<img height="1" width="1" src="https://www.facebook.com/tr?id=1932152440385159&amp;ev=PageView &amp;noscript=1">

Den nye sikkerhetsloven: Hva betyr den for kritisk infrastruktur?

Postet av Knut-Erik Tovslid den 17. juli 2019

Vi har fått en ny sikkerhetslov, for første gang på over 20 år. Her gir vi deg som drifter og er ansvarlig for kritisk infrastruktur en kort innføring i hvordan du kan møte den nye lovens krav.

Vi lever i en stadig mer teknologisk drevet tid, der digitale løsninger gjennomsyrer alle arenaer av livet. Det har gitt oss en rekke fordeler vi nyter godt av både privat og profesjonelt, men medaljen har også en bakside.

Med økt digitalisering, øker risikoen for hacking og cyberangrep. Titusener av virksomheter blir forsøkt angrepet hvert år, og i mange tilfeller lykkes angriperne – noe Hydro og Visma er nylige eksempler på.

Bedriftshemmeligheter kan komme på avveie, sensitiv informasjon kan plukkes opp og kritisk utstyr kan stoppes. Dette har gjort det spesielt viktig at også infrastrukturen som sørger for at samfunnet vårt går rundt beskyttes for hacking og cyberangrep. Det er mye av oppgaven til den nye sikkerhetsloven:

– Den nye loven er et banebrytende arbeid som vil gi bedre sikkerhet mot spionasje, sabotasje og terror i en tid der trussel- og risikobildet er i stadig endring, forteller forsvarsminister Frank Bakke-Jensen.

New call-to-action

Tar hensyn til den teknologiske utviklingen

Inntil den nye sikkerhetsloven tredde i kraft 01. januar 2019, var den eksisterende loven om nasjonal sikkerhet fra 1998. Mye har skjedd i løpet av de siste tjue årene, og sikkerhetsloven har vært overmoden for utskiftning. Den teknologiske utviklingen har skutt fart, digitaliseringen har fått fotfeste i de fleste delene av samfunnet vårt og alle sektorer har blitt avhengig av IKT. Dermed har også det digitale trusselbildet endret seg og antallet cyberangrep økt.

Den nye loven tilpasses den digitale tiden vi lever i, tar høyde for den teknologiske utviklingen og sikrer informasjon som sendes digitalt. Sammenlignet med den eksisterende sikkerhetsloven legger ikke den nye loven bare vekt på beskyttelse av gradert informasjon, men også informasjonssystemer, infrastruktur og objekter av sentral betydning for den nasjonale sikkerheten. Med andre ord er det ikke bare statshemmeligheter som skal beskyttes, men også kritiske samfunnsfunksjoner som betalingsformidling, strøm, vann, transport og kommunikasjon.

 

Sikkerhetslovens betydning for drift av kritisk infrastruktur

Etter hvert som vi forsøker å hente opp data fra produksjonen til de overliggende systemene våre, blir skillelinjene mellom IT-nettverket og OT-nettverket stadig mer uklare. Den store gevinsten er at vi får tilgang på reelle data fra produksjonen som vi kan utnytte for å forbedre driften i virksomheten. Utfordringen er at kritisk infrastruktur gjøres mer tilgjengelig og dermed øker sannsynligheten for at uvedkommende får tilgang til kritisk informasjon og utstyr.

Dette er noe av det den nye sikkerhetsloven har til hensikt å forebygge. Blant annet tydeliggjør loven hvem som har ansvaret for forebyggende sikkerhetsarbeid, hvilke objekter som skal underlegges sikkerhetsloven og hvem som har ansvaret for å iverksette tilstrekkelige sikringstiltak. Ikke minst skal den sikre informasjon som behandles elektronisk og sikre at uvedkommende ikke får tilgang til systemer som er avgjørende for våre grunnleggende nasjonale funksjoner.

Det er særlig sistnevnte som er relevant for de som drifter kritisk infrastruktur, enten det er elforsyning, vannforsyning eller andre samfunnskritiske funksjoner.

 

Objekt- og infrastruktursikkerhet

Spesielt kapittel 7 i Sikkerhetsloven er av interesse for kritisk infrastruktur:

Objekter og infrastruktur er skjermingsverdige dersom det kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse.

Rent konkret forteller sikkerhetsloven oss at virksomheten skal iverksette nødvendige sikkerhetstiltak for å opprettholde et forsvarlig sikkerhetsnivå. Disse sikkerhetstiltakene kan være:

  • Fysiske, elektroniske, menneskelige eller organisatoriske barrierer
  • Systemer som skal oppdage og varsle om aktivitet eller hendelser
  • Systemer og rutiner for avklaring vedrørende aktiviteter og hendelser og bakgrunnen for dem
  • Oppfølging av uønskede aktiviteter og uønskede hendelser

I tillegg skal virksomheten foreta en risikovurdering for å avgjøre hvilke tiltak som er nødvendige for å beskytte objektet eller infrastrukturen.

Men hvordan gjør man dette? Hvordan kan man sikre at man handler i tråd med det nye regelverket?

 

Viktigheten av risikovurderinger

Formålet med en risikovurdering er å få oversikt over hva som er kritisk for akkurat din virksomhet. Den kan gjennomføres på følgende måte:

  • Kartlegg alle sikkerhetsbrudd som potensielt kan forekomme
  • Identifiser konsekvensene av alle potensielle sikkerhetsbrudd
  • Undersøk sannsynligheten for at de potensielle sikkerhetsbruddene inntreffer

Resultatet av denne risikovurderingen vil gi dere en detaljert oversikt over hvor dere må fokusere sikkerhetstiltakene deres.

En vurdering av risikoen er ikke bare nødvendig for kritisk infrastruktur. I disse dager, der trusselbildet er stort, bør alle bedrifter, uavhengig forretningsområde, foreta en risikovurdering.

Les også: Slik hindrer du hackere i å komme inn på produksjonsnettet ditt

 

Implementere overvåkingsløsninger

Den nye sikkerhetsloven forteller oss at vi trenger systemer og rutiner for å oppdage og varsle om aktiviteter og hendelser, avklare bakgrunnen for hendelsene og følge opp de aktivitetene vi ikke ønsker. Dette krever gode monitorerings- og overvåkingsløsninger.

For eksempel ser vi at hackere ikke bryter seg inn for å stjele eller ødelegge, men for å bruke virksomhetens tilgjengelige datakapasitet for utvinning av kryptovaluta. Dette kan føre til skader på informasjonsflyten og gjøre at servere slutter å fungere og anlegg bryter sammen. Slike tilfeller er vanskelig å oppdage, fordi prosessene kan ligge gjemt. For å identifisere slike avvik er det helt nødvendig å overvåke trafikken i nettverket.

Tradisjonelt har de fleste overvåkingsløsningene vært rettet mot og tilpasset IT-systemene. Nå har det imidlertid dukket opp løsninger som forstår OT-nettverkets «språk». Disse løsningene kan gi deg en «baseline» av den normale aktiviteten i nettverket ditt og identifisere unormal aktivitet og varsle deg om det skulle skje.

For å forstå hvordan slike overvåkningsløsninger fungerer, kan du trekke paralleller til ditt eget hus. Du starter gjerne med å beskytte huset, du låser døra og sikrer vinduene ekstra godt. Noen av oss har kanskje også et gjerde med egen port på tomten. Tar du et steg videre så kan du låse alle innvendige dører, slik at det blir vanskelig for uvedkommende å komme seg videre inn til husets mange rom fra inngangspartiet.

Når du har satt opp alle de nødvendige fysiske sikringene, så installerer du kanskje et alarmsystem. Kanskje du til og med installerer et alarmsystem med videoovervåking og sensorer som fanger opp enhver bevegelse i huset. Fanges det opp aktivitet i huset ditt som ikke er normal, så går alarmen. Dette er det samme som å overvåke det industrielle nettverket.

Les også: Overvåking av nettverkstrafikk er kritisk for cyber security i industrielle nettverk

 

Leverandører til kritisk infrastruktur må også beskyttes

Det er ikke bare kritisk infrastruktur i seg selv som blir berørt av sikkerhetsloven. Også leverandører til kritisk infrastruktur kan bli berørt. Det betyr at også samarbeidspartnere må ha en større sikkerhets- og adgangsklarering inn til anlegget. Loven stiller strenge krav til hvem som får lov til å bevege seg rundt i anlegget og hvilken kompetanse de har.

Også her er overvåkningsløsninger nyttige. Om vi trekker analogien om huset et steg videre, kan vi tenke oss at vi har en vaskehjelp som rengjør huset et par timer hver uke. Dere har en avtale om at vedkommende skal rengjøre huset mellom kl. 14 og 16 på onsdager. Om vedkommende i stedet dukker opp på en torsdag og oppholder seg i huset ditt i fire timer fremfor to, så er det informasjon som alarmsystemet kan fange opp. Slik er det også med overvåkingssystemer for industrielle nettverk.         

Konklusjon

Den nye sikkerhetsloven er et helt nødvendig steg for å beskytte virksomheter og kritisk infrastruktur mot trusler i en tid der digitale og teknologiske løsninger utvider angrepsflaten for ondsinnede aktører. Ansvaret for å ivareta sikkerheten hviler nå på den enkelte anleggseier. Det er ikke lenger nok med sikkerhetsklareringer og høye gjerder.  Det setter krav til ny kompetanse, tett samarbeid og ikke minst kontinuitet i arbeidet med å opprettholde et sikkerhetsnivå. Risikovurderinger står sentralt, og nødvendige sikkerhetstiltak må etableres og vedlikeholdes for å redusere risiko til et akseptabelt nivå.  Når det er gjort må systemene kontinuerlig overvåkes.  Etablerer man gode rutiner rundt dette arbeidet og samarbeider med tilsynsmyndighetene er man på god vei til å lykkes.

New call-to-action

Knut-Erik Tovslid

Skrevet av Knut-Erik Tovslid

Knut-Erik Tovslid er Head of Network & Cyber Security i Triple-S. Han har over 30 års erfaring innen automatisering rettet mot industri, bygg og forskning. De siste 17 årene har han jobbet i Triple-S med salg og forretningsutvikling mot norsk industri og offentlig sektor. Her har han levert teknologi for optimalisert drift i form av automasjon, nettverk og digitalisering. Knut-Erik brenner for lønnsom og sikker produksjon i Norge gjennom økt bruk av automatisering og digitalisering.

Om Triple-S

Triple-S leverer kompetanse og teknologi innenfor automatisering, digitalisering og nettverk og OT-sikkerhet. Vi representerer verdensledende produsenter innenfor disse fagområdene, hvor Rockwell Automation er den største.

Besøk oss på triple-s.no