhet for OT-systemer i vannforsyningen.

Konkrete OT-sikkerhetstiltak for vannverk

For norske vannverk anbefaler vi folgende prioriterte sikkerhetstiltak, rangert etter kritikalitet:

1. Fjern eller sikre all internett-eksponert OT: SCADA-grensesnitt skal ikke vare direkte tilgjengelig fra internett. Bruk VPN med MFA for all fjerntilgang
2. Endre alle standardpassord: PLS, HMI og nettverksenheter leveres med standardpassord som er offentlig kjente. Endre alle umiddelbart
3. Segmenter IT og OT: Kontornett og OT-systemer skal vare i separate nettverkssegmenter med brannmur mellom
4. Deaktiver unodvendig fjernstyringsverktoy: TeamViewer, RDP og lignende pa OT-systemer skal fjernes eller deaktiveres nar de ikke er i aktiv bruk
5. Kartlegg alle OT-enheter: Skaff fullstendig oversikt over alle tilkoblede enheter i OT-nettverket
6. Etabler Physical Safety Limits: Kjemikaliedoseringssystemer skal ha maskinvaresikringer som forhindrer farlig overstyring uansett digitale kommandoer

Ofte stilte spørsmål

Hva er Shodan og hvorfor er det relevant for vannverk?

Shodan er en soksemotor som indekserer internett-tilkoblede enheter, inkludert OT-systemer og SCADA-grensesnitt eksponert pa internett. Trusselaktorer bruker Shodan til a finne eksponerte vannverks-HMI. NSM og CISA anbefaler at alle vannverk regelmessig sjekker om egne systemer dukker opp pa Shodan og umiddelbart fjerner all unodvendig eksponering. (Shodan)

Er interkommunalt samarbeid om OT-sikkerhet mulig?

Ja, og det anbefales sterkt for kommuner som mangler ressurser til egne OT-sikkerhetsressurser. Interkommunale VA-selskaper kan ansette delt OT-sikkerhetskompetanse, kjope shared managed OT-sikkerhetstjenester og dele trusselintelligens. Kommunenes Sentralforbund (KS) og Norsk Vann arbeider med anbefalte modeller for interkommunalt OT-sikkerhetssamarbeid.

Hva skal vi gjøre om vi oppdager et cyberangrep mot vannverket?

Aktiver beredskapsplanen umiddelbart. Isoler kompromitterte systemer fra nettverk. Varsle NSM (havarimelding til nsm.no), Mattilsynet og politiet. Aktiver manuell drift av kritiske prosesser om mulig. Kontakt OT-sikkerhetsspesialist for incident response. Ta vare pa bevis (logger, nettverkstrafikk) for etterforskning. Kommuniser med abonnenter om situasjonen dersom det er nodvendig.

Gjelder Digitalsikkerhetsloven for vannverk?

Ja. Vannforsyning er eksplisitt nevnt som kritisk sektor i Digitalsikkerhetsloven. Vannverk over en viss storrelsesterskel (antall abonnenter) er pliktsubjekter og ma implementere risikostyringskrav, ha beredskapsplaner og rapportere alvorlige hendelser til NSM innen 24 timer. NSM gir veiledning om hvilke vannverk som er pliktsubjekter. (NSM, 2025)

Konklusjon

Norsk vannforsyning er en sektor der OT-sikkerhet er direkte koblet til folkehelse. Angrep mot vannverk kan ha umiddelbare konsekvenser for befolkningens helse og tilgang til rent vann. Den gode nyheten er at de mest kritiske tiltakene, fjerne internetteksponering, endre standardpassord og segmentere nettverk, er relativt rimelige og raskt implementerbare.

For norske kommuner som mangler ressurser til eget OT-sikkerhetsarbeid, er interkommunalt samarbeid og managed security services de mest realistiske losningene. Digitalsikkerhetsloven gir naadvendig drivkraft og legitimitet for slike investeringer.