Det er i øjeblikket svært at tale vedvarende energi uden også at tale cybersikkerhed.
For nyligt skrev Berlingske eksempelvis, at der lige nu efterforskes uforklarlige dele, der er fundet i dansk energiinfrastruktur.
Nyheden kom, kort efter at man i USA havde fundet sendere i såkaldte omformere i solcelleparker og batterier fra Kina. En teknologi, der i værste fald kan bruges til at udløse strømafbrydelser.
For godt en måned siden hævede den danske Energistyrelse beredskabsniveauet i flere dele af energisektoren fra grøn til gul. Det vil sige fra lav til middel risiko.
Risikoen er der, og man skal tage højde for den risiko
Jakob Scharf, direktør for Certa Inteligence
Og om omtrent to uger træder et nyt EU-direktiv i kraft – det såkaldte NIS2 – hvis formål er at styrke modstandsdygtigheden over for netop cybertrusler på tværs af EU. Direktivet stiller krav til virksomheder inden for bl.a. energiområdet om at implementere en række sikkerhedsforanstaltninger.
Men hvordan skal man forholde sig til truslen, og hvor stor er den egentlig, når vi taler Kina?
Børsen har spurgt en sikkerhedskonsulent, en folketingspolitiker, en virksomhed, der bruger kinesiske komponenter i sine energiløsninger, og en tidligere PET-chef om netop det.
“For det første handler det om at gøre sig klart, at der er en betydelig spionagetrussel, som udspringer fra Kina,” siger Jakob Scharf, der engang var chef for PET og nu har sin egen private efterretningstjeneste- og sikkerhedsbureau Certa Intelligence.
Han tilføjer:
“Dernæst handler det om at tjekke for bagdøre og sikre, at de ikke kan udgøre en risiko.”
Men alt det vender vi tilbage til.
Politikeren
Selvom Kina ofte bliver nævnt, når samtalen falder på spionage, er landet ikke nævnt med et ord i det nye NIS2-direktiv, der træder i kraft den 1. juli. Det samme gælder andre stater, man bør tage sig i agt for.
Direktivet stiller i stedet krav til, at virksomhederne har tjek på forsyningssikkerheden i form af underleverandører, informationssikkerhed, personalesikkerhed m.fl.
Hos mig får det nogle røde lamper til at blinke
Kasper Roug (S), medlem af Folketinget
Selvom direktivet ikke direkte italesætter Kina, vil folketingspolitiker Kasper Roug (S), der bl.a. sidder i Forsvars-, samfundssikkerheds- og beredskabsudvalget, gerne gøre netop det.
“Der står jo ikke noget i lovgivningen om, at man skal være opmærksom på kinesisk teknologi, men det vil jeg gerne sige, at man skal. Man skal tage sig i agt,” fastslår han.
I de seneste trusselsvurderinger og rapporter fra både PET, FE og Center for Cybersikkerhed fremgår det som meget sandsynligt, at Kina udfører cyberspionage mod Danmark for at stjæle viden og overføre teknologi.
Det kombineret med USA’s nylige blacklisting af kinesiske batteriproducenter og Nato, der i maj advarede “med stigende bekymring” mod cyberangreb fra Kina, viser ifølge Kasper Roug, at Kina-spørgsmålet bør tages alvorligt.
“Hos mig får det nogle røde lamper til at blinke” siger han og tilføjer:
“Jeg er bekymret for, at virksomheder giver kineserne en bagdør, fordi de ikke er opmærksomme på risikoen – eller tager det alvorligt. Og med bagdør mener jeg en indgang ind, hvor de ganske enkelt får mulighed for at slukke for solceller, vindmøller eller sågar varmepumper.”
Har I på Christiansborg ikke også et ansvar i at udstikke nogle klare rammer, virksomheder kan forholde sig til?
“Det synes jeg også, myndighederne løbene gør opmærksom på, men i sidste ende er det jo virksomhederne, der beslutter, hvilken teknologi de anvender,” siger han.
Sikkerhedskonsulenten
En anden, der heller ikke mener, at man bør tage for let på Kina og kinesisk teknologi, er John Strand, der er sikkerhedsekspert og driver konsulentvirksomheden Strand Consult, der i mange år har rådgivet både embedsmænd og virksomheder om sikkerhed i teleinfrastrukturen.
Det har været en meget klar strategi fra vores side
Alexander Russo, landechef i Capture Energy
I den forbindelse har han advaret om risikoen ved at bruge kinesiske leverandører og udstyr i telesektoren – en risiko, han også mener, er aktuel, når vi taler energi.
“Man skal ikke bruge kinesisk udstyr i telenetværkene. Det er der sådan set enighed om på tværs af EU. Men på energisiden er man slet ikke så langt endnu,” siger han og henviser bl.a. til EU’s 5G Toolbox, der opstiller rammer og krav til sikkerheden i den europæiske telesektor.
I 2021 førte den bl.a. til, at kinesiske Huawei blev forbudt at hjælpe TDC med at opsætte det danske 5G-netværk. Og virksomheder i energisektoren bør forvente samme udvikling for energiområdet, mener John Strand.
“For os at se er risikoen den samme,” siger han.
Virksomheden
Det fører os til virksomheden. For selvom risikoen er til at føle på, er der også noget ved det kinesiske grej, der kan være svært at komme udenom.
Sidste uge fortalte energikoncernen Eurowind til Børsen, at den overvejer at skifte over til kinesiske vindmøller efter kun at have holdt sig til de europæiske.
Børsen har også tidligere beskrevet, hvordan virksomheden Ewii bruger kinesiske batterier fra producenten CATL i deres anlæg.
Lige såvel benytter den svenske batterivirksomhed Capture Energy, der også sælger batterianlæg i Danmark, sig af kinesisk teknologi.
“Kina er ikke til at komme uden om. De er absolut verdensførende på teknologien og laver kvalitetssikre batterier. Samtidig er prisen på dem faldet markant, hvilket også gør dem til en attraktiv businesscase,” forklarer virksomhedens danske landechef Alexander Russo.
Det er dog ikke ensbetydende med, at virksomheden lukker øjnene for den risiko, der kan være forbundet med batterierne fra Kina, understreger han.
Derfor har Capture Energy udviklet sit eget styringssystem i batterierne, mens den såkaldte inverter, der sørger for at sende strøm til og fra batterier i deres batterisystemer, er tysk produceret.
Det er netop de dele i batterierne, der kan udgøre en risiko for hacking, har eksperter påpeget. Derfor bør virksomheder få dele fra Europa.
“Det har været en meget klar strategi fra vores side og en måde at differentiere os i markedet; selvom vi bruger battericeller fra Kina, sørger vi for, at resten af softwaren er europæisk, så der ikke er nogle bagdøre ind i systemet,” siger Alexander Russo.
Der er dog stadig et område, der gør ham en smule utryg.
I en volatil verden, hvor spændinger hurtigt kan skifte kurs, kan Capture Energy observere, hvor afhængig selskabet rent faktisk er af Kina.
Fra 2026 vil virksomheden derfor også kunne tilbyde deres kunder, at få batterier fra den koreanske producent LG, som arbejder på at få en produktion op at stå i Polen.
“For os er sådan en mulighed særlig interessant. Dels fordi vi ville kunne tilbyde et 100 pct. europæisk produceret produkt, spare en masse fragt, og det vil også gøre os mindre sårbare i den forstand, at vi ikke lægger alle æg i en kurv,” siger Alexander Russo.
Den tidligere PET-chef
Ifølge Jakob Scharf er det vigtigste virksomheder kan gøre, når emnet falder på energi, sikkerhed og Kina, som nævnt at tjekke for “bagdøre”.
“Det er velkendt, at i den kinesiske teknologi, der bruges i bl.a. kritisk infrastruktur, har der været konstateret sårbarheder i, som potentielt kan udnyttes. Det betyder ikke nødvendigvis, at de er blevet udnyttet, men at risikoen er der, og at man skal tage højde for den risiko,” siger han.
Det handler eksempelvis om at følge op på, om der er nogle dele, der er koblet op på internettet eller udstyret med fjernadgang.
“En bagdør i sig selv er ikke problematisk. Men netop fordi det er kinesiske virksomheder med i visse tilfælde særlig relation til kinesiske myndigheder, er der en frygt for, at de her bagdøre kan blive udnyttet.”
Og så handler det igen om at holde nerverne i ro, understreger Jakob Scharf.
“Det her betyder ikke, at man slet ikke kan bruge kinesiske produkter inden for kritisk infrastruktur. Man er bare nødt til at forholde sig i hvert enkelt tilfælde til, hvad det er for en risiko, der er forbundet med det her? Og er der noget, vi kan gøre for at reducere den risiko eller helt eliminere den?”
