IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

Størrelse: px

Begynne med side:

Download "IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget"

Jacob Øverland
8 år siden
Visninger:

1 IKT-sårbarhet i norsk kraftforsyning Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

2 Innhold Verdikjeden og akkumulerte digitale sårbarheter Sårbarhet i driftskontrollsystemer Sårbarhet i smarte nett Avhengighet av ekom og satkom Dilemmaer i tilknytning til risikostyring

Sårbarhet i smarte nett Avhengighet av ekom og

3 Verdikjeden og akkumulerte digitale sårbarheter (i dag) Myndigheter Driftskontrollsystemer (SCADA) Prosesskontrol (DMS) Elhub KBO «Vår herre»

4 Verdikjeden og akkumulerte digitale sårbarheter (fram i tid) Sikkerhetsleverandører Apper og droner for vedlikehold? KraftCERT Myndigheter Driftskontrollsystemer (SCADA) Prosesskontrol (DMS) Elhub KBO Velferdsteknologi Tjeneste -leverandør «Vår herre»

KraftCERT Myndigheter Driftskontrollsystemer (SCADA)

5 Et fremtidsbilde, hva med Norge?

6 Hva med norsk kraftforsyning? Dekker risikoanalysen alle de betingede sannsynlighetene? Klarer en å holde kontroll på grensesnitt og tilgang? Vil vi være i stand til å finne årsaken til feil? Vil selskapene ha tilstrekkelig kompetanse?

Klarer en å holde kontroll på grensesnitt og tilgang?

7 Verdikjeden og akkumulerte digitale sårbarheter Sikkerhetsleverandører Apper og droner for vedlikehold? Myndigheter Driftskontrollsystemer (SCADA) Prosesskontrol (DMS) Elhub KBO Velferdsteknologi Tjeneste -leverandør «Vår herre»

Myndigheter Driftskontrollsystemer (SCADA)

8 Verdikjeden og samfunnskonsekvenser ved svikt Sikkerhetsleverandører Apper og droner for vedlikehold? Myndigheter Driftskontrollsystemer (SCADA) Prosesskontrol (DMS) Elhub KBO Velferdsteknologi Tjeneste -leverandør «Vår herre»

9 Truslene Enkelt komponentsvikt Kompleksitet og systemsvikt Målrettet cyberangrep Et blikk på stuxnet Nedetid (bøter) Informasjonslekkasje (bøter) Ekstra arbeid (kostnad) Tapt tillit og framtidig inntekt

stuxnet Nedetid (bøter) Informasjonslekkasje

10 Internasjonale initiativer for styrket Cyber Security Obama administration s Framework for Improving Critical Infrastructure Cybersecurity Vektlegger viktigheten av å beskytte kritisk infrastruktur Tyskland har vedtatt en lov om beskyttelse av kritisk infrastruktur Krever at kritisk infrastruktur virksomheter forbedrer IKT-sikkerheten The Council of Europe s Convention on Cybercrime EU-direktiv på beskyttelse av kritisk infrastruktur (EPCIP) UN Governmental Group of Experts on Developments in the Field of Information and Telecommunications in the Context of International Security (GGE) Prinsippene om ikke-intervensjon gjelder også i cyber (2013)

IKT-sikkerheten The Council of Europe s Convention on Cybercrime EU-direktiv på beskyttelse av kritisk infrastruktur (EPCIP) UN Governmental Group of Experts on

11 Sårbarhet i driftskontrollsystemer (SCADA) Sikkerhetsutfordring Sikkerhet i driftskontrollsystem Sikkerhet i tradisjonell IKT Tilgjengelighet Svært høy Lav til moderat Integritet Konfidensialitet Lav Høy Autentisering Høy Moderat Oppdatering av programvare Sakte eller kanskje umulig Hyppig Anti-virus Uvanlig Vanlig Teknologisk levetid år 3-5 år Tidskritikalitet Kritisk Forsinkelser kan tolereres Kommunikasjonsprotokoller Kommunikasjonsressurser IEC 61850, IEC /6, DNP3, Modbus etc. Veldig begrenset TCP/IP, UDP Ubegrenset Cyber-etterforskning Begrenset om den finnes Tilgjengelig Sikkerhetsbevissthet Dårlig God Konsekvenser av sikkerhetskompromittering Økonomiske konsekvenser, utstyr blir ødelagt og personlig sikkerhet, mulig trussel mot kritisk infrastruktur. Økonomiske konsekvenser

tolereres Kommunikasjonsprotokoller Kommunikasjonsressurser IEC 61850, IEC 60870-5/6, DNP3, Modbus etc.

12 Sårbarhet i smarte nett Flere potensielle sårbarheter men fortsatt umoden trussel? Ikke transparent teknologisk sårbarhet (Hardware, Firmware, Software) Flere endepunkter Kryptering og nøkkelhåndtering Strategisk sårbarhet som potensiale Ulike driftsmodeller gir forskjellig utslag på sårbarheten Leverandørdrift av komponenter og system Egen drift eller utkontraktering, Ulike modeller for skytjenester Leverandørens lokalisering og lokal sikkerhet Endringshåndtering Hendelseshåndtering

Strategisk sårbarhet som potensiale Ulike driftsmodeller gir forskjellig utslag på sårbarheten Leverandørdrift av

13 Avhengighet av ekom og satkom Eget samband hvor langt og hvor lenge rekker det i daglig drift og i krise, jfr. verdikjeden? Ekom tjenester, avhengighet i dag og i morgen? Satkom avhengighet av PNT i dag og i morgen?

14 Tiltak krever balansegang mellom ulike hensyn Forretningsutvikling versus sikkerhet som setter begrensninger Bevissikring versus kontinuerlig drift (KILE) Pest eller kolera: bot for personvernbrudd versus straff for ikke levert strøm? Høy nettnytte og effektiv drift versus mulighet for offline drift og manuelle beredskapsordninger

Pest eller kolera: bot for personvernbrudd versus straff for ikke levert strøm?

15 Lysne-utvalgets anbefalinger blir presentert 30. november 2015

Like dokumenter

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016 Otto.Rustand@glitreenergi.no Agenda Kort om Glitre Energi Nett Strategi for IKT sikkerhet Modernisering av