Zero Trust och NIS2 på agendan för Vakin 

Det kommunala bolaget Vakin (Vatten och avfallskompetens i norr) var tidigare en avdelning inom Umeå kommun. Vakin har fortfarande kommunen som driftpartner på all administrativ it, medan man driftar OT själva.

– Vakin har hela tiden prioriterade it-säkerhet högt. Det har ibland gjort att kommunen kanske har uppfattat oss som krävande i våra säkerhetskrav, men under de senaste två åren har vi fått en bättre förståelse och dialog. Idag har vi en mer gemensam syn på säkerhet, säger Mats Wilhelmsson, CIO på Vakin.

Zero trust för alla

En anledning till den höga svansföringen är att Vakin – som leverantör av samhällskritisk infrastruktur – har extra höga säkerhetskrav på sig och ofta är mål för cyberattacker. För att stärka säkerheten vill det kommunägda bolaget nu implementera Zero Trust-modeller i sina affärssystem, där varje användare och enhet måste verifieras innan de får tillgång. Men det finns vissa hinder i arbetet. 

– För oss 200 anställda på Vakin är Zero Trust absolut görbart. Problemet blir snarare när modellen ska implementeras för alla våra entreprenörer och konsulter, som vi ju är helt beroende av. De kan ha uppemot 80 kunder utöver oss, som alla har sina egna Zero Trust-lösningar. Visst, det skulle bli säkert – men inte så effektivt. Tillsammans med Umeå kommun försöker vi nu reda ut hur vi ska göra. 

Ett liknande dilemma finns gällande Vakins milslånga rörnät under marken, det vill säga de allmänna ledningsnäten för distribution av dricksvatten och avledning av spill- och dagvatten. Dessa rörnät hjälper entreprenörer till med att inspektera och samtliga rör finns i ett ärendehanteringssystem. 

– Det kan handla om entreprenadbolag som har fem specifika inspektörer idag, men om en månad har några slutat och det har tillkommit tre nya. Det är svårt att behålla kontrollen över vilka som har tillgång till våra system. Vi vill inte att nya och före detta chaufförer lånar ut inlogg till varandra. Det finns BankID såklart, men det går ju att komma runt om två personer hjälps åt. 

– Även här försöker vi tillsammans med Umeå kommun att reda ut hur vi ska komma åt problematiken fullt ut. I dagsläget anordnar vi säkerhetsutbildningar för samtliga entreprenörer som arbetar med oss. De måste ha koll på att vi inte är ett vanligt företag, utan att vi sysslar med kritisk infrastruktur. 

Akustisk leak detection

Vakin sysslar också med “akustisk leak detection” i rörnätet. Med det menas att man via vattenmätare installerade hos sina kunder registrerar läckageljud, speciellt under tider på dygnet när vattenanvändningen är som lägst.

– En kort ljudfil på cirka 0,4 sekunder analyseras av mätaren, som omvandlar den till ett ljudindex. Detta index skickas dagligen till våra system, och när flera mätare i närliggande områden visar ett förhöjt ljudindex samtidigt, ger det oss en indikation på att området kan ha en potentiell läcka.

– Våra tekniker analyserar sedan detta via ett enklare system med ML och AI för att mer exakt lokalisera läckan. Vi kan ofta hitta en läcka med en precision på ner till en meter. Den stora fördelen med tekniken är att vi kan upptäcka läckor långt tidigare än förut.

Även här är säkerheten förstås en viktig fråga.

– Vi ser till att all denna information hanteras säkert och i våra egna system, snarare än i publika molntjänster. 

Dags för NIS2

Snart träder även NIS2 i kraft. Den 17 oktober i år ska berörda aktörer vara redo för den uppdaterade förordningen. Det ursprungliga NIS-direktivet omfattade Vakins vattenverksamhet, men med NIS2 omfattas även avfallssidan. 

– Detta har inneburit ett hiskeligt arbete för oss. Vi har tagit armkrok med Umeå kommun på it-sidan för att kunna uppfylla alla delar av NIS2. På OT-sidan har vi fört diskussioner och lärt oss från verksamheter som kommit längre på området. Vi skapar också interna utbildningsprogram för att öka kunskapen om regelefterlevnad och säkerhet rent allmänt. 

– På ett mer tekniskt plan ska vi implementera det robusta systemet Nebula i de miljöer som är mest skyddsvärda. Det är en krypteringsutrustning som skyddar vår data och säkerställer efterlevnad med NIS2. Summa summarum finns mycket att göra på säkerhetsfronten – men man får inte glömma bort att innovera mitt i allt. Det gäller att gasa på alla fronter.