Varsler om koordinerte angrep

Etter at Russland startet krig mot Ukraina, og Sverige og Finland deretter ble medlemmer av Nato, har Norden blitt et mål for russisk aggresjon. I Sverige og Finland har det forekommet en rekke innbrudd og sabotasjer de siste par årene. Engelske vannverk melder om hacker-angrep med krav om løsepenger. Russiske trollfabrikker har også begynt å produsere fake news og sette ut rykter på sosiale medier om at drikkevannet er forurenset. Målet for Russland er å de-stabilisere samfunnet og dermed skremme Vesten fra å støtte Ukraina.

Varsler

I Norge varslet PST nylig at prorussiske hackere tok styringen over en vannkraft-dam i Bremanger slik at lukene stod åpne i fire timer. I februar 2025 måtte Östersunds kommune i Sverige gå ut og avkrefte falske rykter om parasitter i drikkevannet. Ryktene ble spunnet over en tilsvarende hendelse fra femten år tilbake.

Det er E-tjenesten, PST og NSM som beskriver det nye trusselbildet. PST vurderer det det som sannsynlig med sabotasjeaksjoner mot mål i Norge i 2025, og trolig vil det dreie seg om sammensatte aksjoner, der fysisk, cyber og påvirkning brukes koordinert. NSM understreker at scenarioer som for få år siden virket utenkelige, nå er realistiske, og at virksomheter må prioritere forebyggende tiltak umiddelbart.

Vurderinger

- De nasjonale ugraderte trusselvurderingeen (Fokus 2025, Nasjonal trusselvurdering 2025 og Risiko 2025) ligger åpent tilgjengelige og bør leses av vannverkseierne, forteller Tore Leland-Try Gruppeleder VA Lillestrøm for Sweco. Sweco har tidligere har bistått Norsk Vann med å lage rapporten «Sikkerhetsstyring i vannbransjen». I denne rapporten pekes det på at tiltak mot tilsiktede hendelser er gjennomført i varierende grad.

Leland-Try hadde et innlegg om trusler mot vannforsyningen under seminaret “Innovasjon og bærekraft i VA” som Brødrene Dahl nylig arrangerte sm del av arrangementet “Langs Akerselva”.

Sårbart

- Generelt ser vi at alle anlegg kan være sårbare. Eldre anlegg kan slite med svak fysisk sikring (f.eks. lett adkomst til bassengtak/luker) og at moderne anlegg har digitale flater med sårbarheter. Flere kommuner har ikke tilfredsstillende reservevann eller alternativ forsyning, som kan være redningen hvis det skulle skje noe, sier Leland-Try.

Sikkerhet er regulert i drikkevannsforskriften, der veilederen til forskriften er oppdatert i 2025 og tydeliggjør bl.a. at vannverkseier bør vurdere behov for tak på drikkevannsbassenget, lås på innganger til vannbehandlingsanlegg, basseng og pumpestasjoner, alarm/overvåking, innlåsing av kjemikalier og kontroll på nøkler og låsbytte.

Anbefaler

- Veilederen presiserer også at alle styringssystemer skal sikres mot dataangrep, og peker på tiltak anbefalt av NSM (Grunnprinsippene for IKT-sikkerhet). Norsk Vann-rapport 229/2017 er en god start som praktisk veileder for fysisk sikring, sier Leland-Try.

Det finnes ca 1100 kommunale eller interkommunale vannverk, og hver eier har ansvar etter drikkevannsforskriften for sikring av sitt vannverk, herunder vannverk og høydebassenger. Det er Mattilsynet som er tilsynsmyndighet for vannverkene etter drikkevannsforskriften. Mattilsynet samarbeider med PST og NSM om trusselbildet og har oppdatert veilederen i 2025 med råd fra NSM om sikring mot dataangrep.

Rådgiver

- I praksis er det Mattilsynet som kommunene forholder seg til for råd og veiledning, også om økt sikkerhet og beredskap. Norsk Vann har i tillegg flere relevante fagrapporter (bl.a. A229 «Sikring av vannforsyning mot tilsiktede uønskede hendelser» og A238 «Informasjonssikkerhet og skybaserte tjenester for vannbransjen») sier Leland-Try, som anbefaler at man driver kontinuerlig øving og evaluering og forbedring av beredskapsplanene, som hvert vannverk er ansvarlig for.

Fra tidligere kartlegginger av sikkerhetsstyring i vannbransjen (Norsk Vann Rapport 2013|2015) så ser man at det er stor variasjon i sikkerhetsstyringssystemer hos vannverkene og etterlevelse av dette. Så det er grunn til å tro at det også er varierende hvor mye det faktisk øves på situasjoner. SSB-statistikk viser dessuten at det var en nedgang i utførte beredskapsøvelser hos kommunale vannverk i 2024

- Beredskap bygges stegvis med farekartlegging/ROS, dimensjonering mot definerte hendelser, og etablering av planer, reserveløsninger og øvelser. Mattilsynets veileder til § 11 beskriver dette tydelig. NSM er krystallklare i 2025: Norske virksomheter må prioritere forebyggende tiltak, reserveløsninger og beredskap nå – ikke vent på flere advarsler fra sikkerhetstjenestene, avslutter Tore Leland-Try, gruppeleder VA Lillestrøm for Sweco.