Smart mätning och IT-säkerhet är ett omtalat ämne runt om i Europa. Temat har kommit upp även i Sverige genom Energimarknadsinspektionens funktionskrav på smarta mätare och arbetet med tjänstehubben. Vad behöver man veta om IT- och informationssäkerhet när man planerar att införa smarta mätlösningar?
I slutet av år 2015 slog en hackerattack ut elen i hela Ukraina och satte fokus på IT-säkerheten inom energisektorn. Nätattackerna har blivit alltmer systematiska och professionella och kan i värsta fall utgöra ett hot mot såväl konsumenters integritet som mot elsystemens stabilitet.
Nätbolagens system blir allt smartare och mer integrerade, vilket gör dem mer utsatta för hackerattacker. Det är därför viktigt att nätbolagen tar hänsyn till aspekter som rör IT-säkerhet när de förbereder sig inför den andra vågen av smarta mätare.
Nu utformas nya krav på IT-säkerhet för smarta mätare som också kommer att påverka de tekniska egenskaperna för fjärravläsningsteknikens nästa generation.
Ei fortsätter utreda säkerhetsaspekterna
Nätbolagens IT-säkerhet utvecklas av många olika aktörer. En del av arbetet görs på EU-nivå genom specifikationer och lagstiftning och en del av olika europeiska branschorganisationer och arbetsgrupper. Även nationell lagstiftning och energimyndigheter som Ei har en viktig roll.
I Sverige har frågor kring integritet och säkerhet luftats särskilt i Ei:s funktionskrav på framtidens elmätare, där Ei lyft fram behovet av fortsatt analys kring integritetsfrågor och informationssäkerhet. Säkerhetsaspekterna har även behandlats som en del av arbetet med tjänstehubben.
Nytt EU-direktiv träder i kraft
IT-säkerheten kommer även att påverkas av EU-lagstiftning och det så kallade NIS-direktivet (Network and Information Security) som syftar till att höja beredskapen i medlemsstaterna. Direktivet innebär att vissa aktörer inom energisektorn kommer att klassas som operatörer som tillhandahåller grundläggande tjänster, som åläggs åtgärder för att förbättra IT-säkerheten och ska rapportera allvarliga incidenter till nationella myndigheter. Medlemsstaterna själva avgör vilka aktörer detta gäller. Direktivet omfattar hela EU och trädde i kraft i augusti 2016, varefter medlemsstaterna har 21 månader tid på sig att införliva dess innehåll i nationell lagstiftning.
Minimikrav för informationssäkerhet i AMI-komponenter
Samtidigt som arbetet med NIS-direktivet har fortskridit inom EU har flera branschorganisationer och arbetsgrupper börjat lägga fram praktiska riktlinjer. En av dessa är Smart Metering Co-ordination Group som samarbetade med ESMIG Security and Privacy Group för närvarande tekniska minimikrav för AMI-komponenter.
’Minimum security requirements for AMI components’ gäller komponenter som används vid fjärravläsning, till exempel smarta mätare, dataöverföring och system. Förteckningen baserar sig på över 300 krav som var uppdelade i grupper och kopplade till funktionella krav. Resultatet är 9 huvudkrav på bland annat följande funktioner: händelseloggar för informationssäkerhet, uppdaterbarhet för AMI-komponenterna med nya säkerhetsfunktioner och standardisering av krypteringsmekanismer och nyckelhantering.
Landis+Gyr levererar totallösningar för smart mätning och deltog aktivt i ESMIG-gruppens arbete tillsammans med andra företag i branschen och experter på IT-säkerhet. Informationssäkerhet är en viktig del av vår verksamhet och en viktig kvalitetsaspekt för våra produkter.
Informationssäkerhet utgör ett centralt designkriterium för alla komponenter i vår Gridstream-lösning: utrustningen, dataöverföringen, systemen, installationsarbetet och underhållet.
- Smart Metering Coordination Group