§ 6.10 Beskyttelse av brytefunksjonalitet i AMS
Nettselskap som har avanserte måle- og styringssystem (AMS) med brytefunksjonalitet, skal sikre dette mot uønsket tilgang. Brytefunksjonalitet som definert i forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv. § 1-3, inkluderer i denne bestemmelsen begrensning av energi- og effektuttaket i det enkelte målepunkt. Nettselskap skal etablere og opprettholde egne sikkerhetstiltak for brytefunksjonaliteten, herunder:
a. Det er kun nettselskap som har tillatelse til å utføre fjernstyring av brytefunksjonaliteten. Fjernstyring av brytefunksjonaliteten skal utføres fra en adgangskontrollert sone.
b. Leverandør med fjerntilgang til brytefunksjonaliteten, skal være lokalisert i et land som er medlem i EFTA, EU eller NATO. Leverandør lokalisert i andre land kan få tidsavgrenset fjerntilgang til brytefunksjonalitet under løpende oppsyn av kvalifisert personell fra nettselskapet eller kvalifisert personell fra leverandør lokalisert i land som er medlem i EFTA, EU eller NATO.
Før leverandør lokalisert i land utenfor EFTA, EU eller NATO får fjerntilgang til bryte-funksjonaliteten, skal nettselskapet foreta en risikovurdering som inneholder en vurdering av landrisiko.
c. Nettselskap har ansvar for at det etableres kontrollordninger for bruk av bryte- og oppdateringsfunksjonaliteten som hindrer at en enkelt person eller enkelt bruker kan koble ut flere målepunkt samtidig.
d. Fjernoppdatering av programvaren i AMS skal utføres fra en adgangskontrollert sone hos nettselskap eller leverandør. Ved bruk av leverandør skal vilkårene i bokstav b være oppfylt.
e. Hver enkelt måler skal ha en individuell sikkerhetsløsning for bryte-, og oppdateringsfunksjonen, som forhindrer at hendelser som kompromitterer sikkerheten i en måler, kompromitterer sikkerheten i en annen måler.
Ordforklaring
Ord |
Forklaring |
Avanserte måle- og styringssystem (AMS) |
AMS er et informasjons- og kommunikasjonssystem for avregning av utveksling, innmating og uttak, fra og med elektrisitetsmålerne til og med sentralsystemet hos nettselskapet eller nettselskapets leverandør. |
Brytefunksjonalitet |
System for fjernstyrt inn- og utkobling av strømuttaket i målepunktet til AMS-målere. |
Adgangskontrollert sone |
En adgangskontrollert sone (eller område) er et avgrenset og fysisk sikret rom, del av bygning eller bygning med styrt og kontrollert adgang. Virksomheten skal kunne gjøre rede for hvem som er og har vært inne i sonen. |
Fjerntilgang |
Tilgang til IKT-system fra en fysisk lokalitet utenfor anlegget der IKT-systemets maskinvare befinner seg. |
Fjernstyring |
Styring som skjer over en geografisk avstand. |
Kontrollordninger |
Tekniske sikkerhetstiltak, sikkerhetsmekanismer og prosedyrer. |
Hvordan oppfylle kravet
Bestemmelsen gjelder for nettselskap som har AMS med brytefunksjonalitet.
AMS er et digitalt informasjonssystem og kravene til grunnsikring i § 6-9 gjelder derfor også for sikring av den logiske kjeden og kommandoer fra virksomhetens sentralsystem gjennom nettverket og fram til brytefunksjonen i måleren.
a. Det er kun nettselskap som har tillatelse til å utføre fjernstyring av brytefunksjonaliteten. Fjernstyring av brytefunksjonaliteten skal utføres fra en adgangskontrollert sone.
Det er ingen andre enn nettselskap som kan kople bryteren i AMS-målerne. Leverandøren av AMS-systemet har ikke denne tillatelsen. Fjernstyring må skje fra en adgangskontrollert sone, se § 5-1, der det er fysisk kontroll med hvem som har adgang, og der kun personell med legitimt behov har adgang. For eksempel vil ikke et hotellrom være adgangskontrollert sone fordi en ikke har kontroll over hvem som besøker et slikt rom.
b. Leverandør med fjerntilgang til brytefunksjonaliteten, skal være lokalisert i et land som er medlem i EFTA, EU eller NATO. Leverandør lokalisert i andre land kan få tidsavgrenset fjerntilgang til brytefunksjonalitet under løpende oppsyn av kvalifisert personell fra nettselskapet eller kvalifisert personell fra leverandør lokalisert i land som er medlem i EFTA, EU eller NATO.
Før leverandør utenfor EFTA, EU eller NATO får tilgang til brytefunksjonaliteten, skal nettselskapet foreta en risikovurdering som inneholder en vurdering av landrisiko.
Uønsket tilgang til brytefunksjonaliteten kan få like vidtrekkende konsekvenser for forsyning av elektrisitet til strømkunder som uønsket tilgang til og manipulasjon av driftskontrollsystemer. Kravet er derfor harmonisert med § 7-14 k som gjelder for driftskontrollsystemer.
Dersom nettselskapet har behov for å gi leverandører utenfor EFTA, EU eller NATO tilgang til AMS, må selskapet gjøre en landrisikovurdering og iverksette nødvendige sikringstiltak. Se punkt § 6-10 e. Leverandører med fjerntilgang til brytefunksjonaliteten må til enhver tid være under oppsyn av kvalifisert personell fra nettselskapet eller kvalifisert personell fra en leverandør som er lokalisert i land som er medlem i EFTA, EU eller NATO. Med oppsyn menes kontinuerlig observasjon. Med kvalifisert personell menes personell med tilstrekkelig kompetanse til å forstå arbeidsoperasjonen som blir gjennomført.
Eksempel: AMS-drift fra utlandet
Nett AS har installert AMS-målere hos sine kunder. Leverandøren av målerne har bestemt å flytte all sin virksomhet ut av Europa. Nett AS er pålagt å gjøre en risikovurdering som inkluderer landrisiko når leverandøren befinner seg utenfor Europa. Risikoen kan håndteres ved hjelp av forebyggende sikringstiltak (barrierer) og eller konsekvensreduserende tiltak (beredskap). Nett AS har uansett plikt til å ha barrierer på plass som hindrer at en enkelt bruker kan kople ut flere målere samtidig.
Nett AS er forpliktet til selv å ha oppsyn av leverandøren, mens denne har tidsbegrenset fjerntilgang. Han kan alternativt engasjere en tredjepart lokalisert i Norge, eller i et land i EFTA, EU eller NATO, som gjør denne jobben på vegne av Nett AS. Drift og vedlikehold av AMS fra utlandet blir tema på neste ledermøte i Nett AS.
c. Nettselskap har ansvar for at det etableres kontrollordninger for bruk av bryte- og oppdateringsfunksjonaliteten som hindrer at en enkelt person eller enkelt bruker kan koble ut flere målepunkt samtidig.
Aktuelle kontrollordninger kan være
- tilgangskontroll og soneinndeling
- separering av rettigheter (privilegier)
- flerfaktor-autentisering for brukere
- logging og etterkontroll av logger kontinuerlig
- reaksjoner på brudd på rutinene som for eksempel sikkerhetssamtale eller avtaleoppsigelse
d. Fjernoppdatering av programvaren i AMS skal utføres fra en adgangskontrollert sone hos nettselskap eller leverandør. Ved bruk av leverandør skal vilkårene i bokstav b være oppfylt.
Dette kravet kommer i tillegg til sikring av digitale informasjonssystemer, se kbf § 6-9.
NVE viser til forklaring av adgangskontrollert sone og til bokstav b ovenfor.
e. Hver enkelt måler skal ha en individuell sikkerhetsløsning for bryte-, og oppdateringsfunksjonen, som forhindrer at hendelser som kompromitterer sikkerheten i en måler, kompromitterer sikkerheten i en annen måler.
Ingen som får kontroll over en måler, og som kan lese av innholdet i den, skal alene kunne bruke kontrollen og/eller informasjonen til å endre innstillingene i andre AMS-målere. Hver måler må derfor ha innebygget sikkerhetsløsning som forhindrer at brytefunksjonaliteten blir misbrukt og at for eksempel skadevare forplanter seg fra en måler til en annen.
Referanser
RME Veileder nr 1/2022. Veileder til sikkerhet i AMS
NIST Guidelines for Smart Grid Cybersecurity
Krysskoblinger