«Hva er kritisk infrastruktur?» Oppsummerende rapport fra Sikkerhetstoppmøtet 6.november 2014

Transkript

1 «Hva er kritisk infrastruktur?» Oppsummerende rapport fra Sikkerhetstoppmøtet 6.november 2014

2 Innholdsfortegnelse 3 Innledning Om dette møte Arrangører 4 Tidligere tema 5 Dagens situasjon Hva er kritisk infrastruktur Verdivurdering Risikoforståelse Avhengighet Anskaffelser Informasjonsdeling 7 Utfordringer Krav til leverandør Samhandling Kost/nytte Ledelse og risikoaksept Lover og veiledning Ulv, ulv Eierskap 10 Viktige råd og tiltak Hva er kritisk infrastruktur Verdivurdering Risikoforståelse Avhengighet Anskaffelser Informasjonsdeling

3 Innledning Om dette møtet Det trettende sikkerhetsmøtet hadde 41 deltagere fra både offentlig og privat sektor. Møtet ble innledet med foredragene «Kritisk Infrastruktur Telenor perspektiv» av Berit Svendsen, direktør av Telenor Norge AS, «The Problem of escalation with Information Technology security risk in organizations and societies» av Gunnar Wahlgren, PhD kandidat DSV Stockholm Universitet og tilslutt «Operasjonell sikring og hendelseshåndtering i kritisk infratsruktur» av Margrete Raaum Senior Security Consultant fra Statnett SF. Hoveddelen av møtet var rundeborddiskusjoner med to ulike bordoppsett. Arrangører Prosjektledere Tone Hoddø Bakås, Konst adm. dir. NorSIS Stewart Kowalski, Professor NISlab, Høgskolen i Gjøvik Samarbeidspartnere Ole Tom Seierstad, Chief Security Advisor, Microsoft Kristine Beitland, Government Affairs Manager, Microsoft Tom Remberg, Direktør, PwC Mark Stegelmann, PwC Arrangørstab Anne Skeidsvoll Granli, Koordinator, NorSIS Peggy Sandbekken Heie, Konst nestleder, NorSIS Synne Gran Østern, Høgskolen i Gjøvik Gaute Wangen, Høgskolen i Gjøvik Siv Hilde Houmb, Høgskolen i Gjøvik Rapport skrevet av Tone Hoddø Bakås, NorSIS Synne Gran Østern, Høgskolen i Gjøvik 3

4 Tidligere tema Hvordan hindre informasjonslekkasje fra virksomhetens styre? Utfordringer med outsourcing, offshoring og cloudbaserte løsninger Risikostyring i virksomheten Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden Hendelseshåndtering fra oppdagelse til anmeldelse Tillit til sikkerheten hos samarbeidspartnere og leverandører Monitorering av de ansatte løsningen på tillitskrisen til mobile ansatte? Ledelsesforankring og ISMS Sikkerhetskultur Applikasjonssikkerhet har vi kontroll? Informasjonssikkerhet i verdikjeden klarer vi å tenke på alt? Beredskap 4

5 Dagens situasjon Hva er kritisk infrastruktur I følge (NOU 6:2006, s 31) er «Kritisk infrastruktur de anlegg og systemer som er helt nødvendige for å opprettholde samfunnets kritiske funksjoner, som igjen dekker samfunnets grunnleggende behov og befolkningens trygghetsfølelse.» I stortingsmelding 22 defineres videre hvilke strukturer og funksjoner som faller under kritisk infrastruktur; «elektronisk kommunikasjon, satellittbasert kommunikasjon og navigasjon, kraft, vann og avløp, olje og gass, transport, bank og finans, matforsyning, kulturminner og symboler» (St.meld nr 22: , s 40). Sikkerhetstoppmøtet erfarte at mange definerte kritisk infrastruktur både snevrere og har egne tolkninger enn denne definisjonen. Det var også en oppfatning om at man må få med samfunnssikkerhet for å dekke kritisk infrastruktur tradisjonelt. Det må hendelser til for å se kaskadeeffekten av hva som blir konsekvenser for øvrig samfunn og ikke bare de som er definert som kritisk infrastruktur. I tillegg bør det også sees på scenarioer hvor befolkningen blir mest utsatt og forberede befolkningen på dette. For de fleste deltagerne ble kraft- og telekom-bransjen ansett som de viktigste aktørene innen kritisk infrastruktur. Men vi kan ikke utelukke det norske samfunnet forøvrig. Staten har uttalt at likhets-, nærhets- og ansvarsprinsippet i tillegg til samordning, for å få helhet i kommunene skal være gjeldende. Dette preger kommuners håndtering og strukturering av kritisk infrastruktur. Sikkerhetstoppmøtets deltakere opplever at noen virksomheter kan være litt redd for følgene ved å bli definert som kritisk infrastruktur. Disse virksomhetene anser det som en ulempe å bli underlagt sikkerhetsloven. Det medfører merarbeid og kostnader. Som privat aktør kan man få mange ekstrakostnader ved å være kritisk infrastruktur, uten at disse dekkes fullstendig av det offentlige. Verdivurdering Deltagerne er usikre på om det finnes en nasjonal verdivurdering for kritisk infrastruktur. Hva er kritikaliteten for strøm, tele, matavaretransport, drikkevann, internett? Ser vi hele verdikjeden? Og hvem har ansvaret for det? Dette er spørsmål som fortsatt er ganske uklare iblant deltakerne. Sikkerhetstoppmøtets deltakere mener at det må gjennomføres en verdivurdering over kritisk infrastruktur. «Hva er Norges gull?» I tillegg ble det anbefalt å se på tjenester som er mest kritisk for innbyggere. Disse tjenestene må gjennomføres en verdivurdering, som må kommuniseres til ledelsen, slik at de forstår viktigheten av disse. Risikoforståelse Det er viktig å kunne å ha en bevissthet for hva som kan skje, et slags «worst case» perspektiv. Det ansees som en stor utfordring at viktige aktører ikke snakker samme språk. 5

6 «Å frelse verden med å fjerne kjeltringer kan du glemme.» Helse og politi sier en hendelse er fare for liv og helse, mens brann sier det motsatte; en hendelse må ikke nødvendigvis være fare for liv og helse. Og når kanskje de viktigste aktørene innen liv og helse, selv har forskjellige og motstridende perspektiv, gir det et bilde over hvor utfordrende dette feltet er. Sikkerhetstoppmøtet diskuterte utfordringene de forskjellige aktørene innen kritisk infrastruktur har, spesielt der de ikke har de samme oppfatningene av hva som faktisk er kritisk, og som må sikres konfidensialitet. Eksempelvis kan man internt i en virksomhet kommunisere at bestemte byggetegninger er konfidensielle. Videre må byggetegninger som regel også deles med eksterne, for eksempel leverandører som ikke nødvendigvis har samme forståelsen for skjermingsbehovet. Historiske data om ulykker og nestenulykker mangler i forhold til teknologisk kritisk infrastruktur, og derfor er det vanskelig å anslå sannsynligheter. Avhengigheter Det er mange aktører involvert når det gjelder kritisk infrastruktur, og sektorprinsippet påvirker hvordan bransjen samarbeider og kommuniserer med hverandre. En sektor kan være sikrere, mens en annen ikke er like god. Ettersom det er så mange aktører som er avhengige av hverandre, så vil de forskjellige sektorene påvirke hverandre både positivt og negativt. I dag er de fleste norske virksomheter, også de innen kritisk infrastruktur f.eks. avhengig av en infrastruktur og bortfall av denne vil være veldig kritisk. Men det er for dyrt å utvikle en tilleggsinfrastruktur i Norge. Det må være kostnytte basert. Anskaffelser Deltagerne på sikkerhetstoppmøtet uttrykte bekymring rundt anskaffelser. De trakk frem utfordringene med at beslutning om anskaffelser er for mye basert på kostnader for å få et produkt eller tjeneste billigst mulig. Dette mente deltakerne kunne gå utover kvaliteten. Det bør heller være en likere fordeling mellom pris og kvalitet/sikkerhet. Informasjonsdeling En av de større utfordringene som ble trukket frem var alle de forskjellige informasjonskanalene det forventes at aktørene skal samarbeide med. I tillegg til dette sliter man allikevel med kontakter og kommunikasjon mellom sektorer og til og med mellom virksomheter i samme sektor. Sikkerhetstoppmøtets deltakere trakk frem at informasjonsflyt mellom myndigheter og private aktører i dag ikke er tilfredsstillende og for mye personavhengig. Det må være klare prosesser for dette. Det er viktig å følge rapporteringsveien og sørge for at det blir faktabasert informasjon hele veien. Myndighetene må gå gjennom dette fra toppledernivå i departementene slik at de forstår kriseledelse og krisehåndtering. Topplederstillinger må forstå krisekommunikasjon, varsling og rapportering. 6

7 Utfordringer Krav til leverandører Flere av Sikkerhetstoppmøtets deltakere opplever at de har liten påvirkningskraft i forhold til store internasjonale leverandører. Sett i et internasjonalt perspektiv er alle norske virksomheter små, og det er vanskelig å få gehør hos de store leverandørene. I tillegg har virksomhetene, spesielt de mindre virksomhetene, liten evne til å stille krav til disse leverandørene, og de etterspør klare retningslinjer og bistand fra myndigheter. Videre i et kunde og leverandørforhold viser flere norske virksomheter for lite modenhet når det gjelder utvikling, forhandlinger og etablering av kontrakter mellom partene. Ofte oppleves kontrakter som litt «tvangstrøyer» for begge parter og for utvikling av kapasitet for hendelseshåndtering. «Det kommer til å skje eller det har skjedd en alvorlig hendelsene pga en dum menneskelig feil.» Samhandling En av de største utfordringene iblant deltakerne på Sikkerhetstoppmøtet er samarbeid og forståelse for hverandres roller og ansvar mellom aktørene innen kritisk infrastruktur. I tillegg opplever flere av deltakerne at ansvar rundt kritisk infrastruktur forvitrer på grunn av lange prosess- og kommunikasjonskjeder. Ved større hendelser mangler det i dag informasjonsflyt og samhandling mellom ulike aktører i offentlig og privat sektor, bl.a. departementer, direktorater, store private og offentlige virksomheter, fylkesmenn, kommuner, mindre virksomheter og innbyggere. Hvor får alle aktørene informasjon fra? Hvem koordinerer informasjonen? Hvilken informasjon kan man stole på? Finnes det overordnet prioritetslister som viktige leverandører av kritisk infrastruktur kan forholde seg til? Dette var spørsmål som flere av deltakerne av Sikkerhetstoppmøtet ønsker svar på. «Det er 32 tilsynsmyndigheter som kommunene må forholde seg til» Kost/nytte Hvor kan Norge bruke midlene for å sikre kritisk infrastruktur? Deltakerne på sikkerhetstoppmøtet har en oppfatning av at statlige etater har «penger i bøtter og spann». Kommuner blir pålagt krav som de ikke er i stand til å gjennomføre. Sikkerhetstoppmøtet diskuterte også sikkerhetsansattes utfordringer og kompetanse innen økonomi, for å kunne kommunisere de økonomiske utfordringene de ser. Når man ikke har oversikt over eller innsyn i hvor mye behovet innen kritisk infrastruktur koster eller hva hendelsene koster, så er det utfordrende å kunne kommunisere i tall og prosent. For eksempel; Hva koster omdømmeendringen? Hva koster de andre immaterielle tapene? Sikkerhetstoppmøtet deltakere poengterte at det burde utføres mer mulighetsanalyser av kritisk infrastruktur. En mulighetsanalyse vil kunne se på hvordan virksomhetene er i stand til å oppnå sine mål, gjennom å kartlegge hvilke prosesser eller aktiviteter som gir størst effekt. 7

8 Ledelse og risikoaksept «Vi må innse at det utenkelige vil skje» En utfordring som har vært en gjenganger på foregående Sikkerhetstoppmøtene og også på dette møtet er manglende risikoaksept og -forståelse. Dette er spesielt vanskelig å få til hos ledelsen, og paradokset er at det er her forankringen må skje for at det skal ha noen effekt. Det var flere av deltakerne som meldte at øvelser vekker ledelsen, men disse er ressurskrevende og utfordrende å gjennomføre. I tillegg til øvelser så er det er først når en hendelse skjer at man får ledelsens oppmerksomhet. Hendelser er et mulighetsvindu som bør utnyttes, og planlegges for. Til tross for at mange virksomheter har rutiner for risiko og sårbarhetsanalyser, så vil noen «velge» å se bort fra sårbarhetene og risikoene som blir avdekket fordi det koster for mye å håndtere. En annen årsak til at dette skjer kan være at de ikke har forståelse for dette. Sikkerhetstoppmøtet anbefaler at man bør finne løsninger som motiverer ledelsen. Ofte er det slik at motivasjonen går den andre veien og det er de under som er de motiverte og pådriverne. En av de større bekymringene Sikkerhetstoppmøtets deltakere hadde var det kompliserte og utfordrende trusselbildet. Når en 17-åring kan ta ned flere sentrale og store virksomheter i Norge ved hjelp av DDOS, hva kan da en fremmed stat eller profesjonell kriminelle aktør gjøre? Er vi beredt på en slik situasjon? Dette var noe som flere mente ikke var tilfellet. Lover og veiledninger Sikkerhetstoppmøtets deltakere savnet klare og tydelige veiledninger fra myndighetene. Det kreves av virksomhetene vet hva som kreves og er klare over truslene de kan møte. Dette er en utfordring fordi det er ikke alle som har felles verdigrunnlag og kunnskaper. Her må også myndighetene fastsette et felles verdigrunnlaget for den kritisk infrastrukturen som virksomhetene kan jobbe ut ifra. Tilsynsmyndigheter til ulike lovverk må kommunisere godt at det også har en veilederrolle og ikke bare er et tilsyn. Mange virksomheter kvier seg for å ta kontakt med tilsynet i frykt for å bli kontrollert. Tilsynsmyndighetene har et begrenset antall tilsyn hos aktuelle virksomheter. Besøk fra en tilsynsmyndighet vil øke risikoforståelsen hos ledelsen og fokuset på sikring. Andre utfordringer som ble diskutert var lover. En av de mest aktuelle lovene i denne forbindelsen er Sikkerhetsloven. Flere av deltakerne utrykte et ønske om å ha en «light» versjon av denne loven, for de virksomhetene som ikke er har behov for å etterleve Sikkerhetsloven. I tillegg er det et behov for å fornye og tilpasse lovene til dagens situasjon. Det bør det også være større konsekvenser for å ikke sikre kritisk infrastruktur skikkelig. Se for eksempel på den nye EU-loven som har kraftige bøter for brudd på personvernreguleringene. Ulv, Ulv Er det en sårbarhet at vi ikke klarer oss uten mobildekning i 2 timer? Eller er det kritisk at selvangivelsen blir en dag forsinket? Kan dette være feil fokus og urimelige krav? 8

9 Ved store hendelser er media raske til å lage store overskrifter. Befolkning og virksomheter bruker gjerne media som hovedinformasjonskanal ettersom det er ikke er noen andre godt kjente informasjonskanaler fra myndighetene. Utfordringen er at medier ikke har et realistisk grep om hva som er en krise. At nettbanken eller mobildekningen er nede i 2 timer er ikke en krise ifølge virksomhetene selv, men media kan blåse opp hendelsen og skape feil fokus og urimelige krav. Mediestyrt agenda mot sentrale aktører ved hendelser gjør at presset mot leverandører og aktører blir urealistisk. Eierskap Eierskap til kritisk infrastruktur ligger i hovedsak hos de offentlige, men det det er ikke en sentral oversikt over dette eierskapet. Det oppleves som krevende å hente ut slik informasjon, og ofte er suksess avhengig av om man kjenner riktige personer eller ikke. «Hvem eier grøfta?» 9

10 Viktige råd og tiltak Ansvar og prinsipper Det er et behov for å avklare roller og ansvar innen kritisk infrastruktur. Det etterspørres for eksempel behov for at justisdepartementet avklarer hvem som er ansvarlig for digitale hendelser. Offentlige myndighetsorgan må bli flinkere til å dele informasjon med andre viktige aktører. Når det gjelder kritisk infrastruktur er det viktig at myndighetene henger med på hva som skjer av hendelser. Det har allerede skjedd store forbedringer, men er fortsatt et behov for videre utvikling. Det er behov for tydelig samhandling og erfaringsdeling på teknisk, taktisk og operasjonelt nivå. Det må være et forpliktende samarbeid, hvor kompetansedeling, dele metoder og hvordan man beskytter seg er viktig. Et formalisert rammeverk må ligge til grunn, og det må være forpliktelser begge veier for gjennomføring. Hvis kritisk infrastruktur eies av utlendinger? Hvordan kan vi følge opp utenlandske leverandører, har vi nok nasjonal autonomi til å kunne beskytte vår egen kritisk infrastruktur? Samarbeid og informasjonsflyt «Man bør ikke konkurrere når det gjelder informasjonssikkerhet» Det er mange virksomheter og aktører involvert i kritisk infrastruktur og kommunikasjon er en av utfordringene. Spesielt er det behov for en mer strukturert og gjensidig kommunikasjon mellom aktører, både privat og offentlig. Myndighetene bør lede vei og oppfordre til å dele informasjon og involvere aktuelle parter tidlig, til og med på et spekulativt nivå. Det bør deles både triggerinformasjon, kompetanse, metoder og erfaringer. Et sted der denne kommunikasjonen er utfordrende er mellom statlige organ som fylkesmannen og kommuner. Kommuner opplever at de blir pålagt for mye, og at fylkesmannen ikke har tatt nok ansvar. Videre ønsker flere private aktører å jobbe mer aktivt med myndighetsapparatet. Kommunikasjon innad i virksomheter nevnes også som en utfordring. Det er viktig at ikke bare sikkerhetsavdelingen er involvert, men også resten av organisasjonen. Det bør også være en tydelig samhandling på teknisk, taktisk og operasjonelt nivå. Det er i dag flere sektor CERT-er som har ansvar innad i sine sektorer. Men her er det viktig at det er en gjensidig og aktiv informasjonsflyt mellom de forskjellige CERTene. For at CERT-ene skal være i stand til å håndtere hendelser, må de involveres tidlig ved en mulig hendelse. For å kunne styre og være pådriver for denne kommunikasjonen og kontakten mellom CERT-ene, bør NorCERT ta en sterkere og mer aktiv rolle som øverste organ for CERT-ene. Informasjonen som kommuniseres ut må være synkronisert og samkjørt mellom flere aktører. Tidligere hendelser har vist at informasjonen ut har til en viss grad vært ulik mellom aktørene som kommer med budskapet. Det må være et sentralt punkt som kommer med informasjonen til alle aktuelle aktører. Det er også viktig å vite hvor man skal henvende seg for å få informasjon når ryktene begynner å svirre. Ofte oppfattes myndighetene som litt trege og på etterslep, og resultatet blir at folk 10

11 retter seg til mediene etter informasjon. I tillegg må det presiseres fra myndighetene hvilke prinsipper for informasjonsdeling som skal benyttes; need-to-know, need-toshare, responsible-to-share eller need-to-show? Vær beredt Vi må gå ut ifra at det finnes et «single point of failure» et sted i kritisk infrastruktur og forberede oss på det. Ettersom vi er så avhengig av informasjonsteknologi, må vi også se på situasjoner hvor det er bortfall av dette og hvordan vi kan overleve analogt. Vi må se for oss alle mulige scenarioer, også «worst-case» tilfeller. Det er veldig vanskelig å forhindre alvorlige hendelser, og ofte kan hendelser som påvirker kritisk infrastruktur komme fra trusler som er vanskelig å håndtere, som for eksempel uvær og andre naturkatastrofer. Forbrukerne og kunder er villige til å akseptere at slike hendelser skjer, men det som teller er hvordan de aktuelle aktørene oppdager og håndterer hendelsene. Dårlig håndtering av hendelser er noe kunder ikke har like stor aksept for, og vil ha større konsekvenser. Derfor er det viktig at alle aktører har klare rutiner og planer for håndtering av slike hendelser. Beredskapsorganisasjonen må være godt etablert og trent. «Vi kan akseptere at noe alvorlig skjer, men ikke at ansvarlige ikke er forberedt» Media og kommunikasjon Media spiller en stor rolle ved alvorlige hendelser, uansett om vi ønsker det eller ikke. Ofte kan media være med på å forverre eller blåse opp en hendelse, men de er også ofte den viktigste informasjonskilden til innbyggere. Det er derfor viktig at aktuelle virksomheter og myndigheter har en aktivt forhold til media, og kan kommunisere med media slik at riktig og korrekt informasjon kommer ut. I tillegg er det viktig at virksomhetene har en kommunikasjonsplan for hvordan de skal håndtere media både i positiv og negativ forstand. Prioritering Prioriteringer i krisesituasjoner er veldig viktig. Det bør være klart hvem og hvilke tjenester som skal prioriteres hvis det er bortfall av kritiske tjenester. Myndighetene og tilsynene må ta denne vurderingen og kommunisere denne prioriteringen til leverandører og andre aktuelle aktører innen kritisk infrastruktur. I tillegg er det verdifullt å på forhånd bestemme og etablere møteplasser, og hva som skal gjøres når en hendelse inntreffer. Finansnæringen og energisektoren er eksempler på næringer som allerede har prioritert hvilke tjenester som er viktigst. 11

12 Om Sikkerhetstoppmøtet Sikkerhetstoppmøtet bringer informasjonssikerhets- ledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap. Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet. Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dags- aktuelle tema utveksles. Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet. Sikkerhetstoppmøtet støttes av