Stórfelldar og alvarlegar netárásir á einstaklinga og fyrirtæki eru því miður orðnar daglegt brauð. Fyrirtæki sem reka grunninnviði samfélagsins eru sérstaklega eftirsóknarverð skotmörk og þurfa því að viðhalda öflugum vörnum og stöðugri vöktun. Norðurorka gegnir lykilhlutverki í rekstri mikilvægra innviða og hefur því ríka skyldu til að tryggja öryggi kerfa, þjónustu og gagna.
Mikilvægi sterkra varna fyrir grunninnviði
Árásir á sambærileg fyrirtæki erlendis og hér heima hafa sýnt fram á hvaða afleiðingar slíkar truflanir geta haft: þjónusturof, skert afhendingargeta, fjárhagslegt tjón og jafnvel samfélagsleg áhrif. Því er fjárfesting í öflugum netvörnum, ferlum og þjálfuðu starfsfólki ein helsta forsenda þess að Norðurorka geti sinnt sínu mikilvæga samfélagshlutverki.
Áhætturáð og ný upplýsingatæknideild
Áhætturáð Norðurorku er vettvangur stjórnunar á öryggis-, gæða- og áhættumálum tengdum upplýsingatækni. Ráðið stýrir öryggi og gæðum í UT, mótar stjórnkerfi og tryggir samræmda framkvæmd stefna félagsins. Á árinu 2025 var formlega stofnuð upplýsingatæknideild (UTD) og ráðið í tvö ný stöðugildi í þeim tilgangi að efla getu félagsins til að mæta ört vaxandi kröfum og áskorunum í rekstri mikilvægra innviða.
Stefna og verklag byggt á alþjóðlegum stöðlum
UTD Norðurorku vinnur að innleiðingu verklags sem tekur mið af bestu venjum á sviði net- og upplýsingaöryggis og persónuverndar samkvæmt alþjóðlegum stöðlum. Markmiðið er að tryggja að allar ákvarðanir, breytingar og rekstur upplýsingakerfa séu fagleg, örugg og rekjanleg.
Norðurorka tók virkan þátt í neyðar- og netöryggisæfingu þann 11. nóvember 2025 sem haldin var af NSR og unnin í samstarfi við KraftCERT í Noregi og CERTIS á Íslandi. Æfingin beindist að viðbrögðum orkufyrirtækja við alvarlegum net- og rekstrarógnum og var áhersla lögð á samspil neyðarstjórnar, upplýsingatækni (IT), stjórnkerfa (OT/SCADA) og samskipta út á við. Notaðar voru raunsæjar sviðsmyndir til að æfa ákvarðanatöku, upplýsingagjöf, samhæfingu við yfirvöld og viðbrögð við truflunum í rekstri mikilvægra innviða.
Í kjölfar æfingarinnar var farið í eftirvinnslu innan Norðurorku þar sem farið var yfir það sem kom upp á æfingunni, tækifæri til umbóta innan Norðurorku skilgreind og verklag varðandi t.d. boðleiðir og ábyrgðarskiptingu aðlagað eftir þörfum. Þessi vinna er enn í gangi.
Kerfisbundið eftirlit með birgjum
Unnið er markvisst að því að koma á formlegu eftirliti með þjónustu birgja, þar með talið reglubundnu birgjamati þegar samningar eru gerðir eða endurskoðaðir. Með þessu er tryggt að birgjar standi undir þeim öryggiskröfum sem Norðurorka gerir og dregið úr áhættu í virðiskeðju félagsins.
Kerfisbundin stjórnun og ferlar
UTD vinnur markvisst eftir skilgreindum ferlum sem styðja við rekstraröryggi og innra eftirlit, þar á meðal:
- Reglubundið áhættumat rekstrar
- Atvikastjórnun til að tryggja skjót og markviss viðbrögð
- Breytingastjórnun þar sem ný verkefni fara í gegnum formlegt samþykktarferli
- Aðgangsstjórnun fyrir net og kerfi til að tryggja lágmarksréttindi
- Viðbragðsáætlanir fyrir atvik í IT- og OT-kerfum
Áhættustefna Norðurorku
Áhættustefna Norðurorku tryggir yfirsýn, viðeigandi stjórnun og skilvirkt innra eftirlit. Hún miðar að því að greina og meðhöndla áhættu reglulega, styðja við betri nýtingu fjármuna og tryggja fylgni við lög, reglur og stefnu stjórnar. Reglulegt áhættumat er lykilþáttur í að efla áhættuvitund um allt fyrirtækið.
Arctic Wolf – miðlæg öryggisvöktun
Norðurorka hefur innleitt "Arctic Wolf" hugbúnaðaröryggiskerfi til að efla netöryggi enn frekar. Kerfið býður upp á 24/7 miðlæga vöktun, hraða greiningu á öryggisógnum og viðbrögð í rauntíma. Með notkun gagnagreiningar, vélræns náms og ítarlegrar atburðarvinnslu fæst heildarmynd af öryggisstöðu fyrirtækisins sem styrkir varnir og viðbragðsgetu.
Reglulegar netöryggisprófanir
Unnið er að því að koma á árlegum og reglulegum netöryggisprófunum (pentest) til að meta varnir, greina veikleika og tryggja stöðugar umbætur.
Fræðsla og vitundarvakning
Norðurorka leggur mikla áherslu á fræðslu til starfsfólks um net- og upplýsingaöryggi. Fræðsluvikur hafa reynst öflugt verkfæri til að efla vitund og auka varfærni í umgangi við tæknibúnað og kerfi. Einnig er virk fræðsla á innri vef fyrirtækisins og regluleg upplýsingamiðlun um atvik, varnir og bestu starfsvenjur.