Den nye sikkerhetsloven er et helt nødvendig steg for å beskytte virksomheter og kritisk infrastruktur mot trusler i en tid der digitale og teknologiske løsninger utvider angrepsflaten for ondsinnede aktører.
Ansvaret for å ivareta sikkerheten hviler nå på den enkelte anleggseier. Det er ikke lenger nok med sikkerhetsklareringer og høye gjerder. Det setter krav til ny kompetanse, tett samarbeid, og ikke minst kontinuitet i arbeidet med å opprettholde et akseptabelt sikkerhetsnivå.
Ved tilfeller av hacking og cyberangrep kan bedriftshemmeligheter komme på avveie, sensitiv informasjon kan plukkes opp og kritisk utstyr kan stoppes. Dette har gjort det spesielt viktig at også infrastrukturen som sørger for at samfunnet vårt går rundt, beskyttes. Det er mye av oppgaven til den nye sikkerhetsloven:
– Den nye loven er et banebrytende arbeid som vil gi bedre sikkerhet mot spionasje, sabotasje og terror i en tid der trussel- og risikobildet er i stadig endring, forteller forsvarsminister Frank Bakke-Jensen.
Tar hensyn til den teknologiske utviklingen
Inntil den nye sikkerhetsloven trådte i kraft 1. januar 2019, var den eksisterende loven om nasjonal sikkerhet fra 1998. Mye har skjedd i løpet av de siste tjue årene, og sikkerhetsloven har vært overmoden for utskiftning. Den teknologiske utviklingen har skutt fart, digitaliseringen har fått fotfeste i de fleste delene av samfunnet vårt og alle sektorer har blitt avhengig av IKT. Dermed har også det digitale trusselbildet endret seg og antallet cyberangrep økt. I mange tilfeller lykkes angriperne – noe Hydro og Visma er nylige eksempler på.
Sammenlignet med den eksisterende sikkerhetsloven legger ikke den nye loven bare vekt på beskyttelse av gradert informasjon, men også informasjonssystemer, infrastruktur og objekter av sentral betydning for den nasjonale sikkerheten. Med andre ord er det ikke bare bedrifts- og statshemmeligheter som skal beskyttes, men også kritiske samfunnsfunksjoner som betalingsformidling, strøm, vann, transport og kommunikasjon.
Objekt- og infrastruktursikkerhet
Spesielt kapittel 7 i Sikkerhetsloven er av interesse for kritisk infrastruktur: Objekter og infrastruktur er skjermingsverdige dersom det kan skade grunnleggende nasjonale funksjoner (GNF) om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse. Rent konkret forteller sikkerhetsloven oss at virksomheten skal iverksette nødvendige sikkerhetstiltak for å opprettholde et forsvarlig sikkerhetsnivå. Disse sikkerhetstiltakene kan være:
- Fysiske, elektroniske, menneskelige eller organisatoriske barrièrer
- Systemer som skal oppdage og varsle om aktivitet eller hendelser
- Systemer og rutiner for avklaring vedrørende aktiviteter og hendelser og bakgrunnen for dem
- Oppfølging av uønskede aktiviteter og uønskede hendelser
I tillegg skal virksomheten foreta en risikovurdering for å avgjøre hvilke tiltak som er nødvendige for å beskytte objektet eller infrastrukturen. Men hvordan gjør man dette? Hvordan kan man sikre at man handler i tråd med det nye regelverket?
Gjennomføre risikovurderinger
Formålet med en risikovurdering er å få oversikt over hva som er kritisk for akkurat din virksomhet. Den kan gjennomføres på følgende måte:
- Kartlegg alle sikkerhetsbrudd som potensielt kan forekomme
- Identifiser konsekvensene av alle potensielle sikkerhetsbrudd
- Undersøk sannsynligheten for at de potensielle sikkerhetsbruddene inntreffer
- Avklar hvilken risiko du kan leve med og hvilken risiko som krever tiltak
Resultatet av denne risikovurderingen vil gi dere en detaljert oversikt over hvor dere må fokusere sikkerhetstiltakene deres. En vurdering av risikoen er ikke bare nødvendig for kritisk infrastruktur. I disse dager, der trusselbildet er stort, bør alle bedrifter, uavhengig forretningsområde, foreta en risikovurdering.
Implementere overvåkningsløsninger
Den nye sikkerhetsloven forteller oss at vi trenger systemer og rutiner for å oppdage og varsle om aktiviteter og hendelser, avklare bakgrunnen for hendelsene og følge opp de aktivitetene vi ikke ønsker. Dette krever gode overvåkningsløsninger.
Tradisjonelt har de fleste overvåkningsløsningene vært rettet mot og tilpasset IT-systemene. Nå har det imidlertid dukket opp løsninger som forstår «språket» til de operasjonelle systemene (kontrollsystemene) . Disse løsningene kan gi deg en «baseline» av den normale aktiviteten i nettverket ditt og identifisere unormal aktivitet og varsle deg om det skulle skje.
For å forstå hvordan slike overvåkningsløsninger fungerer, kan du trekke paralleller til ditt eget hus. Du starter gjerne med å beskytte huset, du låser døra og sikrer vinduene ekstra godt. Noen av oss har kanskje også et gjerde med egen port på tomten. Tar du et steg videre så kan du låse alle innvendige dører, slik at det blir vanskelig for uvedkommende å komme seg videre inn til husets mange rom fra inngangspartiet.
Når du har satt opp alle de nødvendige fysiske sikringene, så installerer du kanskje et alarmsystem. Kanskje du til og med installerer et alarmsystem med videoovervåking og sensorer som fanger opp enhver bevegelse i huset. Fanges det opp aktivitet i huset ditt som ikke er normal, så går alarmen. Dette er det samme som å overvåke de industrielle systemene.
Les mer om løsninger for overvåkning >>
Leverandører til kritisk infrastruktur må også beskyttes
Det er ikke bare kritisk infrastruktur i seg selv som blir berørt av sikkerhetsloven. Også leverandører til kritisk infrastruktur kan bli berørt. Det betyr at også samarbeidspartnere må ha en større sikkerhets- og adgangsklarering inn til anlegget. Loven stiller strenge krav til hvem som får lov til å bevege seg rundt i anlegget og hvilken kompetanse de har.
Også her er overvåkningsløsninger nyttige. Om vi trekker analogien om huset et steg videre, kan vi tenke oss at vi har en vaskehjelp som rengjør huset et par timer hver uke. Dere har en avtale om at vedkommende skal rengjøre huset mellom kl. 14 og 16 på onsdager. Om vedkommende i stedet dukker opp på en torsdag og oppholder seg i huset ditt i fire timer fremfor to, så er det informasjon som alarmsystemet kan fange opp. Slik er det også med overvåkingssystemer for industrielle systemer.
Oppsummering
Den nye sikkerhetsloven stiller strengere krav til anleggseiere når det gjelder å beskytte anlegget mot trusler og ivareta sikkerheten. Risikovurderinger står sentralt, og nødvendige sikkerhetstiltak må etableres og vedlikeholdes for å redusere risiko til et akseptabelt nivå. Når det er gjort må systemene kontinuerlig overvåkes. Etablerer man gode rutiner rundt dette arbeidet og samarbeider med tilsynsmyndighetene er man på god vei til å lykkes.
Trenger du råd i forbindelse med den nye sikkerhetsloven og hvordan jobbe med Cyber Security i industrielle systemer?