Kraftberedskapsforskriften: § 7.1 Generell plikt til å beskytte driftskontrollsystemet

Virksomheter med driftskontrollsystem skal sørge for at disse til enhver tid virker etter sin hensikt og skal beskytte driftskontrollsystemet mot alle typer uønskede hendelser.

Driftskontrollsystemer omfatter driftssentraler, utstyr, nettverk, datarom, sambandsanlegg og øvrige anlegg og rom, systemer og komponenter som ivaretar driftskontrollfunksjoner. Med anlegg forstås også tilhørende bygningstekniske konstruksjoner for driftskontrollfunksjoner.

Driftskontrollfunksjoner er alle organisatoriske, administrative og tekniske tiltak for å overvåke, styre og beskytte anlegg i kraftforsyningen.

Det tillates ikke at eksterne leverandører som ikke er KBO-enhet, utfører driftskontrollfunksjoner i nettanlegg eller produksjonsanlegg.

Ordforklaring

Driftssentral	Rom i bygning med driftskontrollsystem som ivaretar driftskontrollfunksjoner og består av skjerm, tastatur, server, datanettverk, UPC og annen nødstrøm, samt klimaanlegg. I tillegg inngår servere, rutere, UPC og annen nødstrøm, samt klimaanlegg i tilhørende datarom og sambandsrom.
Utstyr	Tekniske komponenter og instrumenter, herunder for eksempel dataskjermer, servere, tastatur, PLC, vern, brytere, svitsjer, rutere, sensorer mm og hjelpemateriell.
Komponent	Del av et system, instrumentdel
Samband	Se § 4-7

Bestemmelsen

Bestemmelsen pålegger en generell plikt til å sikre driftskontrollsystemet. Bestemmelsen krever at driftskontrollsystemet skal virke og respondere som forventet på måleverdier og meldinger fra anlegg som overvåkes og på kommandoer gitt av operatører på driftssentralen eller lokalkontrollanlegget. Det er kun godkjente brukere som skal starte, endre eller stoppe kommandoer i systemet. Det er virksomheten som godkjenner brukere. Virksomheten skal beskytte driftskontrollsystemet mot alle typer uønskede hendelser, se § 2-3 som setter krav til risikovurdering. Hendelser som inngår i risikovurderingen, bør samsvare med hendelsene som legges til grunn for beskyttelsen av driftskontrollsystemet.

Sikkerhetsstyring og tilhørende dokumentasjon skal inngå som en del av virksomhetens internkontrollsystem (se § 2-10).

Det er kun KBO-enheter som får lov til å overvåke og styre nett- og produksjonsanlegg som er underlagt denne forskriften. Driftssentralsamarbeid mellom ulike KBO enheter er tillatt. Andre enn KBO-enheter kan ikke overvåke nettet med bryterinnstillinger og utføre kobling. Det er tillatt at et vaktselskap overvåker og beskytter et kraftforsyningsanlegg ved å ha vakter på stedet. Tilsvarende er det tillatt å benytte programvare for å overvåke og beskytte driftskontrollsystemet mot digitale trusler.

NVE skiller mellom fysisk og logisk sikring. Den fysiske sikringen av driftskontrollsystemet skal være tilpasset det stedet anlegget eller bygningen befinner seg, og skaden som kan skje dersom noen utfører for eksempel hærverk eller sabotasje på stedet. Den logiske sikringen skal være iht. den av de tilkoblede anleggene med høyest klassifisering. Anleggene skal beskyttes for påvirkning fra punkter på sambandsveien, samt skal beskyttes for påvirkning fra andre lokasjoner. Alle selskap må foreta en risikovurdering av sambandsstrukturen slik at driftskontrollsystemet ikke skal kunne påvirkes fra anlegg av lavere klassifisering, se også § 2-3 som setter krav til risikovurdering.

Fysisk sikring

Sambandsanlegg og lokalkontrollanlegg går som regel gjennom skap via rekkeklemmer til avgrening og fordeling, til forsterkere, antenner og annet. Slike skap er det ikke mulig å sikre etter driftskontrollsystemets klasse, og blir derfor sårbare angrepspunkt. I en klassifisert stasjon står skapene innenfor et gjerde eller inne i en bygning og er sikret med områdesikringen, skallsikringen eller sonesikringen. Utenfor klassifiserte anlegg har slike skap ingen sikring utover styrke og lås. Ved valg av skap, må vurderingen som er gjort angående skapets styrke, kvalitet på hengsler og lås, korrosjonsbeskyttelse og beskyttelse mot vann og fukt kunne dokumenteres.

Når signaler og målinger går i et redundant system, er ikke ødeleggelse av komponentene i et skap tilstrekkelig til å forhindre funksjonene i systemet. Uten redundans er ikke dette tilfelle. For sambandsanlegg viser vi til kravene i vedlegg 1, 2 og 3 til kapittel 5, punkt 1.2.2, 2.4.2 og 3.4.2.

Logisk sikring

Det skal alltid være ende-til-ende-kryptering i samband fra sentral til stasjoner, og mellom stasjoner, dersom kommunikasjon går over uklassifiserte eller lavere klassifiserte komponenter/linjer. Ende-til-ende-kryptering kan realiseres ved å sette ut utstyr foran driftsutstyret på stasjon/sentral eller ved direkte ende-til-ende-kryptering mellom SCADA og RTU. I tillegg må det iverksettes beskyttelsesmekanismer, som brannmur, portautentisering, osv. på driftssentral/stasjoner for å beskytte mot påvirkning fra en mulig kompromittert lokasjon. På denne måten vil en angriper ikke kunne få innsyn eller tilgang til andre komponenter dersom sambandet blir kompromittert, og vil ikke kunne bevege seg videre fra en stasjon som er kompromittert. Dette betyr at det verste som kan skje om noen tar seg inn til utstyret er at forbindelsen blir brutt. Dette vil man være beskyttet mot med redundante sambandsveier.

Denne type sikring skal gjelde uansett transmisjonsmedier, også om dette går via f.eks. mobilnett.

Standarder

ISO/IEC 27019 Information technology — Security techniques — Information security controls for the energy utility industry

NEK 820: Cybersikkerhet for industrielle automatiserings- og kontrollsystemer er en samling av hele NEK EN IEC 62443-serien og gir en strukturert tilnærming for å utlede sikkerhetskrav for industriell automatisering og kontrollsystemer (IACS).

IEC 62443 Industrial Automation and Control Systems Security

NEK 850 A og B: Cybersikkerhet for kommunikasjonsprotokoller i elkraftsystemet er en samling av hele NEK EN IEC 62351-serien.

NERC-CIP (North American Electric Reliability Corporation critical infrastructure protection)

NIST 800-82 Guide to Industrial Control Systems (ICS) Security