Veiledning til kraftberedskapsforskriften

Del denne sidenDel på e-post

§ 6.8 Sikkerhetskopier

Virksomheter skal ha oppdaterte sikkerhetskopier og dokumentasjon av driftskontrollsystemet og energisystemet.

Virksomheter skal ha oppdaterte sikkerhetskopier av nødvendig informasjon, programvare og konfigurasjoner av driftskontrollsystemet som er av betydning for drift, sikkerhet og gjenoppretting av kraftforsyningen. Sikkerhetskopiene skal fjernlagres på et sikkert sted, som er lett tilgjengelig for virksomheten.

Nødvendig dokumentasjon om energisystemet og som lagres på datamedia, skal også foreligge som papirutskrifter. Disse skal oppdateres årlig og oppbevares på et sikkert sted som er lett tilgjengelig for virksomheten.


Hvordan oppfylle kravet

Første ledd handler om systemgjenoppretting (driftskontrollsystem). Digital sikkerhetskopi er godt nok så lenge denne sikkerhetskopien alltid er tilgjengelig uavhengig av skytjeneste- eller IT-leverandørens oppetid og kvalitet på sine systemer (dvs. at tilgjengelighet og integritet er sikret). I praksis bør det derfor finnes lokalt lagrede sikkerhetskopier der virksomheten også har testet at kopiene fungerer. Virksomheter

  • ha oppdaterte sikkerhetskopier av nødvendig informasjon, programvare og konfigurasjoner av driftskontrollsystemet
  • fjernlagre sikkerhetskopi på sikkert sted som er lett tilgjengelig for virksomheten
  • beskytte sikkerhetskopier i henhold til kravene i § 6-9
  • ha offline sikkerhetskopi

Annet ledd handler om beredskap for manuell drift. Papirkopikravet gjelder energisystemet. Formålet er å sikre at virksomheten evner å reparere feil i nettet og få gjenopprettet energiforsyningen selv i de situasjoner der digitale systemer kan svikte. Virksomheten må derfor

  • lagre og årlig oppdatere nødvendig dokumentasjon om energisystemet på datamedia og på papir og oppbevare dette på et sikkert og for virksomheten lett tilgjengelig sted. Hva som er nødvendig dokumentasjon, må skjønnsmessig vurderes av virksomheten
  • oppbevare sikkerhetskopien slik at ikke samme hendelse ødelegger original og kopi

Eksempel: Sikkerhetskopier av driftskontrollsystemet

«Ikke koble PC og nettbrett på nettet – vi er utsatt for cyberangrep!»

Denne meldingen gikk ut på SMS til alle ansatte i Kraftkonsernet AS. Økonomisystemet var blant de systemene som ble rammet. Angriperen krevde betalt i kryptovaluta og truet med å publisere sensitive data. Beredskapsplanene fantes heldigvis i sikkerhetskopi på andre datamedia og på papir, sikret og adskilt fra de systemene som var rammet. Kraftkonsernet AS hadde tidligere i år gjennomført øvelse og testet at systemet kunne gjenopprettes med sikkerhetskopien som var lagret offline. Å betale utpressingspenger er sterkt frarådet siden slik utbetaling støtter kriminell virksomhet og viser at virksomheten vil betale for å få dekrypteringsnøkkelen. Å ikke betale for utpressingen og ha en beskyttet og testet sikkerhetskopi er derfor en god forebyggende sikring mot følgene av slike utpressingsangrep.

Virksomheten bør

  • plassere tydelig ansvar i organisasjonen for å vurdere behovet for sikkerhetskopier og gjenoppretting av samtlige IT-tjenester
  • ha en backup-plan og utføre nødvendige tester
  • vedlikeholde og oppdatere et dokument som beskriver ansvar og roller, samt prosedyrer for sikkerhetskopi/gjenoppretting. Sikkerhetskopi/gjenoppretting må ta hensyn til betydningen av å ha tilgang til informasjon og behovet for oppetid for systemene
  • vurdere om leverandørers innebygde funksjonalitet for backup og muligheter for å hente sikkerhetslagrede data er gode nok, eller om virksomheten må lage egen rutine for sikkerhetskopi/gjenoppretting. Sikkerhetskopi/gjenoppretting for nye tjenester må vurderes fortløpende
  • lagre original og sikkerhetskopi på to ulike fysiske steder for å unngå at samme hendelse, eksempelvis brann eller flom, ødelegger begge
  • lagre papirkopier av nødvendig digitalisert dokumentasjon om energisystemet på to ulike fysiske steder. Eksempel er enlinjeskjemaer, beredskapsplaner og innsatsplaner, oversikt/kontaktliste over leverandører samt nødvendig oversikt over infrastrukturen

Veileder

NSM og KRIPOS, 2020, Løsepengevirus temarapport  


Standarder

ISO/IEC 27140 Information Technology – Security Techniques – Storage security gir ytterligere veiledning på datalagringssikkerhet.

Krysskoplinger