Kapittel 7 Beskyttelse av driftskontrollsystem

Transkript

1 Velkommen til sesjon om Kapittel 7 Beskyttelse av driftskontrollsystem Frank Skapalen og Øystein Gåserud Seksjon for beredskap Seminar om beredskapsforskriften 13. februar 2013

2 Forord Denne presentasjonen ble gitt 13. februar 2013 i forbindelse med NVEs konferanse om ny beredskapsforskrift I PDF-utgaven (den du ser på nå) er det lagt ved ytterligere presentasjonsark som ikke ble gjennomgått under konferansen Bakerst er det også lagt ved en litteraturliste knyttet til en rekke av temaene i denne presentasjonen.

3 Trenger du veiledning? Dukker det opp spørsmål under foredraget du mener kan utdypes i veiledningen, send epost til: bfe@nve.no Alle spørsmål og innspill vi mottar til denne adressen mottas med takk! Ingen får direkte svar, men du kan påvirke teksten i veiledningen som kommer !

4 Det største kapittelet i ny forskrift 7-1. Generell plikt til å beskytte driftskontrollsystemet 7-2. Overordnede sikkerhetsregler 7-3. Dokumentasjon av driftskontrollsystemet 7-4. Kontroll med brukertilgang 7-5. Kontroll ved endringer i driftskontrollsystemet 7-6. Kontroll med utstyr i driftskontrollsystemet 7-7. Håndtering av feil, sårbarheter og sikkerhetsbrudd 7-8. Beredskap ved svikt i driftskontrollsystemet 7-9. Bemanning av driftssentral Ekstern tilkobling til driftskontrollsystem Systemredundans i driftskontrollsystemet Sammenkobling mellom avanserte måle- og styringssystem (AMS) og driftskontrollsystem Beskyttelse mot elektromagnetisk puls og interferens Særskilte krav til driftskontrollsystem klasse Særskilte krav til driftskontrollsystem klasse Vern av kraftsystem i regional- og sentralnett Mobile radionett driftsradio

5 Hvem skal oppfylle hva? Klasse 3 Klasse 2 Skal oppfylles av ALLE Alle med regional- og sentralnett Skal oppfylles av alle som er avhengig av mobil radiokommunikasjon

6 Hva er nytt? Mange av kravene i tidligere veileder er nå bestemmelser i ny bfe. Nye bestemmelser om brukertilgang, utstyr, endringer, systemredundans Helt nye krav om bemanning og EMP! Bestemmelsen er bygget opp rundt «forsvar i dybden»- prinsippet + ISO 27001, og NIST

7 Beskyttelse i dybden eksempel Mulig angrep SCADA Sikkerhet i anlegg Fysisk sikkerhet Fysisk tilgang til anlegg og utstyr Regler og prosedyrer Sikkerhetsledelse Interne sikkerhetsregler Beredskap og gjenopprettingsplaner Nettverkssikkerhet Domener og DMZ Arkitektur basert på segmentering av nettverk (enklaver) Brannmurer og VPN Implementering av brannmurbasert tilgang til enklaver Kilde: Siemens Systemintegritet Herding av systemer Tilpasse systemer basert på sikkerhet Tilgangskontroll Regelbasert tilgangskontroll for brukere, system og utstyr «Patch Management» Prosedyrer for sikkerhetsoppdateringer Kontroll med skadelig programvare Virus/malware-kontroll og hvitlisting

8 Beskyttelse i dybden eksempel Mulig angrep Kilde: Siemens SCADA Sikkerhet i anlegg Fysisk sikkerhet Kapittel 5 Fysisk tilgang til anlegg og utstyr Regler og prosedyrer Sikkerhetsledelse Interne 7-2, sikkerhetsregler 7-7, 7-8 Beredskap og gjenopprettingsplaner Nettverkssikkerhet Domener og DMZ ( 7-6) Arkitektur basert på segmentering av nettverk (enklaver) Brannmurer og VPN 7-3, 7-5, 7-6 Implementering av brannmurbasert tilgang til enklaver Systemintegritet 7-6, 2 ledd Herding av systemer Tilpasse systemer basert på sikkerhet Tilgangskontroll 7-4, 7-10, 7-14 Regelbasert tilgangskontroll for brukere, system og utstyr «Patch Management» 7-5 Prosedyrer for sikkerhetsoppdateringer Kontroll med skadelig programvare 7-7, 7-14 Virus/malware-kontroll og hvitlisting

9 Definisjon av driftskontrollsystem Alle komponenter som ivaretar overvåking og styring Driftssentraler Sambandsanlegg Servere med programvare som benyttes til overvåking og styring av anlegg Infrastruktur som fører signaler i driftskontrollsystemet System, infrastruktur og sambandsanlegg som kan styre eller programmere vern med tilhørende komponenter enten gjennom driftskontrollsystemet eller gjennom andre kommunikasjonskanaler (direkte tilknytning)

10 Definisjon av driftskontrollsystem Med andre ord: ALT utstyr, infrastruktur, programvare med mer som benyttes til overvåking og styring av anlegg i energiforsyningen

11

12

13 Utøvelse av driftskontrollfunksjon Alle organisatoriske, administrative og tekniske tiltak som benyttes for å utøve overvåking og styring av anlegg i energiforsyningen

14 Hva med lokalt kontrollanlegg?

15 ALT skal beskyttes Driftskontrollsystem Lokalt kontrollanlegg Gjennomgående samband beskyttes som del av øvrig driftskontrollsystem Beskyttes iht forskriften Ingen eksplisitte krav i bfe MEN Mange komponenter i lokalt kontrollanlegg kan fjerninnstilles og fjerndiagnostiseres! DERFOR GJELDER KRAV TIL BESKYTTELSE OGSÅ HER! (jf 5-1 og 7-1) 15

16 Hva er kontrollordninger? Administrative og tekniske rutiner og tiltak. Eksempler administrative rutiner og tiltak : Passordrutiner Autorisasjon av brukere Konfigurasjonskontroll av utstyr/programvare Sikkerhetsavtaler med leverandører Eksempler på tekniske rutiner og tiltak Adgangskontrollsystem Autentisering av brukere/utstyr Bannmurer i nettverk Logging Fysisk sikring av utstyr Viruskontroll

17 7-1 Generell plikt til å beskytte driftskontrollsystemet «Alle virksomheter med driftskontrollsystem skal sørge for at disse til enhver tid virker etter sin hensikt og skal beskytte driftskontrollsystemet mot alle typer uønskede hendelser, herunder mot alle typer uautorisert tilgang for å hindre misbruk og spredning av skadelig programvare og lignende. Alle virksomheter med driftskontrollsystem er underlagt bestemmelsene om klassifisering og sikringsplikt etter kapittel 5.»

18 Med andre ord: Du skal beskytte driftskontrollsystemet og det er et ledelsesansvar!

19 Klassifisering driftskontrollsystem Prinsipp For selskap som kun drifter anlegg i klasse 1 blir driftskontrollsystemet uten vedtak klassifisert i klasse 1 For selskap som drifter anlegg i klasse 2 og 3, skal driftskontrollsystemet klassifiseres gjennom enkeltvedtak Skjønnsmessig vurdering i forhold til hvor mange anlegg som drives i de ulike klasser, samt generell vurdering av forsyningsområdets samfunnsmessige betydning. Vedtak gitt i medhold av tidligere beredskapsforskrift står fortsatt ved lag inntil de blir endret eller opphevet i medhold av denne forskrift

20 7-2 Overordnede sikkerhetsregler «Virksomheten skal fastsette sikkerhetskrav for bruk, utvikling, drift, systemvedlikehold, sikring med mer av driftskontrollsystem slik at overvåking og kontroll av energiforsyningen kan utføres på en sikker måte. Sikkerhetskravene skal gjennomgås minimum årlig for å klarlegge om de er hensiktsmessige i forhold til virksomhetens behov, om de etterleves, og om kravene gir tilfredsstillende beskyttelse av driftskontrollsystemet.»

21 Hva innebærer bestemmelsen? Utforme egne interne krav rundt driftskontrollsystemet; Drift Systemutvikling Vedlikehold Sikring Eksempler Regler for fjerntilgang Nettverks- og konfigurasjonskontroll Krav til kontroll med ekstern tilgang Krav til kontroll ved oppdateringer Krav til driftssikkerhet Retningslinjer for bruk av eksterne media Retningslinjer for tilgang for konsulenter Retningslinjer for tilgang til prosessutstyr Sikkerhetskopiering

22 Omfang og avgrensninger Hvorfor begrepet regler og ikke policy i forskriften? Bestemmelsen er ment for operativ/daglig drift Bør likevel inngå i generell policy/regelverk i virksomheten Viktig å definere virkeområde og avgrensning Hva reglene omfatter Hva reglene ikke omfatter Hvem som har ansvar for hva Klar målsetning Ikke relevant Relevant

23 Årlig gjennomgang Hvorfor? Hensiktsmessighet og etterlevelse For strenge eller for svake? Forstår alle reglene og hvorfor? Passer reglene for det som er definert som driftskontrollsystem? Har det skjedd endringer i system eller organisasjon som endrer forutsetningene? Kilder Avviksrapporter Tilbakemeldinger fra brukere Bør gjennomgås av ledelsen!

24 7-3 Dokumentasjon av driftskontrollsystemet «Virksomheten skal til enhver tid ha oppdatert dokumentasjon av driftskontrollsystemet. I dokumentasjonen skal det inngå en oversikt over alle sikkerhetstiltak som er implementert. Dokumentasjonen skal også omfatte en oppdatert skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nettverk som viser eventuelle tilgangspunkt mellom driftskontrollsystemet og andre nettverk.»

25 Hva er nytt? Skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nettverk som viser eventuelle tilgangspunkt mellom driftskontrollsystemet og Internett Oversikt over sikringstiltak

26 Hvordan dokumentere sikringstiltak? Vises på skissen (eksempler): Plassering av brannmur(er) Plassering av DMZ Plassering av sensorer for IDS/IPS I internkontrollsystemet (eksempel) Beskrivelse og instrukser av Konfigurasjoner av det ovennevnte Nettverkssikkerhet Instruks for kobling mellom adm-nett og prosessnett Etc, etc

27 7-4 Kontroll med brukertilgang «Virksomheten skal ha kontrollordninger for tildeling, endring, sletting og vurdering av korrekt tilgang til driftskontrollsystemet. Virksomheten skal til enhver tid kunne kontrollere hvilken person som er eller har vært pålogget driftskontrollsystemet, også når ekstern tilkobling brukes. Kontrollordningene skal gjennomgås minimum årlig for å sikre at alle tilgangsrettigheter er korrekte og på riktig nivå.»

28 Hovedelementer Kontrollordning for Tildeling, endring, sletting og vurdering av korrekt tilgang Bør være rollebaserte tilgangsrettigheter Kontroll med hvem som har vært logget på driftskontrollsystemet Også ved ekstern tilgang Årlig gjennomgang av tilgangsrettigheter

29 Kontrollordning Eksempler Tildeling/vurdering Hvilke funksjoner skal personen ha tillatelse til å utføre? Er personen kvalifisert? Endring/vurdering Får personen få nye roller eller ansvar for andre oppgaver enn tidligere? Må tilgangsrettighetene endres? Sletting Når personen får en annen rolle eller slutter. I så fall skal tilgangsrettighetene tilbaketrekkes eller slettes. Prosedyre(r)

30 Administrering - eksempler Instruks for hvordan aksessrettighetene administreres Pek ut en ansvarlig for administrering av brukerrettigheter Der det er mulig individuelle brukerprofiler Man bør etterstrebe å gi rettigheter basert på funksjon Gi hver enkelt skriftlig tilbakemelding på hva slags rettigheter personen har Hver enkelt bør skrive under på en erklæring på at man har lest og forstått sikkerhetsregler knyttet til funksjonen

31 Logg Det forutsettes at man logger all pålogging til driftskontrollsystemet Hver enkelt må velge hvordan forskjell på selskapsstørrelse Loggene bør oppbevares sikkert Kun ansvarlig person bør ha tilgang til loggene.

32 7-5 Kontroll med endringer i driftskontrollsystemet «Virksomheten skal ha kontrollordninger for vurdering, testing og godkjenning av endringer i driftskontrollsystemet før disse utføres, for å hindre utilsiktede feil og påføring av nye sårbarheter.»

33 Hvorfor?

34 Hvorfor? Dette KAN skje etter en endring:

35 Fornuftig praksis «Kan denne endringen medføre fare for at driftskontrollsystemet feiler?» ALT trenger nødvendigvis ikke risikovurderes Små konfigurasjonsendringer? Vanskelig å sette terskel Leverandørene har som oftest testrutiner gjerne tilpasset hver enkelt installasjon avtale! Sett egne terskler

36 7-6 Kontroll med utstyr i driftskontrollsystemet «Utstyr som benyttes i driftskontrollsystemet tillates ikke brukt i andre nettverk eller løsninger utenom driftskontrollsystemet, heller ikke midlertidig. Utstyr som benyttes for å etablere logiske eller fysiske skiller mellom prosessnettverk i driftskontrollsystemet og andre nettverk, skal ha effektive kontrollordninger som hindrer uautorisert tilgang mellom skillene. Virksomheten skal ha en oppdatert oversikt over utstyr av vesentlig betydning for driftskontrollsystemets funksjon. Virksomheten skal ha en effektiv kontrollordning for sikker avhending av utstyr som har blitt benyttet i driftskontrollsystemet. Det er ikke tillatt å bruke personlig eid utstyr i driftskontrollsystemet. Bruk av trådløse datanettverk i driftskontrollsystemet er ikke tillatt. Beredskapsmyndigheten kan i særskilte tilfeller forby bruk av utstyr.»

37 Ikke bytte utstyr om hverandre Skal ikke brukes om hverandre!

38 Utstyr som lager logisk skille Eksempel DMZ For eksempel sikkerhetssjekk av filer/data

39 Liste over utstyr av vesentlig betydning Hva er vesentlig? Alt utstyr som dersom det svikter medfører tap av funksjonalitet i driftskontrollsystemet. Tap av overvåking Tap av styringsmuligheter Eksempel på oversikt Liste over alt vesentlig utstyr og hvor de er plassert Bør merkes spesielt slik at de ikke blandes sammen med utstyr som benyttes i administrativt nett. Dere må selv definere hva som er vesentlig utstyr

40 Personlig eid utstyr Enkelt og greit; det er ikke tillatt å bruke personlig eid utstyr i driftskontrollsystemet. Mitt nettbrett

41 Avhending av utstyr Sørg for at det ikke ligger sensitiv informasjon på utstyr som skal kasseres! Prosedyre Sletting av harddisker eksempler på verktøy Disk - Hard Drive Eraser (DoD M) Eraser Shredit for Windows Disk Wipe

42 Trådløst nettverk Den trådløse driftssentralen?

43 Forbud mot utstyr Infisering av utstyr på fabrikk Ondsinnet aktør ønsker å vite alt om ditt system Utstyret kommer til deg malware Alle dine hemmeligheter Ondsinnet aktør vet alt om ditt system

44 7-7 Håndtering av feil, sårbarheter og sikkerhetsbrudd «Virksomheten skal etablere kontrollordninger for å sikre effektiv håndtering av feil, sårbarheter i programvare, sikkerhetsbrudd og andre hendelser som kan utgjøre en risiko for driftskontrollsystemets funksjon. Virksomheten skal ha tilgang til tilstrekkelig personell med nødvendig kompetanse som uten unødig opphold kan håndtere forhold angitt i første ledd. Alle sikkerhetsbrudd og hendelser skal registreres. Forhold som kan utgjøre en umiddelbar risiko for driftskontrollsystemets funksjon, skal varsles og rapporteres til beredskapsmyndigheten, jf. også 2-6.»

45 Kontrollordningen Prosedyrer for hvordan der skal reagere og håndtere hendelser Hvordan? Viktig å forsøke å få informasjon om feil eller sårbarheter FØR det påvirker ditt system Leverandør, andre kilder Varsling internt ved unormal trafikk eller oppførsel av data Ha tilgjenglig nok personell eller ressurser til å håndtere feil eller andre hendelser Avtaler Registrér alle avvik Bør ha en «terskelverdi» Plassere ansvar

46 Eksempel prosedyre Forberede Oppdagelse og vurdering/ analyse Isolere, fjerne, gjenoppretting Evaluering

47 Eksempel prosedyre Varsling fra eksterne Varsel internt (overvåking) Plutselige hendelser Vurdere konsekvens av hendelsen Innkalle ressurser Hva gikk bra? Hva gikk ikke bra? Endre prosedyrer, planverk etc Forberede Oppdagelse og vurdering/ analyse Isolere, fjerne, gjenoppretting Evaluering Risikoanalyse/verdivurdering Opplæring/bevisstgjøring Etablering av ressurser Beredskapsplanlegging Øvelser Erfaring fra hendelser Lag flere håndteringsstrategier (malware, virus, DDoS)

48 Når skal NVE varsles? Ved forsøk på inntrengning og/eller manipulasjon av hele eller deler av driftskontrollsystemet og avanserte måle- og styringssystem (AMS). ( 2-6 a)

49 7-8 Beredskap ved svikt i driftskontrollsystemet «Virksomheten skal ha beredskap og forberedte tiltak for fortsatt drift av anlegg ved svikt i driftskontrollsystemet.»

50 Krav Innebærer i praksis at dere skal ha planer for manuell drift av anlegg dersom driftskontrollsystemet ikke virker. Se også vedlegg 2 og 3 om bemanning av kompetente personer i ekstraordinære situasjoner (2.1.4 og 3.1.4)

51 7-9 Bemanning av driftssentral «Virksomheten skal til enhver tid ha tilstrekkelig og tilgjengelig autorisert personell med nødvendig kompetanse, slik at driftskontrollfunksjonen kan utøves uten ugrunnet opphold. Virksomhetens risiko- og sårbarhetsanalyse skal ligge til grunn for valg av bemanningens størrelse samt omfang av ordninger for påkalling av ekstra personell ved behov, jf. 2-4 og 5-8.»

52 Om bestemmelsen Alle skal til enhver tid ha tilstrekkelig med kompetente folk som kan utøve driftskontrollfunksjoner Opplæring og intern godkjenning Risikoanalyse Generell bestemmelse

53 7-10 Ekstern tilkobling til driftskontrollsystem «Virksomheten skal ha kontrollordninger for å godkjenne, vedlikeholde og avvikle ordninger for ekstern tilkobling til driftskontrollsystemet, samt funksjoner for innstiling av vern. En særskilt vurdering skal ligge til grunn for godkjenning av løsning. Kun autorisert personell kan gis adgang til driftskontrollsystemet gjennom ekstern tilgang. Virksomheten skal ha kontrollordninger for vurdering, tildeling, endring og tilbaketrekking av autorisasjon. Virksomheten skal ha en oppdatert liste over alle som er autorisert. Det skal foreligge en egen forhåndsavtalt prosedyre for ekstern tilkobling til driftskontrollsystemet. Det tillates ikke at eksterne leverandører som ikke er KBO-enhet, utfører driftskontrollfunksjoner i nettanlegg eller produksjonsanlegg. For fjernvarmeanlegg der hele eller deler av driftskontrollfunksjonen utføres av selskap som ikke er KBO-enhet, må vedkommende KBO-enhet påse at hele driftskontrollsystemet beskyttes etter relevante bestemmelser i denne forskrift.»

54 Kontrollordningen Det er metoden og sikringstiltakene for fjerntilgang som skal godkjennes internt Sikringstiltakene (autentisering) bør være noe sterkere enn det som gjelder internt Risikovurdering

55 Eksempel på metode (forenklet) Kilde: NERC

56 Eksempel på metode (forenklet) Brannmurregler sørger for tilgang kun til bestemt ressurs Brannmurregler sørger for tilgang kun til bestemt ressurs Logge på spesifikk ressurs i sikker sone Sikker pålogging SSL/VPN etc med begrenset tilgang (for eksempel kun til dedikert terminalserver) Pålogging terminalserver (for eksempel gjennom AD) Logge på arbeidsstasjon for tilgang til ressurser i beskyttet sone Logge på for tilgang til ressurser i beskyttet sone (feks to-faktor) Kilde: NERC

57 Kontroll med hvem For å ha kontroll med hvem som har tillatelse, kreves det godkjenning av personer.

58 Hvordan autorisere personell? Eksempler: Kreve at man setter seg inn i prosedyrene for fjerntilgang Bekrefte (underskrift på erklæring) at man har lest og forstått sikkerhetsreglene Sikkerhetssamtale Opplæring som dokumenteres Gi personlige brukernavn og passord Liste: Liste over autoriserte personer er vel uproblematisk..?

59 Prosedyre - eksempel Internett Adm-nettverk Medarbeider eller leverandør får utlevert to-faktor brikke av selskapet Selskapet kontakter leverandør for å sette i gang ekstern tilkobling Leverandør kobler seg opp via VPN etc fra sikkert sted Selskapet gir leverandør et engangspassord for å logge seg på Leverandør får tilgang til terminalserver i DMZ Sikker sone Leverandør gir beskjed om at arbeidet er utført Leverandør utfører arbeid Leverandør logger seg på tildelt ressurs/ applikasjon i sikker sone. Leverandør logger seg på sikker sone. Selskapet gir leverandør nytt engangspassord for å koble seg på sikker sone Internett Selskapet bekrefter at leverandør er ferdig Leverandør logger seg av selskapets nettverk Selskapet terminerer forbindelsen mellom sikker sone og Internett Kilde: NERC

60 Om selskap som ikke er KBO-enheter Selskap som ikke er enhet i KBO har ikke lov til å drive driftssentralen Unntaket er for fjernvarmeanlegg der for eksempel forbenningsanlegget (som ikke er enhet i KBO) også styrer varmesentraler for fjernvarmeselskapet (som er enhet i KBO) KBO-enheten er ansvarlig for at kravene i forskriften oppfylles! Må stille krav

61 7-11 Systemredundans i driftskontrollsystemet «Virksomheten skal vurdere behovet for redundans i driftskontrollsystemet basert på lokale forhold og risikoanalyse.»

62 Om bestemmelsen Generell bestemmelse, gjelder i første rekke klasse 1 Men ALLE må vurdere i hvilke grad de trenger systemredundans Risikoanalyse skal ligge til grunn

63 7-12 Sammenkobling mellom avanserte måleog styringssystem (AMS) og driftskontrollsystem «Dersom virksomheten har integrert funksjonalitet for bryting og begrensning av effektuttak i avanserte måle- og styringssystem (AMS), jf. forskrift om måling, avregning og samordnet opptreden ved kraftomsetning og fakturering av nettjenester 4-2 e, i virksomhetens driftskontrollsystem, skal IKT-system med tilhørende utstyr som benyttes til denne funksjonen, sikres i henhold til driftskontrollsystemets klasse. Med integrert funksjonalitet menes at funksjonen for å bryte og begrense effekt ved AMS utøves fra virksomhetens driftssentral, og at man benytter samme utstyr og infrastruktur som virksomheten benytter i driftskontrollsystemet. Bestemmelsen gjelder til og med det utstyr eller punkt der signalene for å bryte og begrense effektuttak adskilles fra signalene i driftskontrollsystemet.»

64 Risiko - utredning Uønsket utkobling hos mange kunder Programvarefeil Sentralenhet feiler eller brukes i angrepet Utro tjener Beskyttelse av bryterfunksjonalitet er kritisk Gjelder både én-til-én og én-til mange funksjonalitet Mange målere ute av drift samtidig er også vurdert til å være kritisk. Dette er pga store kostnader for reparasjon/utskiftning av utstyr.

65 Dette handler bestemmelsen om: 65

66 Dette handler bestemmelsen om: 66

67 Sikring av bryterfunksjonalitet Segregering mellom innsamling/ bryterfunksjonalitet Fysisk sikring Forhold til driftssentralen? Tilgangskontroll Retningslinjer for bruk av bryterfunksjonalitet Sikkerhetsbevissthet Logging og overvåking Kontroll med fjernaksess

68 7-13 Beskyttelse mot elektromagnetisk puls og interferens «Virksomheten skal vurdere driftskontrollsystemets sårbarhet for elektromagnetisk puls (EMP) eller elektromagnetisk interferens (EMI). Dersom sårbarheter avdekkes, skal det gjennomføres sikrings- eller beredskapstiltak etter driftskontrollsystemets betydning for sikker drift og gjenoppretting av funksjon i energiforsyningen.»

69 Om bestemmelsen Generell bestemmelse ALLE skal vurdere sårbarhet knyttet til EMP/EMI Risikovurdering Tiltak hvis man er sårbare EMP-sikring Reservedeler Reparasjonsberedskap

70 EMP - trusselbilde De mest vanlige kildene for EMP er nukleær EMP (N-EMP) og radiofrekvente våpen (HPM). Det forskes mye på slike våpen Mobile våpen eksisterer Konsekvensene kan bli katastrofale (N-EMP) Usikkert hvem som har kapasiteter men finnes i kriminelle miljøer Solstorm!

71 7-14 Særskilte krav til driftskontrollsystem klasse 2

72 7-14 a) Sikkerhetskopier «Virksomheten skal jevnlig teste at gjenoppretting av elektroniske sikkerhetskopier fungerer etter hensikten.»

73

74 Om bestemmelsen Husk at ALLE er pålagt å ta sikkerhetskopier etter 6-8! Testing av gjenoppretting av sikkerhetskopiene sikrer at man er trygg på at strategien for sikkerhetskopiering fungerer etter hensikten Bør gjøres minimum årlig, eller (helst) oftere Man bør vurdere å utarbeide en strategi for sikkerhetskopier

75 Strategi sikkerhetskopi eksempel Strategi for sikkerhetskopi Definere hva som skal sikkerhetskopieres Sette i drift Lessons learned Monitorere sikkerhetskopiering Kontroll av sikkerhetskopier Test av sikkerhetskopi i testmiljø

76 7-14 b) Sikkerhetsrevisjon «Virksomheten skal jevnlig gjennomføre en sikkerhetsrevisjon og kontroll av pålagte beskyttelsestiltak i driftskontrollsystemet. Revisjonens formål skal være å påse at tiltakene faktisk er etablert og fungerer etter sin hensikt.»

77 Hensikt og omfang Kontrollere at pålagte sikkerhetstiltak er etablert og fungerer etter sin hensikt Gjør at man hele tiden er godt kjent med eget driftskontrollsystem og dets mangler og sårbarheter Forlengelse av tidligere krav om kontroll og vedlikehold Trenger ikke være en fullstendig gjennomgang hver gang Pass på at revisjonen er noenlunde uavhengig Samarbeid gjerne med andre KBO-enheter Utarbeid en plan over flere år med ulike tema

78 Sikkerhetsrevisjon - risikostyring Sikkerhetsrevisjon - en del av risikostyring Risikostyring er et hjelpemiddel som kan integreres i eksisterende styringssystemer for å sikre en bedre måloppnåelse Avvik/ rapportering Kartlegging/ risikoanalyse Ledelse (forankring, kontroll, styring, rammebetingelser) Identifisere tiltak Kontroll og overvåking av tiltak Implementere tiltak etter ROS Sikkerhetsrevisjon Implementering av lovbestemte tiltak

79 Hva og hvordan - sikkerhetsrevisjon Hva skal revideres? I utgangspunktet ALLE pålagte tiltak etter bfe. Eksempler Ledelse og organisering av IKTsikkerhetsarbeidet Teknisk infrastruktur Informasjonsressurser Fysisk sikring av utstyr Sikkerhetspolicyer og prosedyrer Beredskaps- og kontinuitetsplaner Systemutvikling og innføring Risikostyring (risikovurdering) Applikasjonskontroller Kontroll med endringer Kontroll med utstyr EMP

80 Rammeverk - eksempel Planlegging Gjennomføring Rapportering Intern oppfølging Bestemme revisjonsobjekt Avklare målsetning Innhente dokumentasjon Gjennomgang av dokumentasjon Utarbeid spørsmål til revisjonen Åpningsmøte (avklaring av hensikt og rammer for revisjonen) Gjøre revisjonskontroller (testing, stikkprøver, observasjoner) Intervjuer Avslutningsmøte (presentasjon av funn) Lage revisjonsrapport Muntlig rapportering Registrere funn i avvikssystem Identifisere tiltak basert på funn Lage tids- og ansvarsfestet plan for gjennomføring av tiltak Kontroll av at tiltakene er gjennomført Lukking av avvik i avvikssystem

81 7-14 c) Overvåking og logging «Virksomheten skal ha automatisk overvåking, logging, analyse og varsling ved uautorisert bruk, forsøk på uautorisert tilgang, unormal datatrafikk eller annen aktivitet som ikke er autorisert i driftskontrollsystemet.»

82 Krav Det skal etableres automatisk overvåking av nettverkstrafikk i driftskontrollsystemet Trafikken skal analyseres og det skal varsles ved unormal trafikk

83 Hvorfor? Angrepsmetodene blir stadig mer avanserte Dagens brannmurer er svært effektive Sosial manipulering og infisering via e-post Viruskontroll holder ikke tritt Krever mekanismer som går utover tradisjonell beskyttelse Sammenkobling av nett og system gjør alt mye mer komplisert Mye inn/ut data gjør alt mer uoversiktlig lett å gjemmme seg Overvåking og logganalyse en viktig del av beskyttelsen i dybden

84 Verktøy - eksempler Eksempel på automatisk overvåking: Logganalyseverktøy IDS (Intrusion Detection System) passiv overvåking IPS (Intrusion Prevention System) aktiv blokkering

85 = sensor Sensorer i perimeter - eksempel Kilde: NIST Perimeter

86 Logging og overvåking - utfordringer Mye data blir produsert hvordan plukke ut de relevante? Man må vite hva man gjør risiko for mye false positives Ingen god idé å plassere sensor i selve prosessnettverket Styresignaler kan bli blokkert eller at man får unødige alarmer Monitorering kan være krevende Hva gjør du hvis det kommer inntrengningsalarm midt på natten?

87 Logging og overvåking - implementering Etabler overvåking basert på sikkerhetspolicy/regler Gjør en vurdering av hva dere vil beskytte Start i det små Vurder plassering Aktive sensorer (blokkering) ved kritiske system/data Passive sensorer (kun alarm) i nettverk Veldig komplisert! Vurder eksperthjelp hvis dere selv ikke har nødvendig kompetanse

88 7-14 d) Utilgjengelig driftssentral «Dersom driftssentralen blir utilgjengelig, skal virksomheten kunne betjene og manuelt styre anlegg som inngår i virksomhetens driftskontrollsystem. I tillegg skal virksomheten ha planer for alternativ drift dersom driftssentralen blir utilgjengelig over lengre tid.»

89 Hva gjør du hvis driftssentralen brenner ned? Anleggene skal kunne styres manuelt Hvis driftssentralen settes ut av drift i lang tid, skal dere ha planer for etablering av drift på alternativt sted Velge ut sted og klargjøre Reservedeler Dublering på et annet sted enn der driftssentralen er plassert? Øve på å etablere alternativ drift Man må ha talesamband!

90 7-14 e) Bemanning av driftssentral «Virksomheten skal sørge for at alle påregnelige ekstraordinære situasjoner eller hendelser i energisystemet eller i driftskontrollsystemet umiddelbart oppdages og håndteres uten unødig opphold. Virksomheten skal senest innen én time kunne bemanne driftssentralen. Virksomheten skal ha en vaktordning som til enhver tid sikrer rask opptrapping av bemanningen ved behov.»

91 Krav Alle hendelser skal varsles og vurderes uten unødig opphold Umiddelbar varsel til hjemmevakt SMS er kanskje ikke nok! Umiddelbar vurdering av situasjonen Fra en situasjon oppstår til sentralen er bemannet 1 time. Vaktordning for påfyll av folk Kanskje jeg burde dra til driftssentralen?

92 7-14 f) Ekstern tilkobling til driftskontrollsystemet «Ved tilkobling fra leverandører skal driftssentralen være bemannet. Virksomheten skal ha kontrollordning for korrekt autentisering av de personene som er autorisert til å benytte ekstern tilkobling for adgang til driftskontrollsystemet. Virksomheten må sørge for at ekstern tilkobling utføres fra et sted med tilstrekkelig sikre omgivelser. Virksomheten skal utarbeide interne regler for hva som er et sikkert sted. Den eksterne tilkoblingen skal kun åpnes når det er behov for å få tilgang til driftskontrollsystemet. Tilkoblingen skal være lukket når den ikke er i bruk. Det skal foreligge en egen skriftlig prosedyre for ekstern tilkobling. Dersom KBO-enheten kan foreta styring av anlegg i energiforsyningen gjennom ekstern tilkobling, skal styringen kun skje etter tillatelse eller retningslinjer fra bemyndiget person. Enhver påkobling til driftskontrollsystemet gjennom ekstern tilkobling skal loggføres.»

93 Tilkobling fra leverandør = bemanning + prosedyre Leverandør skal koble seg på DRIFTSSENTRALEN BEMANNES Medarbeider eller leverandør får utlevert to-faktor brikke av driftskontrolloperatør Operatør kontakter leverandør for å sette i gang ekstern tilkobling Leverandør kobler seg opp via VPN etc fra sikkert sted Leverandør logger seg på tildelt ressurs/ applikasjon i sikker sone. Leverandør logger seg på sikker sone. Operatør gir leverandør nytt engangspassord for å koble seg på sikker sone Leverandør får tilgang til terminalserver i DMZ Operatør gir leverandør et engangspassord for å logge seg på Leverandør utfører arbeid Leverandør gir beskjed om at arbeidet er utført Operatør bekrefter at leverandør er ferdig Leverandør logger seg av selskapets nettverk Operatør terminerer forbindelsen mellom sikker sone og Internett

94 Sikker autentisering - eksempler Ikke ring oss, vi ringer deg prinsippet Passord gitt av driftssentralen Personlig relasjoner

95 Hva er sikkert sted? Ikke flyplassterminaler Ikke bussterminaler Ikke kaffesjappa Dere må bestemme hva som er sikkert sted! Lag kriterier for hva som ansees som sikkert sted Eksempler: krav til Lokasjon Fysisk beskyttelse/adgangskontroll Beskyttelse mot innsyn Erklæringer fra leverandør

96 Tilkobling og kobling i nett Terminér tilkoblingen når den ikke er i bruk Den som har hjemmevakt må gis tillatelse til å utføre kobling hvis man skal koble hjemme hvis ikke må autorisert person bemanne driftssentralen Kan være forhåndsavtalt - skriftlige retningslinjer godkjent av ansvarlig person

97 Logging All ekstern tilkobling skal loggføres eksempel Tidspunkt for påkobling Hvem som gav tillatelse Hvem som koblet seg på Hvorfor Tidspunkt for avkobling

98 7-14 g) Systemredundans «Samband i driftskontrollsystemet skal fungere uavhengig av funksjonssvikt i offentlige elektroniske kommunikasjonstjenester eller kommunikasjonsnett. Driftskontrollsystemet frem til anlegg i klasse 2 og 3 skal være redundant frem til det lokale kontrollanlegget. I det lokale kontrollanlegget skal virksomheten vurdere behovet for redundans. Redundante føringsveier for samband og redundante komponenter i driftskontrollsystemet skal være fysisk adskilte og uavhengige slik at én enkelt feil eller hendelse ikke medfører tap av viktige funksjoner. Det skal etableres reparasjonsberedskap for alt samband, jf. kapittel 4 og 7-8.»

99 Uavhengighet Skal fungere uavhengig av offentlige tjenester Nødstrøm Reparasjonsberedskap Man bør vurdere alternative metoder for redundans Gjelder til alle anlegg i klasse 2 og 3 Reparasjonsberedskap Avtale med leverandør av linjer, utstyr, transmisjon Egenberedskap Vurder risiko for overbelastning i offentlig nett

100 Redundans prinsipp Ingen enkeltfeil eller hendelse skal kunne sette driftskontrollsystemet eller viktige funksjoner ut av drift. Det betyr at dersom feil eller hendelse setter et system ut av spill, skal et annet system overta viktige funksjoner. Skal være reell uavhengighet Redundansen skal gå helt frem til RTU også inne i selve anlegget (før RTU)

101 Redundans frem til RTU Eksempel basis redundans frem til det lokale kontrollanlegg 1 2

102 7-14 h) Særskilt om dublering «Ved dublering som benytter identiske teknologier og løsninger i driftskontrollsystemet, må virksomheten innrette seg slik at samme systemfeil ikke rammer alle dublerte system samtidig, jf. 7-7.»

103 Om bestemmelsen Gjelder hvis dubleringen av SCADA er identisk Gjelder særlig ved oppdatering/patching Beste praksis: test oppdatering på et tredje system(testsystem) før det settes i produksjon Det tredje system er gjerne hos leverandøren Husk avtale!

104 7-14 i) Beskyttelse mot EMP og EMI «Det skal gjennomføres sikrings- eller beredskapstiltak for beskyttelse av utrustning som nevnt i 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 2 og 3 som driftskontrollsystemet styrer.»

105 Ny bestemmelse Det er nå mulig å velge beredskapstiltak i stedet for EMP-sikring Betingelse: reservedeler i EMP-skap, kontainere etc MEN husk vedlikeholdsplikten i 5-1, 3 ledd Man skal kunne erstatte alt ødelagt utstyr i minst én sambandsvei På hvor lang tid? => Uten ugrunnet opphold «Fallback»: lokal bemanning og talesamband Der det etableres EMP-beskyttelse gjelder de samme tekniske krav til demping og frekvensbeskyttelse som tidligere Ref uoff vedlegg til forrige beredskapsforskrift

106 7-14 j) Sikker tidsreferanse «Driftskontrollsystem som er avhengig av eksakt tidsreferanse, skal ha sikre kilder for tidsangivelse.»

107 Krav Krever minst én klokke med stor nøyaktighet som kan synkroniseres mot andre sikre tidsreferanser Sikker tidsreferanse er også viktig i tilknytning til AMS og eventuell Smart Grid!

108 7-15 Særskilte krav til driftskontrollsystem klasse 3

109 7-15 a) Reserve driftssentral «Virksomheten skal ha reserve driftssentral som skal plasseres i sikker avstand til ordinær driftssentral, slik at ikke samme hendelse kan ramme begge. Reserve driftssentral skal til enhver tid være klar til bruk og være utstyrt slik at den kan fungere helt uavhengig av ordinær driftssentral og kunne ivareta alle driftskontrollfunksjoner. Reserve driftssentral skal utføres med sikringsnivå i henhold til vedtatt klasse for driftskontrollsystemet for øvrig, jf. 5-6.»

110 Krav Sikker avstand betyr at reserve driftssentral skal være i et annet bygg (i GOD avstand) eller (aller helst) plasseres i et kraftforsyningsanlegg (får mye beskyttelse gratis). Når du flytter til reserve driftssentral, skal kontroll og styring kunne gjenopptas så fort du har kommet dit. Må øves! Reserve driftssentral skal oppfylle samme krav til sikringsnivå i henhold til vedtatt klasse for driftskontrollsystemet

111 7-15 b) Bemanning av driftssentral «Driftssentralen skal være døgnbemannet. Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort. Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. 7-9, andre ledd.»

112 Krav Driftssentralen skal være døgnbemannet. Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort. Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. 7-9, andre ledd.

113 7-15 c) Ekstern tilkobling til driftskontrollsystemet «Kobling i nettanlegg eller styring av øvrige anlegg gjennom ekstern tilkobling er ikke tillatt.»

114 Mer om bestemmelsen Samme krav til sikkerhet ved oppkobling av leverandører som for 7-14 f)

115 7-15 d) Systemredundans «Sambandsveiene i driftskontrollsystemet skal utføres så sikre og robuste og med en slik redundans og avstand at ikke samtidige eller påfølgende hendelser som uvær, brann eller omfattende teknisk svikt hindrer eller skader begge føringsveier og andre redundante delsystem. Frem til alle anlegg i klasse 3 skal virksomheten ha kontroll og råderett over alle komponenter og andre tekniske løsninger i minst én sambandsvei, og beskytte disse, jf. kapittel 5.»

116 Om å sikre god nok avstand Vanskelig å gardere seg mot store og omfattende stormer Samband på stolper i distribusjonsnettet er svært utsatt Større geografisk spredning på redundansen Bakdeler: lang linje, mange hopp, uoversiktlig Fordeler: mer robust mot uvær, flere leverandører (kan også være en bakdel.) Bruk ulik teknologi Har dere noen tanker rundt dette?

117 Eie, leie hva er det greie? Det er nå ikke påkrevd å eie eget samband. MEN du skal ha full kontroll og råderett over alt utstyr og komponenter (inkludert transmisjonsveien) Oversikt over føringsveiene DU bestemmer hvem som har tilgang Sørg for tilstrekkelig separasjon Reparasjonsberedskap

118 Kontroll og råderett Kjempeforenklet eksempel Samband du skal ha kontroll og råderett over Annet leid samband

119 Kontroll og råderett Kjempeforenklet eksempel Bare jeg skal bestemme hvem som får tilgang til linjen Bare jeg skal bestemme hvem som får adgang til knutepunktene Jeg skal vite hvor traséene er NØDSTRØM, FYSISK SIKRING ETC, ETC Samband du skal ha kontroll og råderett over Annet leid samband Det bør være nødstrøm, sørge for god fysisk sikring etc Du bør vite hvem som ellers har tilgang til linjen Du bør vite hvem som ellers har tilgang til knutepunktene Du bør vite hvor traséene er

120 Kontroll og råderett Kjempeforenklet eksempel Bare jeg skal bestemme hvem som får tilgang til linjen Bare jeg skal bestemme hvem som får adgang til knutepunktene Jeg skal vite hvor traséene er NØDSTRØM, FYSISK SIKRING ETC, ETC Samband du skal ha kontroll og råderett over Annet leid samband Det bør være nødstrøm, sørge for god fysisk sikring etc Du bør vite hvem som ellers har tilgang til linjen Du bør vite hvem som ellers har tilgang til knutepunktene Du bør vite hvor traséene er