§ 6.9 Digitale informasjonssystemer
Virksomheter skal sikre digitale informasjonssystemer slik at konfidensialitet, integritet og tilgjengelighet ivaretas.
Det er den enkelte virksomhets ansvar å planlegge, gjennomføre og vedlikeholde sikringstiltak etter det digitale informasjonssystemets type, oppbygging og funksjon.
Virksomheter skal ha en grunnsikring for digitale informasjonssystemer i henhold til anerkjente standarder og normer, herunder:
- Identifisere og dokumentere
Virksomheter skal identifisere og dokumentere verdier, leveranser, tjenester, systemer og brukere i sine digitale informasjonssystemer. Dokumentasjonen skal holdes oppdatert - Risikovurdering
Virksomheter skal gjennomføre risikovurdering ved systemendringer. Risikovurderingen skal holdes oppdatert - Sikre og oppdage
Virksomheter skal sikre sine digitale informasjonssystemer for å motstå eller begrense skade fra uønskede hendelser. Virksomheter skal overvåke sine digitale informasjonssystemer slik at uønskede hendelser oppdages og registreres. Virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til den beredskapsmyndigheten bestemmer - Håndtere og gjenopprette
Virksomheter skal håndtere uønskede hendelser i sine digitale informasjonssystemer og gjenopprette normaltilstand uten ugrunnet opphold - Tjenesteutsetting
Virksomheter skal sørge for at sikkerhetsnivået opprettholdes eller forbedres ved utsetting av tjenester - Sikkerhetsrevisjon
Virksomheter skal jevnlig gjennomføre revisjoner av iverksatte sikringstiltak for digitale informasjonssystemer. Revisjoner skal påse at tiltakene faktisk er etablert og fungerer etter sin hensikt. Hver revisjon kan ta for seg deler av sikringstiltakene
Ordforklaring
Digitale informasjonssystemer |
Samlebetegnelse for informasjons- og kommunikasjonsteknologi som en virksomhet anvender til operasjonelle og administrative formål. Systemer for generering, samling, lagring, behandling, forvaltning og formidling av data og informasjon, inkludert kommunikasjon og samhandling. Informasjonssystemer kan avgrenses mot styrings-/kontrollsystemer |
Konfidensialitet, integritet og tilgjengelighet |
De tre klassiske målene for informasjonssikkerhet. Konfidensialitet betyr beskyttelse av informasjon mot innsyn fra uautoriserte personer eller prosesser. Integritet betyr beskyttelse av informasjon mot utilsiktet eller uautorisert endring. Tilgjengelighet betyr tilgang for rettmessige brukere. |
Verdi |
Med verdi menes virksomhetens leveranser av for eksempel elektrisk energi og fjernvarme, tjenester og produkter. Verdier er også anleggsmidler og informasjon inklusive intellektuelle rettigheter. Listen er ikke prioritert eller uttømmende. |
Sikringstiltak |
Tiltak for å redusere risiko forbundet med uønskede handlinger |
Risikovurdering |
Se § 2-3 |
Sektorvist responsmiljø |
Se § 3-6 |
Uønsket hendelse |
Uønskede hendelser omfatter både tilsiktede handlinger og utilsiktede hendelser. Begge deler kan påvirke sikkerhetsverdiene konfidensialitet, integritet og tilgjengelighet. Uønskede hendelser kan gi opphav til ekstraordinære situasjoner. |
Hendelseshåndtering |
Aktiviteter med formål om å stanse eller begrense skade av uønskede hendelser på berørte IKT-systemer og nettverksressurser, og deretter gjenopprette sikker tilstand. |
Tjenesteutsetting
|
Ekstern utførelse av basisdrift, applikasjonsdrift eller applikasjonsforvaltning med en tjenesteleverandør. Tjenesteutsetting (outsourcing), utkontraktering og konkurranseutsetting er likeverdige betegnelser |
Sikkerhetsrevisjon |
Virksomhetens interne og eksterne kontroll av eget sikkerhetsarbeid. |
Hvordan oppfylle kravet
Kbf § 6-9 plasserer ansvaret for digital sikkerhet i virksomheten. I tillegg detaljeres krav til grunnsikring. Kravene bygger på NSMs grunnprinsipper for IKT-sikkerhet.
NSMs grunnprinsipper for IKT-sikkerhet bygger igjen på internasjonale anerkjente standarder og veiledninger, spesielt ISO/IEC 27002. NSM har på sin nettside om grunnprinsippene laget en oversikt over hvordan grunnprinsippene samsvarer med ISO 27002. NSM har også gitt ut grunnprinsipper for sikkerhetsstyring.
Internasjonale standarder og veiledning for ytterligere kunnskap
- ISO/IEC 27000 serien (foretrukket i EU)
- Cyber Essentials (NCSC, UK)
- NIST Cyber Security Framework (USA)
- Center for Internet Security CIS CSC Top 20 Security controls, Risk Assessment Templates og Benchmarking
- Cloud Security Alliance standard
Grunnprinsippene forteller hva du må gjøre, men ikke hvordan. Hvert grunnprinsipp beskriver en kontinuerlig aktivitet som må gjennomføres og vurderes i hele systemets levetid, fra planlegging og etablering til avhending. Flere av grunnprinsippene bygger på hverandre, og enkelte er en forutsetning for at andre skal kunne gjennomføres effektivt. NSM har derfor kategorisert grunnprinsippene i tre kategorier, 1, 2 og 3, der man starter med kategori 1 tiltak. I sum inkluderer grunnprinsippene bredden av sikringstiltak som består av barrierer, deteksjon, verifikasjon og reaksjon for å etablere god sikkerhet i dybden.
NVE anbefaler virksomheter å sette seg inn i NSMs grunnprinsipper for IKT-sikkerhet og NSMs grunnprinsipper for sikkerhetsstyring. Mer detaljerte råd om konfigurasjon og teknisk sikkerhet gis av Center for Internet Security. Også standarder er nyttige kilder til mer informasjon. De har ofte mye felles, og man kan velge den som passer virksomheten best, og supplere med tiltak fra andre rammeverk om man ønsker det.
Som et minimum bør virksomhetene tilstrebe å ha et sikkerhetsnivå tilsvarende kategori 1 og 2 tiltak. For større virksomheter kommer i praksis alle grunnprinsippene under de ulike hovedkategoriene til anvendelse. Nedenfor følger en gjennomgang av kravene i bokstav a til f.
Virksomheten skal ha en grunnsikring for digitale informasjonssystemer i henhold til anerkjente standarder og normer. Her vektlegger kravet at virksomheten bør se til standarder og normer for sikring av digitale systemer.
Identifisere og dokumentere
Virksomheten skal identifisere og dokumentere verdier, leveranser, tjenester, systemer og brukere i sine digitale informasjonssystemer. Dokumentasjonen skal holdes oppdatert.
Aktiviteten er grunnlaget for effektiv innføring av de øvrige kravene. Hensikten er å forstå virksomhetens leveranser og tjenester, få oversikt over hvilke teknologiske ressurser som bør sikres, og de roller og brukere virksomheten består av. I kravet til å identifisere og dokumentere inngår følgende grunnprinsipper:
- 1 kartlegg styringsstrukturer, leveranser og understøttende systemer
- 2 kartlegg enheter (inventar) og programvare
- 3 kartlegg brukere og behov for tilgang
NVE anbefaler i tillegg at normal nettverkstrafikk kartlegges.
Dokumentasjonen skal holdes oppdatert. Det innebærer at virksomheten må ha prosedyre og system som sørger for oppdatering og at endringer blir registrert.
Store virksomheter og virksomheter med klasse 2 og klasse 3 driftskontrollsystem bør iverksette samtlige grunnprinsipper og tilhørende tiltak. Alle virksomheter må iverksette kategori 1 og 2 tiltak – dette utgjør totalt 35 tiltak.
Risikovurdering
Virksomheten skal gjennomføre risikovurdering ved systemendringer. Risikovurderingen skal holdes oppdatert.
Risiko skal generelt vurderes for både konfidensialitet, integritet og tilgjengelighet. Risikovurderinger kan ha ulik oppløsning og innretting. Se § 2-3. Risikovurdering. NVE har utviklet en veileder for risikovurdering av IT og OT. Direktoratet for IKT og fellestjenester i høyere utdanning og forskning har også utviklet veiledere for risikovurdering av IKT-sikkerhet i administrative systemer og i skytjenester. De viser hvordan en risikovurdering av administrative systemer og skytjenester kan gjøres.
Større virksomheter og virksomheter med klassifiserte driftskontrollssystemer bør følge en anerkjent standard, veiledning eller norm for risikovurdering. NVE gir ikke føringer for hvilken metode, norm eller rammeverk som skal brukes. NVE viser til § 2-3 og understreker at risikovurderingens hensikt er å styre risiko slik at virksomheten velger de rette tiltakene og reduserer risikoen til et akseptabelt nivå.
Eksempel: Enkel risikovurdering av mindre endring i IT-systemet
Virksomhetens IKT-sikkerhetskoordinator skal gjøre en mindre endring i IT-systemet. En enkel risikovurdering kan ta utgangspunkt i en avgrenset del av IT-systemet eller en viktig tjeneste/applikasjon. Innenfor IKT-sikkerhet er det enkelt forklart tre uønskede hendelser som kan inntreffe:
- Systemet blir utilgjengelig
- Systemets funksjonalitet (programvare) blir endret og integriteten skades
- Informasjonslekkasje av kraftsensitiv informasjon
Hva er årsakene til at dette IT- systemet eller IT-tjenesten blir utilgjengelig?
Det kan være mange årsaker med ulik grad av sannsynlighet: Overbelastning av datatrafikk, infeksjon med kryptoskadevare, ordinær oppdatering av programvare som fører til at kommunikasjon med annen IT-tjeneste ikke fungerer, lisensen har gått ut, strømbrudd, brudd på kommunikasjonslinjer utenfor virksomheten, med flere.
Neste trinn er en skjønnsmessig vurdering av sannsynligheten for at årsakene kan inntreffe.
Videre må det vurderes hva man kan gjøre for å fjerne årsakene. Ulike barrierer som oppdatering av programvare, brannmur (nettverkstrafikkontroll), styring av tilgang og brukerrettigheter, og redundante systemer er barrierer som kan forebygge en rekke årsaker til nedetid. Det finnes flere barrierer.
Om ikke hendelsen kan unngås, hva er konsekvensene for virksomheten? Hvordan kan konsekvensen reduseres? Kan beredskapsplan og innsatsplaner bidra til å redusere konsekvensene? Kan forberedte tiltak som beskyttet og testet sikkerhetskopi redusere konsekvensene av hendelser? Eller er konsekvensen minimal i form av nedetid, rettearbeid og tidsbruk, og kan håndteres av IT-drift dersom den inntreffer?
Sikre og oppdage
Virksomheten skal sikre sine digitale informasjonssystem for å motstå eller begrense skaden fra uønskede hendelser. Krav til sikring henger sammen med informasjonsverdi, for eksempel kraftsensitiv informasjon (se kbf § 6-2), bedriftshemmeligheter, personopplysninger (se personopplysningsloven) eller gradert informasjon (se sikkerhetsloven). Annen informasjon vil være åpen informasjon.
I kravet til å sikre inngår følgende grunnprinsipper
- 2.1 ivareta sikkerhet i anskaffelses- og utviklingsprosesser
- 2.2 ivareta en sikker IKT-arkitektur
- 2.3 ivareta en sikker konfigurasjon (av maskin- og programvare)
- 2.4 beskytt virksomhetens datanettverk
- 2.5 kontroller dataflyt
- 2.6 ha kontroll på identiteter og tilganger
- 2.7 beskytt data i ro og i transitt
- 2.8 beskytt e-post og nettleser
- 2.9 etablere evne til gjenoppretting av data
- 2.10 integrer sikkerhet i prosess for endringshåndtering
For å oppfylle kravet om å sikre, må virksomheten i praksis som et minimum prioritere følgende tiltak:
- blokkere kjøring av ikke-autoriserte programmer
- oppgradere program- og maskinvare
- installere sikkerhetsoppdateringer fortløpende
- begrense tildelingen av administratorrettigheter og logge endringer
Virksomheter skal overvåke sine digitale informasjonssystemer slik at uønskede hendelser oppdages og registreres.
I kravet til å oppdage inngår følgende grunnprinsipper:
- 3.1 oppdag og fjern kjente sårbarheter og trusler
- 3.2 etabler sikkerhetsovervåkning
- 3.3 analyser data fra sikkerhetsovervåkning
- 3.4 gjennomfør inntrengningstester
Virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til den beredskapsmyndigheten bestemmer.
Virksomheten skal varsle uønskede hendelser som for eksempel datainnbrudd, nektelsesangrep, oppdagelse av skadevare eller sabotasjeforsøk til det sektorvise responsmiljøet. KraftCERT skal motta alle varsler på uønskede IKT-hendelser. Når virksomhetene er flinke til å varsle til KraftCERT, er det lettere å lage et situasjonsbilde over trusselsituasjonen i bransjen. Et oppdatert situasjonsbilde er nyttig for å treffe med sikringstiltak og beredskap. I tillegg skal ekstraordinære situasjoner varsles til beredskapsmyndigheten (NVE) uten ugrunnet opphold, se § 2-5 og uønskede hendelser skal rapporteres til NVE, se § 2-6.
Eksempel; Varsling av datainnbrudd
Nett AS sine IT-systemer blir, som andre virksomheters IT-systemer, stadig utsatt for portscanning og inntrengingsforsøk. IKT-sikkerhetskoordinatoren har egentlig altfor mye å gjøre, slik at en sårbarhet som har vært varslet av KraftCERT for flere uker siden, har dessverre ikke blitt lukket. Som en del av en angrepskampanje mot selskap i energisektoren, ble derfor også Nett AS utsatt for datainnbrudd i sitt administrative IT-system.
IKT-sikkerhetskoordinatoren varslet KraftCERT om denne hendelsen. KraftCERT rådet ham å ta kontakt med tekniske spesialister som kunne bistå. IKT-sikkerhetskoordinatoren varslet også NVE ettersom kbf § 2-5 stiller krav om varsling ved innbrudd. Innbrudd skjer ikke bare i bygg, men også i datasystem.
Håndtere og gjenopprette
Virksomheten skal håndtere uønskede hendelser i sine digitale informasjonssystemer og gjenopprette normaltilstand uten ugrunnet opphold.
Virksomheten må ha system, prosedyre og plan for å håndtere sikkerhetsbrudd og gjenopprette systemer og data når systemene feiler. Til hendelseshåndtering hører også vurdering av skadeomfang, begrense skadeomfanget, sikre bevis, skaffe bistand og eksperthjelp, og varsle og rapportere som forskriften krever. Tiltak og aktiviteter bør dokumenteres underveis, mens evaluering, læring og forbedring er del av oppfølgingen i etterkant av hendelsen. Følgende grunnprinsipper inngår:
- 4.1 forbered virksomheten på håndtering av hendelser
- 4.2 vurder og klassifiser hendelser
- 4.3 kontroller og håndter hendelser
- 4.4 evaluer og lær av hendelser
For anskaffelse av tjenesteleverandør til hendelseshåndtering og etterforskning i systemene henviser NVE til NSMs kvalitetsordning for leverandører.
Eksempel: Rapportering av hendelse til NVE
Etter flere uker med etterforskning og gjenopprettingsarbeid er Nett AS sine administrative systemer igjen i full drift. Nett AS har i denne perioden samarbeidet med KraftCERT, ulike leverandører og spesialister. Utgiftene til konsulentbistand og gjenoppretting har vært store, og nå har Nett AS rimelig god oversikt over hendelsesforløpet. Nett AS sender inn en rapport om hendelsen til NVE.
Tjenesteutsetting
Virksomheten skal sørge for at sikkerhetsnivået opprettholdes eller forbedres ved utsetting av tjenester.
Virksomheten må ha tilstrekkelig kompetanse om anskaffelse og IKT-sikkerhet. Kompetente rådgivere må hentes inn eksternt dersom virksomheten selv mangler tilstrekkelig kompetanse. Sikkerhet må tas hensyn til tidlig i prosessen mens virksomhetene enda har forhandlingsrom og påvirkningsmulighet.
Virksomheten må dokumentere det eksisterende systemet og sikkerhetsnivået, før virksomheten går i gang med tjenesteutsetting. Dokumentasjonen må være så detaljert at det er mulig å kontrollere endringer i sikkerhetsnivå, system og kompetanse før og etter utsetting.
Virksomheter må velge løsninger som tilbyr minst like god IKT-sikkerhet som eksisterende løsning. I tillegg må løsningen tilfredsstille de andre kravene som forskriften stiller, herunder krav til dokumentasjon, risikovurdering og jevnlig revisjon.
IT-industrien er global og benytter underleverandører spredt over hele verden. Virksomheter som planlegger tjenesteutsetting, har derfor behov for å vurdere landrisiko for å sørge for at sikkerhetsnivået opprettholdes. Garantikassen for eksportkreditt (GIEK) har en nettside med samlet vurdering av landrisiko for alle land i verden, og NSM har utarbeidet en veileder for landrisikovurdering. For tjenesteutsetting av IKT-systemer som behandler kraftsensitiv informasjon (se. § 6-2), gjelder særlige hensyn for å sikre at taushetsplikten ivaretas. Se også NVEs sjekkliste for IKT-sikkerhet og NSMs veileder for tjenesteutsetting. Aktuelle leverandører bør være sertifisert i henhold til én eller flere internasjonalt anerkjente sikkerhetsstandarder. Eksempler på slike er NIST Cyber Security Framework og ISO/IEC 27000-serien. I slike tilfeller bør virksomheten be om å få se tredjeparts revisjonsrapport eller sertifiseringsbevis.
Følgende arbeidsoppgaver inngår ved tjenesteutsetting av IKT-drift:
- dokumentere eksisterende system (se. §6-9 a) og organisasjonens IKT-sikkerhetskompetanse
- gjennomføre behovsanalyse
- vurdere forretningsmodeller for IKT-drift og spesifisere krav til leveranse og leverandør
- prekvalifisere leverandører, utlyse anbudskonkurranse og gjennomføre eventuelle forhandlingsmøter
- velge kvalifisert leverandør, gjennomføre kontraktsforhandlinger og inngå kontrakt med kvalifisert(e) leverandør(er)
- innføre og forvalte ny løsning, og bygge opp nødvendig kompetanse
- dokumentere nytt system/tjenestemodell, se. § 6-9 a og ivareta behov for tilgang til IKT-sikkerhetskompetanse
- overføre kunnskap fra tidligere leverandør til ny leverandør, avslutte eksisterende løsning(er) og sørge for at kraftsensitiv informasjon er slettet hos tidligere leverandør
Eksempel: Tjenesteutsetting
Ledelsen vurderer å tjenesteutsette drift av all administrativ IT. IKT-sikkerhetskoordinatoren ser at forskriften stiller krav til at sikkerhetsnivået må opprettholdes eller forbedres. IKT-sikkerhetskoordinatoren må kunne dokumentere at sikkerheten er minst like god etter tjenesteutsettingen. Det betyr å ha god oversikt og dokumentasjon av aktuelle systemer, samt risiko og hendelsesstatistikk. Dette kan så sammenholdes med ny løsning når denne har vært i drift en stund. IKT-sikkerhetskoordinatoren benytter «NVEs sjekkliste for IKT-sikkerhet i anskaffelser og tjenesteutsetting i kraftbransjen» som veiledning.
Ikke undervurder behovet for egen intern kompetanse ved tjenesteutsetting
Virksomheten må ta høyde for å ha kompetanse og kapasitet til å utvikle gode kravspesifikasjoner, følge opp leverandører i drift og ved overgang til nye driftsleverandører.
Sikkerhetsrevisjon
Virksomheter skal jevnlig gjennomføre revisjoner av iverksatte sikringstiltak for digitale informasjonssystemer. Revisjoner skal påse at tiltakene faktisk er etablert og fungerer etter sin hensikt. Hver revisjon kan ta for seg deler av sikringstiltakene.
Revisjon av iverksatte sikringstiltak for digitale informasjonssystemer skal være en gjentakende aktivitet. Som minimum må revisjonen kontrollere organisering av sikkerhetsarbeidet, inkludert plassering av ansvar, og tiltak for å beskytte kraftsensitiv informasjon mot uautorisert tilgang. Revisjon av systemer som er driftet av ekstern leverandør, kan omfatte kontroll av tredjepartsrevisjonsrapport og -sertifiseringer. Resultatene og konklusjonene fra sikkerhetsrevisjonene må dokumenteres. Avvik og feil må håndteres i henhold til virksomhetens internkontrollsystem, kbf § 2-10. NVE krever ikke at alle leverandører skal revideres årlig, men virksomheten må gjøre et valg av leverandører basert på risiko og vesentlighet. Revisjonsrapporter må være et tema i virksomhetens ledermøter eller andre relevante fora i virksomheten.
Referanser
Veiledere
NVE Veileder 2/2024: Veiledning for risikovurdering av IT og OT
Nye råd skal gi tryggere datasentertjenester - Nasjonal sikkerhetsmyndighet
NIST Guide for Conducting Risk Assessment
Risikostyring av IKT-sikkerhet i leverandørkjeder
NSM Grunnprinsipper i sikkerhetsstyring
Digdir Helhetlig styring og kontroll av informasjonssikkerhet
NSM grunnprinsipper for IKT-sikkerhet 2.1
Kvalitetsordning for leverandører som håndterer IKT-hendelser, NSM
Landvurdering ved tjenesteutsetting av IKT-tjenester - Nasjonal sikkerhetsmyndighet (nsm.no)
Garantikassen for eksportkreditt – landrisikovurdering
Sikkerhetsfaglige anbefalinger ved tjenesteutsetting, NSM (/2020)
Sjekkliste for IKT-sikkerhet i anskaffelser og tjenesteutsetting i norsk kraftforsyning (norsk)
Sjekkliste for IKT-sikkerhet i anskaffelser og tjenesteutsetting i norsk kraftforsyning (engelsk)
Metode for å finne kraftsensitiv informasjon på internett
Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon
Digdir_Veileder for testing av etterlevelse av sikkerhetsstandarder
Tiltak mot skadevare og løsepengevirus, NSM
CIS Benchmarks - konfigurasjonsråd for mange produkter
Sikkerhetsveileder for kraftsensitiv informasjon i skytjenester, FSK (november 2021).
NVE Veileder 2/2024: Veiledning for risikovurdering av IT og OT
Risikovurdering av IKT-systemer.pdf (nsm.no)
#StopRansomware Guide (cisa.gov)
Standarder
- ISO/IEC 27001
- ISO/IEC 27002
- NIST Cyber Security Framework (CSF) 2.0