1 Smart Grids og personvern Maria B. Line Forsker og stipendiat SINTEF – NTNU Eksperter i team –

2 SINTEF Skandinavias største uavhengige forskningsorganisasjon Drøyt 2000 ansatte Oppdragsforskning og rådgivning NTNU – Institutt for telematikk Tilbyr kommunikasjonsteknologi-linja Informasjonssikkerhet 26 fast ansatte, 41 stipendiater Om SINTEF og NTNU/ITEM Teknologi for et bedre samfunn Foto: Roger Midtstraum Foto: SINTEF

3 Modernization of the distribution grid (low voltage) Monitoring and control Smart Meters: two-way communication Automatic reading every hour more correct invoicing Consumers will also be producers – prosumers: Solar panels, wind mills, water heaters, electric cars Smart Grids in brief

4 AMS Avanserte måle- og styringssystemer Av Hanne Sæle, SINTEF Energi

5 DeVID – Demonstrasjon og verifikasjon av intelligente distribusjonsnett Egen wp: Informasjonssikkerhet og personvern Utvikle metode og tilhørende verktøy for risikovurdering ifm innføring og drift av AMS Identifisere god praksis og anbefalinger for å sikre sluttbrukernes personvern Utvikle grunnleggende informasjonssikkerhetskrav som skal gjelde for alle IT- systemer som benyttes i det norske kraftnettet (se nyhetsbrev okt om info.sikkerhet) PhD: Managing information security incidents in smart grid environments Hvilke faktorer inngår i hendelseshåndtering i kraftbransjen i dag? Hvilke avvik er det mellom dagens praksis og gjeldende standarder/anbefalinger? Hvordan kan gjeldende standarder/anbefalinger tilpasses smart grid? Aktuelle prosjekter

6 Smarte strømmålere vil samle svært mye informasjon om hver enkelt husstand Hjemme og borte, hvilke apparater som finnes, forbruksmønster, døgnrytme Måledata går til nettselskapene Må lagres en viss tid – AMS-forskriften sier: Timesverdier: 3-15 mnd (fakturering) Måneds- og årsverdier: 3 år (pga lastprofiler, sesongvariasjoner, energimerking) Sentrale spørsmål: Hvem har tilgang? Hva kan opplysningene rettmessig benyttes til? Hva kan uvedkommende benytte opplysningene til? Hvordan sikres opplysningene? Store datamengder

7 Nettselskapet vil normalt være dataansvarlig og er pliktig til å se til at personopplysningsloven etterleves Databehandling kan outsources, men ansvaret er fortsatt hos nettselskapet Kun fakturering anses å kreve personidentifiserbare data Nettselskapet er pålagt å slette personopplysninger når de ikke lenger behøves for fakturering Internkontroll og tilfredsstillende sikkerhetsmekanismer må være på plass Kunden har rett på tilgang til all data om seg selv, inkludert Hensikt med innsamlet data Om data er gitt til andre, og til hvem Hvordan opplysningene er sikret AMS-tilpasset veiledning til personopplysningsloven

8 Er kundene opptatt av personvern?

9 NISTIR 7628 Guidelines for Smart Grid Cyber Security v1.0

10 Dagens IT

11 Godt(?) sikrede målere i Mexico Foto: Marianne Gullvåg

12

13 Hvordan innføre AMS på en sluttbrukervennlig måte? Nasjonal måledatahub; datahub eller kommunikasjonshub? Tredjepartstjenester (f.eks apps); tilgjengeliggjøring av data for tilbydere? Overvåkingsaspektet vs forbrukernytte Misbruk av måledata Ref. Lisovich 2010: Inferring Personal Information from Demand-Response Systems Hva gjøres i andre land, finnes det god praksis? Personopplysningsloven vs nettselskapenes ønsker og behov Innsamling, anonymisering, bruk, sletting Relevante problemstillinger

14 Hva er personvern? Saklig begrunnet behandling av personopplysninger Frivillig samtykke Opplysningsplikt om formål og mottakere Rett til innsyn Korrekt registrering Feilaktige opplysninger skal rettes Unødvendige opplysninger skal slettes Informasjonssikkerhet skal ivaretas Strengere regler ved følsomme opplysninger Retten til å være anonym Rett til manuell vurdering

15 Mer informasjon PhD-prosjekt – Maria B. Line The Norwegian Smartgrid Centre Film: Hva er smart strøm (Smartgrid-senteret) Hvordan oppfatter kraftbransjen risikoen for angrep på driftskontrollsystemene; Masteroppgave av Marie Røyksund, UiS, 2011: NVE: Risikovurdering av AMS – v/SINTEF: Risikovurdering av Demo Steinkjer – v/SINTEF: NVE: Veileder til sikkerhet i AMS Datatilsynet: Håndtering av personopplysninger fra AMS

infosec.sintef.no Besøk bloggen