FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Like dokumenter
NY KRAFTBEREDSKAPSFORSKRIFT (KBF)

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Høringssvar endringer i beredskapsforskriften

Fjernvarmeberedskap. Kilde: Norsk fjernvarme

Sikkerhet innen kraftforsyningen

Høringsnotat. Forslag til endring av energiloven 9-5 (innhenting av politiattest)

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Oversending av revisjonsrapport - Drammen Fjernvarme AS

Høringsuttalelse vedrørende forslag til endring i beredskapsforskriften.

Forslag til endringer i beredskapsforskriften. Krav til IKT-sikkerhet m.m. HØRINGSDOKUMENT

Høringssvar fra Agder Energi til NVEs forslag til endringer i beredskapsforskriften

Ny sikkerhetslov og forskrifter

Uttalelse til utredning av forslag til endringer i beredskapsforskriften. Krav til IKT-sikkerhet m.m.

HØRINGER GLITRE ENERGI NETT AS KOMMENTARERTIL NVE S FORSLAG TIL ENDRINGER AV BEREDSKAPSFORSKRIFTEN

Oversending av revisjonsrapport - Andøy Energi AS

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Felles driftssentral for flere nettselskaper energilovens krav til ordningen

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Oversending av revisjonsrapport, Tysnes Kraftlag SA

Oversending av revisjonsrapport Nordvest Nett AS

Oppsummeringsdokument: Endringer i forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv.

Statnetts høringssvar - Digital Sårbarhet - sikkert samfunn (NOU 2015:13)

VTFs Vårmøte juni, Oslo. Orientering om kraftforsyningsberedskap. seksjonssjef Arthur Gjengstø, beredskapsseksjonen, NVE

Driftsentralsamarbeid i Nordland

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

Svar på NEAS uttalelse til revisjonsrapport.

Oversending av revisjonsrapport - Harstad Varmesentral, Statkraft Varme AS

HØRINGSDOKUMENT

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Oversending av revisjonsrapport - Sunndal Energi Kf

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016

Risikovurdering av AMS

Tema for tilsyn 2011

Innspill til uttalelse fra Distriktsenergi til NVEs høringsforslag til endringer i beredskapsforskriften.

hvor står vi og hvor går vi?

Oversendelse av revisjonsrapport - ISE Nett AS

3.1 Prosedyremal. Omfang

om informasjonssikkerhet og tilgjengeliggjøring av data Bjørn Lytskjold / seksjonssjef Geoinformasjon / NVE bel@nve.no

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Foreløpig tilleggsveileder til kraftberedskapsforskriften. Oppdateringer etter revisjon

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Informasjonssikkerhet i Norge digitalt Teknologiforum

RAPPORT. Oppsummeringsdokument: Endringer i beredskapsforskriften - Krav til IKT-sikkerhet m.m. Nr 92/2018

Overordnet IT beredskapsplan

Sårbarhet og forsyningssikkerhet i et kraftsystem i endring - Øker risikoen for omfattende avbrudd?

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Forventninger og informasjon til KBO for 2019

Oversending av revisjonsrapport Rauma Energi AS

Nytt fra Helse- og omsorgsdepartementet

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Har vi et robust kraftsystem og hvordan måler vi det?

Skjema for egen evaluering

NVEs høringssvar på forslag til EU-direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet)

Olje- og energidepartementet

Sikring mot terror og andre villede handlinger rettet mot de nasjonale transportaktørene (jern- og tunnelbane)

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Oversending av revisjonsrapport Fredrikstad Fjernvarme AS

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Hvordan sikre seg at man gjør det man skal?

Høringssvar fra NVE - Høring av forslag til forskrifter til ny sikkerhetslov

Beredskapsforskriften kapittel 4: Ressurser og reparasjonsberedskap. Helge Ulsberg Beredskapsseksjonen

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Organisering av energisektoren og bredbånd. Ivar Munch Clausen Seniorrådgiver sluttbrukerseksjonen NVE Telefon Epost

Sikkerhetsmessig verdivurdering

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Beredskap i kraftforsyninga

Pålitelighet i kraftforsyningen

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Seminar om betalingssystemer og IKT i finanssektoren,

Informasjonssikkerhetstilstanden i energiforsyningen. Namrah Azam

Samling for Norges beste beredskapsteam - KBO i Molde mai

Sikring av vannforsyning mot tilsiktede uønskede hendelser (security) VA - DAGENE I VRÅDAL

Hva er sikkerhet for deg?

NASJONAL SIKKERHETSMYNDIGHET

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet

IKT-SIKKERHET I ALLE LEDD ORGANISERING OG REGULERING AV NASJONAL IKT SIKKERHET

Deres ref Vår ref Dato 15/ /

Hva kan vi gjøre med det da?

KS'BedriftEnergi. Høring - beredskapsforskriften. Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

IKT-sikkerhetsutvalget. NOU 2018: 14 IKT-sikkerhet i alle ledd

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Tilsynsrapport. Enhet i KBO: Vest-Telemark Kraftlag AS. Tilsynsdato: Høydalsmo, Tokke

Oversending av revisjonsrapport og varsel om vedtak om retting, Haugaland Kraft AS

Høringssvar fra Distriktsenergi til høringen om endringer i leveringskvalitet og kontrollforskriften

Vår dato :

Sikkerhets- og beredskapstiltak mot terrorhandlinger. En veiledning i egenbeskyttelse for offentlige og private virksomheter

Forskrift om leveringskvalitet krav og erfaringer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Kommunens Internkontroll

Mørketallsundersøkelsen 2006

Nødvendig med kompetanse og bemanning i nettselskaper? Svein Eriksen KS Bedrift Trond Svartsund - EBL

Oversending av revisjonsrapport og varsel om vedtak om retting, Nordkraft Nett AS

Sikring av kritiske samfunnsfunksjoner Erfaringer fra Norge

Transkript:

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET Eldri Naadland Holo Seksjonssjef beredskap, NVE

Forsyningssikkerhet Kraftsystemets evne til kontinuerlig å levere strøm av en gitt kvalitet til sluttbrukere, og omfatter både energisikkerhet, effektsikkerhet og driftssikkerhet (inkl leveringspålitelighet og beredskap).

Innhold Digitalisering og IKT-sikkerhet - og energiforsyning som kritisk infrastruktur Trusselbilde og tilstanden i energiforsyningen Hva mener NVE og hva gjør vi? Utfordringer

Digitalisering

Noen initiativer om informasjons/ikt/cyber-sikkerhet

Ny sikkerhetslov: Informasjon, informasjonssystem, infrastruktur og objekt NVE mener: Status: Sektoransvar Utpeking Tilsyn Forskrifter: Arbeid pågår Ikrafttredelse: 1. januar 2019 Ferdigbehandlet i Forsvars- og utenrikskomiteen Avventer Stortingsbehandling

Regjeringsnedsatt IKT-sikkerhetsutvalg (september 17 - desember 18) Målsettingen er økt IKT-sikkerhet Problemstilling 1 er dagens regulering hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet? Problemstilling 2 har vi en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet? Problemstilling 3 hvilke regulatoriske og organisatoriske grep bør gjøres for å styrke nasjonal IKT-sikkerhet?

PST om etterretning «Rekruttering av kilder og agenter, kartlegging av virksomheter og kritisk infrastruktur samt nettverksoperasjoner, vil utgjøre de mest alvorlige utfordringene knyttet til fremmede staters etterretningsvirksomhet i 2018. Virksomheter innen norsk forsvarsog beredskapssektor, statsforvaltning, forskning og utvikling samt virksomheter innen kritisk infrastruktur, vurderes som særskilt utsatte etterretningsmål.»

Hva mener NVE? Bra med digitalisering Kompetanse?? Ta truslene på alvor Sammenheng mellom logisk og fysisk sikkerhet Evne til digital hendelseshåndtering Hvordan står det egentlig til Må ha godt sektorregelverk

Hvordan står det egentlig til? Spørreundersøkelse Inntrengningstester Ingen store hendelser ennå

Den alvorligste hendelsen Den alvorligste hendelsen Dataskadeverk 34% Bedrageri 29% Forsøk på datainnbrudd/hacking Ingen Virus og/eller malwareinfeksjon Hendelse foårsaket av bedriftens ansatte Hendelse forårsaket av outsourcing leverandør Datainnbrudd/hacking 2% 5% 5% 10% 10% 10% n = 62

Konsekvenser Ingen (69%) Selskapets ledelse involvert (21%) Driftsavbrudd (19%)

Medvirkende faktorer til at hendelsen oppstod Vet ikke 42% Menneskelige feil 35% Mangel på sikkerhetsbevissthet hos de ansatte 24% Utilstrekkelig teknisk infrastruktur Eksisterende prosesser ble ikke fulgt Tilfeldigheter eller uflaks Manglende oppdatering av utstyr eller konfigurasjpner 8% 8% 8% 6% Flyttbar media tilkoplet interne ressurser Manglende teknisk utstur eller kompetanse til å Utilstrekkelig prioritering av sikkerhetsarbeidet Problemer som skyldes outsourcingspartner Bevisst misbruk av systemer 3% 3% 2% 2% 2%

Hvordan ble hendelsen oppdaget? Rutinemessig sikkerhets-monitorering (39%) Negativ effekt på virksomhetens drift (18%) Andre kontroller og revisjoner (10%)

Hvem stod bak? Hvem stod bak hendelsen? Andre eksterne 43% Vet ikke 27% Egne ansatte 18% Ønsker ikke å oppgi 6% Leverandører 5%

Bransjen er avhengig av leverandørene Liten Avhengighet av IT-leverandør 25% Leverandør av driftskontrollsystem (Håndtere hendelser) Medium 40% Liten 27% Sterk 34% Medium Sterk 28% 45% Vet Ikke 1% Vet ikke

Inntrengningstest Driftskontrollsystemer godt beskyttet Adm. nett mangler tilstrekkelig sikring AMS svakere beskyttet enn driftskontrollsystemene Utdatert programvare Svake passord

Godt regelverk for energiforsyningen

Beredskapsforskriften: Anbefalingene bak endringsforslagene Krav til informasjonssikkerhet i et overordnet sikkerhetsregime Tydeliggjøre generell sikringsplikt krav til grunnsikring (alle vesentlig betydning for produksjon, omforming, overføring, omsetning eller fordeling av elektrisk energi eller fjernvarme) Systemer der avbrudd har konsekvenser for forsyningssikkerheten: strengere krav (eks brytefunksjon AMS) Driftskontrollsystemer strengere sikringskrav enn grunnsikring, økte krav til integritet og tilgjengelighet.

Nytt om å beskytte digitale informasjonssystemer Virksomheter plikter å sikre digitale informasjonssystemer slik at konfidensialitet, integritet og tilgjengelighet ivaretas. Det er den enkelte virksomhets ansvar å planlegge, gjennomføre og vedlikeholde sikringstiltak etter det digitale informasjonssystemets type, oppbygging og funksjon.

Grunnsikringskrav for digitale informasjonssystemer Virksomheten skal ha en grunnsikring for digitale informasjonssystemer i henhold til anerkjente standarder og normer, herunder: a) Indentifisere og dokumentere Virksomheten skal identifisere og dokumentere verdier, leveranser, tjenester, systemer og brukere i sine digitale informasjonssystemer. Dokumentasjonen skal oppdateres minst en gang i året. b) Risiko- og sårbarhetsanalyse Virksomheten skal gjennomføre risiko- og sårbarhetsanalyse for sine digitale informasjonssystemer. Risiko- og sårbarhetsanalysen skal oppdateres minst en gang i året. c) Sikre og oppdage Virksomheten skal sikre sine digitale informasjonssystem for å motstå eller begrense skalden fra uønskede hendelser. Virksomheten skal overvåke sine digitale informasjonssystemer slik at uønskede hendelser oppdages og registreres. Virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til det sektorvise responsmiljøet.

Grunnsikringskrav (forts) d) Håndtere og gjenopprette Virksomheten skal håndtere uønskede hendelser i sine digitale informasjonssystemer og gjenopprette normaltilstand uten ugrunnet opphold. e) Tjenesteutsetting Virksomheten skal sørge for at sikkerhetsnivået opprettholdes eller forbedres ved utsetting av tjenester. f) Sikkerhetsrevisjon Virksomheten skal minimum årlig gjennomføre en sikkerhetsrevisjon av pålagte beskyttelsestiltak i det digitale informasjonssystemet.

Definisjon av driftskontrollsystem Driftskontrollsystemer omfatter driftssentraler, datarom, sambandsanlegg og øvrige anlegg og rom, systemer og komponenter som ivaretar driftskontrollfunksjoner. Med anlegg forstås også tilhørende bygningstekniske konstruksjoner for driftskontrollfunksjoner. Driftskontrollfunksjoner er alle organisatoriske, administrative og tekniske tiltak for å overvåke og styre anlegg i energiforsyningen. Det tillates ikke at eksterne leverandører som ikke er KBO-enhet, utfører driftskontrollfunksjoner i nettanlegg eller produksjonsanlegg.

Driftskontroll klassifisering og restriksjoner for adgang Klassifisering av driftskontroll-system: Fra enkeltvedtak til energiforsyning til befolkning (antall) eller anleggsklasse Restriksjoner for adgang Driftssentraler i klassifiserte driftskontrollsystemer Bakgrunnssjekk for adgang (klasse 3)

Revidert måle- og avregningsforskrift på høring NVE foreslår sikkerhetskrav spesialtilpasset for AMS. Kravene bygger videre på grunnsikringen foreslått i beredskapsforskriften. Forslagene til endringer i avregningsforskriften inkluderer også definisjon av AMS og brytefunksjonalitet.

Oppsummert: grunnsikring og spesielle krav

Presiseringer om sensitiv informasjon Fordelingsnett og rørnett til samfunnsviktige funksjoner Nøyaktig kartfesting av jordkabler og rørnett i fjernvarmeanlegg med varmesentraler i klasse 2 Alle opplysninger om reservedriftssentraler og andre særskilte beredskapsanlegg for ledelse og drift, samt lokalisering av driftssentraler i klasse 2 og 3.

«Det kan så langt ikke konkluderes med hvem som står bak.»

Kommer det til å skje alvorlige cyber-angrep mot energiforsyningen?

Noen utfordringer Fordeler vs økt sårbarhet? Menneskene i digitaliseringen Hva gjør digitalisering med hjernen? Teknologisk utvikling vs (sikkerhets)kulturutvikling Maktkonsentrasjon

Hva hvis årsaken var cyberangrep? Klipp fra Aftenposten 20. januar 2018

Takk for oppmerksomheten!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding