FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Transkript

1 FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET Eldri Naadland Holo Seksjonssjef beredskap, NVE

2 Forsyningssikkerhet Kraftsystemets evne til kontinuerlig å levere strøm av en gitt kvalitet til sluttbrukere, og omfatter både energisikkerhet, effektsikkerhet og driftssikkerhet (inkl leveringspålitelighet og beredskap).

3 Innhold Digitalisering og IKT-sikkerhet - og energiforsyning som kritisk infrastruktur Trusselbilde og tilstanden i energiforsyningen Hva mener NVE og hva gjør vi? Utfordringer

4 Digitalisering

5 Noen initiativer om informasjons/ikt/cyber-sikkerhet

6 Ny sikkerhetslov: Informasjon, informasjonssystem, infrastruktur og objekt NVE mener: Status: Sektoransvar Utpeking Tilsyn Forskrifter: Arbeid pågår Ikrafttredelse: 1. januar 2019 Ferdigbehandlet i Forsvars- og utenrikskomiteen Avventer Stortingsbehandling

7 Regjeringsnedsatt IKT-sikkerhetsutvalg (september 17 - desember 18) Målsettingen er økt IKT-sikkerhet Problemstilling 1 er dagens regulering hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet? Problemstilling 2 har vi en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet? Problemstilling 3 hvilke regulatoriske og organisatoriske grep bør gjøres for å styrke nasjonal IKT-sikkerhet?

8 PST om etterretning «Rekruttering av kilder og agenter, kartlegging av virksomheter og kritisk infrastruktur samt nettverksoperasjoner, vil utgjøre de mest alvorlige utfordringene knyttet til fremmede staters etterretningsvirksomhet i Virksomheter innen norsk forsvarsog beredskapssektor, statsforvaltning, forskning og utvikling samt virksomheter innen kritisk infrastruktur, vurderes som særskilt utsatte etterretningsmål.»

9 Hva mener NVE? Bra med digitalisering Kompetanse?? Ta truslene på alvor Sammenheng mellom logisk og fysisk sikkerhet Evne til digital hendelseshåndtering Hvordan står det egentlig til Må ha godt sektorregelverk

10 Hvordan står det egentlig til? Spørreundersøkelse Inntrengningstester Ingen store hendelser ennå

11 Den alvorligste hendelsen Den alvorligste hendelsen Dataskadeverk 34% Bedrageri 29% Forsøk på datainnbrudd/hacking Ingen Virus og/eller malwareinfeksjon Hendelse foårsaket av bedriftens ansatte Hendelse forårsaket av outsourcing leverandør Datainnbrudd/hacking 2% 5% 5% 10% 10% 10% n = 62

12 Konsekvenser Ingen (69%) Selskapets ledelse involvert (21%) Driftsavbrudd (19%)

13 Medvirkende faktorer til at hendelsen oppstod Vet ikke 42% Menneskelige feil 35% Mangel på sikkerhetsbevissthet hos de ansatte 24% Utilstrekkelig teknisk infrastruktur Eksisterende prosesser ble ikke fulgt Tilfeldigheter eller uflaks Manglende oppdatering av utstyr eller konfigurasjpner 8% 8% 8% 6% Flyttbar media tilkoplet interne ressurser Manglende teknisk utstur eller kompetanse til å Utilstrekkelig prioritering av sikkerhetsarbeidet Problemer som skyldes outsourcingspartner Bevisst misbruk av systemer 3% 3% 2% 2% 2%

14 Hvordan ble hendelsen oppdaget? Rutinemessig sikkerhets-monitorering (39%) Negativ effekt på virksomhetens drift (18%) Andre kontroller og revisjoner (10%)

15 Hvem stod bak? Hvem stod bak hendelsen? Andre eksterne 43% Vet ikke 27% Egne ansatte 18% Ønsker ikke å oppgi 6% Leverandører 5%

16 Bransjen er avhengig av leverandørene Liten Avhengighet av IT-leverandør 25% Leverandør av driftskontrollsystem (Håndtere hendelser) Medium 40% Liten 27% Sterk 34% Medium Sterk 28% 45% Vet Ikke 1% Vet ikke

17 Inntrengningstest Driftskontrollsystemer godt beskyttet Adm. nett mangler tilstrekkelig sikring AMS svakere beskyttet enn driftskontrollsystemene Utdatert programvare Svake passord

18 Godt regelverk for energiforsyningen

19 Beredskapsforskriften: Anbefalingene bak endringsforslagene Krav til informasjonssikkerhet i et overordnet sikkerhetsregime Tydeliggjøre generell sikringsplikt krav til grunnsikring (alle vesentlig betydning for produksjon, omforming, overføring, omsetning eller fordeling av elektrisk energi eller fjernvarme) Systemer der avbrudd har konsekvenser for forsyningssikkerheten: strengere krav (eks brytefunksjon AMS) Driftskontrollsystemer strengere sikringskrav enn grunnsikring, økte krav til integritet og tilgjengelighet.

20 Nytt om å beskytte digitale informasjonssystemer Virksomheter plikter å sikre digitale informasjonssystemer slik at konfidensialitet, integritet og tilgjengelighet ivaretas. Det er den enkelte virksomhets ansvar å planlegge, gjennomføre og vedlikeholde sikringstiltak etter det digitale informasjonssystemets type, oppbygging og funksjon.

21 Grunnsikringskrav for digitale informasjonssystemer Virksomheten skal ha en grunnsikring for digitale informasjonssystemer i henhold til anerkjente standarder og normer, herunder: a) Indentifisere og dokumentere Virksomheten skal identifisere og dokumentere verdier, leveranser, tjenester, systemer og brukere i sine digitale informasjonssystemer. Dokumentasjonen skal oppdateres minst en gang i året. b) Risiko- og sårbarhetsanalyse Virksomheten skal gjennomføre risiko- og sårbarhetsanalyse for sine digitale informasjonssystemer. Risiko- og sårbarhetsanalysen skal oppdateres minst en gang i året. c) Sikre og oppdage Virksomheten skal sikre sine digitale informasjonssystem for å motstå eller begrense skalden fra uønskede hendelser. Virksomheten skal overvåke sine digitale informasjonssystemer slik at uønskede hendelser oppdages og registreres. Virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til det sektorvise responsmiljøet.

22 Grunnsikringskrav (forts) d) Håndtere og gjenopprette Virksomheten skal håndtere uønskede hendelser i sine digitale informasjonssystemer og gjenopprette normaltilstand uten ugrunnet opphold. e) Tjenesteutsetting Virksomheten skal sørge for at sikkerhetsnivået opprettholdes eller forbedres ved utsetting av tjenester. f) Sikkerhetsrevisjon Virksomheten skal minimum årlig gjennomføre en sikkerhetsrevisjon av pålagte beskyttelsestiltak i det digitale informasjonssystemet.

23 Definisjon av driftskontrollsystem Driftskontrollsystemer omfatter driftssentraler, datarom, sambandsanlegg og øvrige anlegg og rom, systemer og komponenter som ivaretar driftskontrollfunksjoner. Med anlegg forstås også tilhørende bygningstekniske konstruksjoner for driftskontrollfunksjoner. Driftskontrollfunksjoner er alle organisatoriske, administrative og tekniske tiltak for å overvåke og styre anlegg i energiforsyningen. Det tillates ikke at eksterne leverandører som ikke er KBO-enhet, utfører driftskontrollfunksjoner i nettanlegg eller produksjonsanlegg.

24 Driftskontroll klassifisering og restriksjoner for adgang Klassifisering av driftskontroll-system: Fra enkeltvedtak til energiforsyning til befolkning (antall) eller anleggsklasse Restriksjoner for adgang Driftssentraler i klassifiserte driftskontrollsystemer Bakgrunnssjekk for adgang (klasse 3)

25 Revidert måle- og avregningsforskrift på høring NVE foreslår sikkerhetskrav spesialtilpasset for AMS. Kravene bygger videre på grunnsikringen foreslått i beredskapsforskriften. Forslagene til endringer i avregningsforskriften inkluderer også definisjon av AMS og brytefunksjonalitet.

26 Oppsummert: grunnsikring og spesielle krav

27 Presiseringer om sensitiv informasjon Fordelingsnett og rørnett til samfunnsviktige funksjoner Nøyaktig kartfesting av jordkabler og rørnett i fjernvarmeanlegg med varmesentraler i klasse 2 Alle opplysninger om reservedriftssentraler og andre særskilte beredskapsanlegg for ledelse og drift, samt lokalisering av driftssentraler i klasse 2 og 3.

28 «Det kan så langt ikke konkluderes med hvem som står bak.»

29 Kommer det til å skje alvorlige cyber-angrep mot energiforsyningen?

30 Noen utfordringer Fordeler vs økt sårbarhet? Menneskene i digitaliseringen Hva gjør digitalisering med hjernen? Teknologisk utvikling vs (sikkerhets)kulturutvikling Maktkonsentrasjon

31 Hva hvis årsaken var cyberangrep? Klipp fra Aftenposten 20. januar 2018

32 Takk for oppmerksomheten!