Idag kunde vi ta del av en artikel i Metro som lyfter fram allvarliga IT-brister vid de svenska kärnkraftverken. ”Vi förväntar oss att de åtgärdar det”, säger Eva Hyenstrand, inspektör på Strålsäkerhetsmyndigheten (SSM) till Metro.
I tre tillsynsrapporter från förra året skriver SSM gällande samtliga svenska kärnkraftverk att de ”inte fullt ut kan säkerställa att uppgifter av avgörande betydelse för anläggningens säkerhetsåtgärder inte delges obehöriga”.
Detta visar på två problem:
För det första bekräftar detta att kärnkraftsindustrin inte kan garantera säkerheten vid svenska kärnkraftverk. Det understryker därmed den överhängande fara som den svenska kärnkraften utgör för människa och miljö och aktualiserar Greenpeace krav på att ta de farliga reaktorerna ur drift.
För det andra visar det att ökad IT-användning vid kärnkraftverk innebär ytterligare ett riskmoment med den farliga kärnkraften. Det handlar om ökad komplexitet, ytterligare risk för mänskliga misstag och risk för IT-attacker.
Tre exempel illustrerar detta.
Ett exempel på problemen med ökad komplexitet kan hämtas från Finland där bygget av den tredje reaktorn i Olkiluouto kraftigt har försenats. Ett av skälen är att man har haft stora svårigheter med att skapa ett automatiserat säkerhetssystem som ska förhindra en härdsmälta. Finska myndigheter har hotat med att stoppa hela bygget för att man inte kunnat lösa de omfattande tekniska utmaningarna och kräver att man har ett analogt system som back-up för det digitala systemet.
Man kan lätt tro att ökad IT-användning skulle reducera riskerna relaterade till den ”mänskliga faktorn”. Men paradoxalt nog kan det också få den motsatta effekten. Ett exempel är när ett virus kallat ”Slammer” drabbade ett amerikanskt kärnkraftverk 2003 som slog ut övervakningssystemet av driften i närmare fem timmar. En av orsakerna var att en dator utan virusskydd råkat kopplas in av en inhyrd konsult .
Kärnkraftverk kan förstås också drabbas av IT-attacker. Ett exempel är när ett kärnkraftverk i Iran skadades av en datormask, kallad Stuxnet, som infekterade anställdas datorer. Masken hade förmågan att ta över industriella anläggningar och var så komplex att man misstänkte att den endast kan ha skapats av en stat.
Det gäller dock att inte missledas och angripa symptomen istället för orsakerna. Det är kärnkraften som är hotet, inte IT.