Veiledning

En risikovurdering etter § 7-8 innebærer en systematisk kartlegging av informasjon om et vassdragsanlegg for å identifisere sensitiv informasjon, avdekke sårbarheter ved måten denne type informasjon behandles på, og for å etablere tiltak.

Hensikten med kravet til helhetlig risikovurdering er å sikre at man ved ethvert vassdragsanlegg kan oppdage og håndtere brudd på og trusler mot informasjonssikkerhet raskt, samt identifisere og redusere risiko og sårbarhet. Bestemmelsene om informasjonssikkerhet gjelder for all informasjon, enten den uttales muntlig, er digital, på papir eller i annen form.

Risiko uttrykkes ved sannsynligheten og konsekvensen av en uønsket hendelse.

For å kunne foreta en helhetlig risikovurdering for behandling av informasjon må følgende gjennomføres:

1. Kartlegg hva slags informasjon som finnes om anlegget/anleggene og hvor den lagres. Dette inkluderer personopplysninger, driftsdata, teknisk dokumentasjon og annen informasjon som kan ha verdi for uvedkommende.
2. Identifiser hva som er sensitiv informasjon ved anlegget/anleggene (se steg 2).
3. Vurder hvilken risiko behandlingen av den sensitive informasjonen utgjør for det aktuelle vassdragsanlegget.
4. Iverksett tiltak for å behandle den sensitive informasjonen i samsvar med kravene i § 7-8 og sikkerhetsinstruks (se steg 3 og 4).

Med utgangspunkt i de ovennevnte punktene, gjøres den helhetlige risikovurderingen av alle forhold som kan utgjøre en risiko for informasjonssikkerheten. Ettersom det kreves at risikovurderingen skal være helhetlig, må alle disse forholdene ses i sammenheng. 

Denne helhetlige risikovurderingen skal dokumenteres og danner utgangspunktet for sikkerhetsinstruksen som skal utarbeides for informasjonssikkerheten (se steg 4).

Risikovurderingen må hele tiden tilpasses endringer i trusselbildet, teknologi og organisasjon mv. For å kunne overholde taushetsplikten og kravene til tilgangskontroll, avskjerming og beskyttelse av sensitiv informasjon er det nødvendig å oppdatere risikovurderingen jevnlig. Dette betyr at risikovurderingen må oppdateres ved enhver endring som har betydning for informasjonssikkerheten. I tillegg bør risikovurderingen gjennomgås årlig for å avdekke behov for forbedringer. Dersom det er skjedd endringer i risikobildet, må risikovurderingen revideres. Et eksempel på endring i risikobildet kan være oppdatert trusselvurdering fra Politiets sikkerhetstjeneste (PST), Nasjonal sikkerhetsmyndighet (NSM) eller Etterretningstjenesten.

En stor del av hensikten med en risikovurdering er å starte en tankeprosess. Det finnes ingen konkret fasit på hva som skal vurderes i en risikovurdering ettersom ulike anlegg kan ha forskjellige problemstillinger. Det er derfor en viktig del av prosessen å starte tankeprosessen rundt hva som kan gå galt, og konsekvensene som følger. Hva skjer hvis...?

En slik prosess kan avdekke mange sårbarheter, og det er nettopp det som er meningen. For å vite hvordan en bør starte å tenke, er det nedenfor gitt et veiledende eksempel på typiske spørsmål den ansvarlige bør stille seg og vurdere knyttet til behandling av informasjon om vassdragsanlegg.  

Avhengighet til IKT-systemer

1. Hvilken påvirkning har det dersom et eller flere IKT-systemer svikter?
2. Finnes det backup-løsninger eller alternativer?
   1. Finnes for eksempel beredskapsplaner, tegninger og andre viktige dokumenter også i papirformat?

Sårbarheter

1. Er det bevissthet rundt bruken av trådløse nettverk, minnepinner, e-post, etc.? (Kan være en inngangsport for skadelig programvare/hacking. Sensitiv informasjon må ikke sendes i åpne kanaler.)
2. Arbeidsforhold (Hjemmekontorløsninger, åpent landskap, cellekontor, møterom?)
3. Oppbevaring og arkivering av sensitiv informasjon fysisk og digitalt
   1. Hvor befinner sensitiv informasjon seg?
   2. Hvem i organisasjonen er rettmessige brukere?
   3. Er lagringsstedet sikret slik at kun rettmessige brukere har tilgang?
4. Samarbeid på tvers av virksomheter
   1. Har man kontroll på hvor sensitiv informasjon befinner seg, og hvem som har tilgang til den til enhver tid?
   2. Er alle parter kjent med hvilken informasjon som er sensitiv, hva som kan deles, og med hvem?
   3. Kan informasjon havne på avveie hvis en annen organisasjon blir rammet av et dataangrep?

Sensitiv informasjon på avveie

1. Hvilke konsekvenser kan oppstå ved sensitiv informasjon på avveie?
2. Hvilke tiltak gjøres for å begrense konsekvensene når sensitiv informasjon har kommet på avveie?

Risikovurderingen skal dokumenteres.

Teknologi i et sikkerhetsperspektiv 

Sentralt i digitalisering står samarbeidet mellom mennesker, prosesser og teknologi. Et resultat av digitalisering er at store samfunnsverdier i økende grad legges over i det digitale, noe som tilgjengeliggjør større mengder informasjon på en ny måte. Dette gir naturligvis mange fordeler, men det er i tillegg viktig å være bevisst på at ny teknologi og bruksmønstre tilknyttet dette også skaper nye muligheter som kan utnyttes av trusselaktører, eller som kan bli utilgjengelig for eksempel ved strømbrudd.

Teknologien er hele tiden under utvikling, og kan inneholde nye ukjente sårbarheter. Kunstig intelligens (AI) er et eksempel på ny teknologi i utvikling som stadig blir vanligere i samfunnet. Det er uvisst hva utviklingen av kunstig intelligens kan føre til på sikt. 

Risikovurdering av ny teknologi

Ved bruk av ny teknologi eller nye IKT-systemer som skal benyttes til behandling av sensitiv informasjon skal det gjøres en ny/revidert risikovurdering av IKT-systemet. Bruken av systemet skal da vurderes opp mot kravet til informasjonssikkerhet etter damsikkerhetsforskriften § 7-8, og eventuelt iverksette tiltak, se steg 3 og 4. En risikovurdering av IKT-systemer kan for eksempel gjøres etter Risikovurdering av IKT-systemer.pdf (nsm.no) utarbeidet av Nasjonal sikkerhetsmyndighet (NSM).

I noen prosjekter er mange ulike aktører involvert. Det er ikke uvanlig at de ulike aktørene bruker forskjellige systemer. Den ansvarlige må derfor inkludere dette i risikovurderingen og eventuelt gjøre tiltak.

Bygningsinformasjonsmodeller/modellering (BIM)

BIM brukes i større eller mindre grad blant aktører i byggenæringen, og har på flere områder erstattet tradisjonelle tegninger. en BIM modell gir en god oversikt over konstruksjonen og dens komponenter, som gjør det enklere å se helheten på tvers av fagfelt. Med BIM, menes også «bygningsinformasjonsmodellering», dvs. arbeidsprosessen som følger ved bruk av BIM-modeller. For eksempel kan dette brukes i forbindelse med fremdriftsplanlegging og kan knyttes til konkrete arbeidsoppgaver, økonomi, tid etc. Dette gjør det mulig å formidle større mengder informasjon samtidig, som gjør selve arbeidsprosessen og samarbeid mer effektivt. Dette gjelder også arbeid og samarbeid via ulike skyplattformer. Det er viktig å være bevisst på hva slik teknologi er, gjøre en vurdering av risikoen dette kan utgjøre og ha en plan for hvordan slikt skal håndteres.

Hensikten med å omtale hva som er sensitiv informasjon om vassdragsanlegg er å presisere hvilken type informasjon det må etableres tilgangskontroll overfor og som samtidig vil være underlagt taushetsplikt. Det er informasjon om vassdragsanlegg i konsekvensklasse 2, 3 og 4 som skal vurderes i forbindelse med sensitiv informasjon. Det er viktig å være oppmerksom på at konsekvensklassen for et vassdragsanlegg kan endres, jf. § 4-1.

All informasjon om vassdragsanlegg er ikke sensitiv informasjon. Det er kun informasjon som er så spesifikk eller som gir inngående kjennskap til vassdragsanlegget at den kan brukes av uvedkommende til å skade anlegget eller påvirke funksjoner som har betydning for sikkerheten som anses som sensitiv informasjon. Sammenstilling av informasjon som ellers ikke regnes som sensitiv, kan likevel bli sensitiv dersom sammenstillingen gir kjennskap som kan brukes til å skade eller påvirke funksjoner på en måte som har betydning for sikkerheten. En helhetlig risikovurdering for behandling av informasjon (Steg 1) er derfor svært viktig. 

Hva som finnes av sensitiv informasjon om de ulike vassdragsanleggene, vil variere. Det må derfor gjøres en konkret vurdering av hvilken informasjon som må anses som sensitiv, se neste avsnitt om identifisering av sensitiv informasjon. 

Eksempel på informasjon som vanligvis vil være sensitiv informasjon

• Vurderinger av risiko og/eller sårbarhet etter damsikkerhetsforskriften. Dette omfatter for eksempel:
  • Analyse av risiko og sårbarhet knyttet til anlegg og driften av anlegget som grunnlag for beredskapsplanen, jf. § 7-4.
  • Vurdering av behov for atkomsthindring, jf. § 7-7. Dette omfatter vurdering av behov, nivå og beskrivelse av tiltak (inklusive kameraovervåking).
  • Vurdering av risiko knyttet til behandling av informasjon, jf. § 7-8.
  • Vurdering som grunnlag for særlige sikringstiltak, jf. § 7-10.
• Angivelse av sprengbare felt, jf. § 5-9. Dette omfatter for eksempel detaljtegninger og beregninger i forhold til motstand mot eksplosjonslaster.
• Informasjon om driftsprosedyrer, jf. § 7-1. Dette kan for eksempel omfatte driftsprosedyrer for lukemanøvrering og tappekapasiteter. Informasjon om kraftoverførings- og manøvreringsarrangementer. Dette kan for eksempel være hydraulikkslanger og strømforsyning.
• Informasjon om driftskontroll-/styringssystem, jf. §§ 5-14 og 7-2. Dette kan for eksempel omfatte systemer for overføring av signaler for fjernstyring og overvåking.
• Sammenstillinger av informasjon om et vassdragsanlegg som ikke i seg selv er sensitive, men som til sammen kan brukes for å skade anlegget eller påvirke dets funksjoner som har betydning for sikkerheten. Dette gjelder for eksempel oversikter som viser vassdragsanlegg med stort skadepotensial.
• Dokumentasjon som avdekker anleggets oppbygning, tilstand, svakheter og bruddkonsekvenser, for eksempel:
  • Revurderingsrapporter
  • Tekniske planer
  • Sluttrapporter
  • Klassifiseringsdokumentasjon
  • Detaljtegninger av anlegget/anleggskomponenter  

Hensikten med kravet om å identifisere hva som er sensitiv informasjon, hvor slik informasjon befinner seg og hvem som har tilgang til sensitiv informasjon, er å gi grunnlag for effektiv tilgangskontroll og ivaretakelse av taushetsplikt. I mange tilfeller vil dette være ensbetydende med å ha egne rutiner for håndtering av sensitiv informasjon, og en bevisstgjøring av hvordan denne informasjonen skal behandles. Angivelse av hva som er sensitiv informasjon, hvor den befinner seg og hvem som skal ha tilgang til den, må ivaretas gjennom sikkerhetsinstruksen, (se steg 4).

Identifisering av sensitiv informasjon innebærer at man må vurdere om informasjonen kvalifiserer som «spesifikk informasjon og inngående kjennskap om vassdragsanlegget som kan brukes til å skade anlegget eller påvirke funksjoner som har betydning for sikkerheten». Det vises til forrige avsnitt "Hva er sensitiv informasjon?". Damsikkerhetsforskriften stiller ingen krav til metode for identifisering av sensitiv informasjon. Det som er avgjørende er å gjøre en konkret vurdering av hvilken type informasjon som kan brukes til å skade anlegget eller påvirke funksjoner som har betydning for sikkerheten.

Det må identifiseres hvor virksomhetens sensitive informasjon befinner seg. Dette innebærer at man må skaffe seg oversikt over hvor slik informasjon er oppbevart og lagret både på papir og i digital form.

Å identifisere hvem som har tilgang til sensitiv informasjon, betyr at det må kartlegges hvem som har tilgang i dag, og det må tas stilling til hvem som skal være rettmessige brukere av sensitiv informasjon om vassdragsanlegg. Se steg 3 om hvem som er bundet av taushetsplikten og kan anses som rettmessige brukere.

Hensikten med å stille krav til tilgangskontroll, avskjerming og beskyttelse av sensitiv informasjon er at det kun er personer som i sitt tjenesteforhold har behov for å kjenne til den sensitive informasjonen, som faktisk får tilgang til slik informasjon. Kravene omhandler både tekniske forhold og administrative rutiner knyttet til merking, oppbevaring, bruk og deling, samt tilintetgjøring.  

Tiltak for å oppfylle kravene til tilgangskontroll, avskjerming og beskyttelse må ivaretas gjennom sikkerhetsinstruksen. Det vises derfor til steg 4.

Hensikten med å etablere en lovbestemt taushetsplikt er å sikre at det kun er de personene som skal ha tilgang til sensitiv informasjon, som får det. Taushetsplikten gjelder informasjon om vassdragsanlegg som er identifisert som sensitiv informasjon, se steg 2.

Taushetsplikten gjelder for enhver som omfattes av forskriften. Dette innebærer at leder, VTA, stedfortredende VTA, tilsynspersonell, fagansvarlig, utførende foretak (herunder foretak som produserer og/eller monterer stenge- og tappeorganer, rør og tverrslagsporter), anleggsleder og kontrollør er underlagt taushetsplikt. Taushetsplikten gjelder også for alle fysiske personer som er ansatt hos eller innleid av den ansvarlige. Disse har taushetsplikt dersom de får kjennskap til sensitiv informasjon. Denne taushetsplikten gjelder uavhengig av om de er rettmessige brukere eller ikke.

Taushetsplikten innebærer at den som er bundet av taushetsplikten ikke fritt kan gi sensitiv informasjon videre i noen form, dvs. på papir eller annet materiale, elektronisk eller ved å fortelle om informasjonen muntlig. Det er ikke brudd på taushetsplikten å videreformidle informasjonen til andre rettmessige brukere. Rettmessige brukere vil være andre som har et tjenstlig behov for å få tilgang til informasjonen. Disse vil også være bundet av taushetsplikten. 

Taushetsplikten innebærer i tillegg at den som har sensitiv informasjon aktivt må utvise aktsomhet i sin behandling av informasjonen. Dette kan for eksempel være at man ikke forlater sin kontorplass med sensitiv informasjon liggende godt synlig på skjerm eller i papirversjon for andre som tilfeldigvis kommer innom.

Taushetsplikten betyr også at de organ som er omfattet av offentleglova, ikke skal gi innsyn i sensitiv informasjon om vassdragsanlegg etter offentleglova § 13, jf. damsikkerhetsforskriften § 7-8. Den bakenforliggende grunnen for å unnta offentlighet for slike opplysninger er at innsyn vil kunne lette gjennomføringen av straffbare handlinger. I offentleglova § 24 tredje ledd er det en hjemmel for å kunne unnta fra rett til innsyn i opplysninger der hvor unntak er påkrevet fordi innsyn ville ette gjennomføringen av straffbare handlinger.  

Dokumenter og filer som inneholder sensitiv informasjon om vassdragsanlegg skal merkes. Hensikten med dette er å gjøre andre rettmessige brukere bevisst på informasjon som er taushetsbelagt, slik at dette blir behandlet riktig. Merkingen må være lett synlig. Dokumenter bør merkes i filnavn og i oversendelser. I tillegg skal fysiske dokumenter merkes på alle sider som inneholder sensitiv informasjon, i tillegg til forsiden. 

Sensitiv informasjon om vassdragsanlegg som også har betydning for kraftforsyningen må merkes med unntatt offentlighet etter damsikkerhetsforskriften § 7-8 og energiloven § 9-3 jf. kbf. § 6-2 som gitt i Veiledning til kraftberedskapsforskriften - NVE kapittel 6.  

Sensitiv informasjon om vassdragsanlegg som ikke har betydning for kraftforsyningen skal merkes i henhold til damsikkerhetsforskriften og/eller offentleglova som gitt i eksempelet.

Eksempelet under viser hvordan dokumenter kan merkes på en tydelig måte. For å merke sensitiv informasjon om vassdragsanlegg kan følgende tekster benyttes:

• "Unntatt offentlighet etter offentleglova § 13, jf. damsikkerhetsforskriften § 7-8"
• "Unntatt offentlighet etter offentleglova § 24 tredje ledd"

Sikkerhetsinstruksen skal omfatte rutiner for oppbevaring av sensitiv informasjon. Hensikten er å ha kontroll på hvor informasjonen befinner seg, og at kun rettmessige brukere har tilgang. 

Oppbevaring digitalt

• Oppbevaring av sensitiv informasjon digitalt bør skje på servere lokalisert i Norge eller i land med samme krav til informasjonssikkerhet.
• Sensitiv informasjon må lagres digitalt på område hvor kun rettmessige brukere har tilgang.
• Sensitiv informasjon må ikke forlates slik at andre enn rettmessige brukere kan få tilgang.
• Rutiner og utstyr for beskyttelse mot ondsinnet programvare.
• Rutiner for bruk av bærbare digitale produkter, som minnepinner, telefoner, bærbare datamaskiner og liknende.
• Rutiner for logging for å avdekke uautorisert bruk av IKT-systemer.
• Rutiner for inntrengningstester på kritiske systemer for å avdekke sårbarheter.

Oppbevaring fysisk

• Fysiske dokumenter må oppbevares innelåst hvor kun rettmessige brukere har tilgang.
• Fysisk sikring av informasjon og IKT-systemer, samt skjerming mot innsyn.
• Beskyttelse av sensitiv informasjon mot avlytting og manipulering.
• Sørge for at uvedkommende ikke overhører samtaler/omtale av sensitiv informasjon.

Sikkerhetsinstruksen skal omfatte rutiner for hvordan sensitiv informasjon skal behandles under bruk, hvem de kan deles med og hvordan. Punktlisten nedenfor angir noe av det som forventes i en slik instruks.

Bevisstgjøring

• Opplæring av medarbeidere og jevnlig repetisjon. 

Rettmessige brukere

• Oversikt over hvem som er rettmessige brukere internt og eksternt.
• Rutiner ved avslutning og endring av ansettelsesforhold og konsulentoppdrag.

Tilgangskontroll

• Tilgangskontroll gjennomføres for digital informasjon ved differensiert brukertilgang på server.
• Tilgangskontroll gjennomføres for fysiske dokumenter ved dokumentasjon av at man er rettmessig bruker.
• Regler for passordbeskyttelse.
• Fjerning eller svartsladding av sensitive opplysninger i dokumenter før skanning/kopiering ved tilgjengeliggjøring for andre enn rettmessige brukere.

Deling av sensitiv informasjon

• Regler for å sende sensitiv informasjon, henholdsvis regler for bruk av e-post, brev, tekstmeldinger og annen type digital kommunikasjon.
• Regler for når sensitiv informasjon må oversendes kryptert.
• Sensitiv informasjon skal bare utleveres til eksterne etter at det er inngått sikkerhetsavtale.

Sikkerhetsavtale (samarbeid på tvers av virksomheter)

Et resultat av digitalisering er, som tidligere beskrevet, at arbeidsprosesser endres og informasjon i større grad deles på tvers av virksomheter i et prosjekt. Det gjør at den ansvarlige lett kan miste oversikt over alle stedene informasjonen befinner seg, og hvor mange som har tilgang til den. Informasjon om et prosjekt kan i flere tilfeller også bli liggende hos involverte virksomheter i lang tid etter at prosjektet er ferdigstilt, noe som kan utgjøre en sikkerhetsrisiko dersom informasjonen er sensitiv.

I merknadene til § 7-8, annet ledd står det: «…eksterne som skal forholde seg til sensitivt materiale må ha sikkerhetsavtale.»

Hensikten med en sikkerhetsavtale er å sikre at begge parter i et samarbeidsprosjekt vet hva som er sensitiv informasjon og hvordan slik informasjon skal håndteres under og etter et samarbeidsprosjekt. I en stadig mer digital verden er dette spesielt viktig. Den internasjonale standarden ISO 19650-5 angir forslag til innhold i en avtale som et eksempel. 

En sikkerhetsavtale må gjennomgås og signeres av de involverte partene, og må inngås før sensitiv informasjon deles. En slik avtale bør inngås der informasjonen som skal deles er identifisert som sensitiv informasjon etter § 7-8 (se steg 2).

Sikkerhetsinstruksen skal omfatte rutiner for hvordan tilintetgjøring av sensitiv informasjon skal skje. Avhending av informasjon og utstyr må skje kontrollert. Det vil si ved å benytte metoder som sikrer at informasjonen ikke kan bli tilgjengelig etter avhending. For eksempel gjennom bruk av makuleringsmaskin eller avmagnetisering/sliping/knusing.

Sikkerhetsinstruksen må også omfatte rutiner for hva som gjøres når det har oppstått et sikkerhetsbrudd.

• Det må finnes en plan for tiltak som iverksettes for å begrense konsekvensene når et sikkerhetsbrudd/sikkerhetstruende hendelse har oppstått.
• Det må etableres rutiner for avvikshåndtering ved sikkerhetsbrudd/sikkerhetstruende hendelser (jf. IK-vassdrag § 5).
• Det skal sendes melding om sikkerhetsbrudd/sikkerhetstruende hendelser til NVE (jf. § 7-11).
• Rutiner for oppdatering og vedlikehold av sikkerhetstiltak etter § 7-8.

Loven som er vist til i damsikkerhetsforskriften § 7-8 tredje ledd er utdatert, og NVE vil derfor praktisere den nyeste versjonen av lov om nasjonal sikkerhet (Sikkerhetsloven) Lov om nasjonal sikkerhet (sikkerhetsloven) - Lovdata. 

Hensikten med å gi NVE hjemmel til å treffe vedtak om at informasjon om vassdragsanlegg skal behandles i henhold til bestemmelser i sikkerhetsloven, er å sikre at skjermingsverdig informasjon (sikkerhetsloven § 5-1) beskyttes med strengere krav enn det som følger av damsikkerhetsforskriften § 7-8.