Veiledning til kraftberedskapsforskriften

Del denne sidenDel på e-post

§ 7.4 Kontroll med brukertilgang

Virksomheter skal kontrollere at kun rettmessige brukere har tilgang til driftskontrollsystemet.

Virksomheter skal kontrollere at kun rettmessige brukere har tilgang til driftskontrollsystemet. For dette skal det være kontrollordninger for tildeling, endring og sletting av brukertilgang.

Virksomheter skal kontrollere hvilken bruker som er eller har vært pålogget driftskontrollsystemet, også når ekstern tilkobling brukes.

Kontrollordningene skal gjennomgås minimum årlig for å sikre at alle tilgangsrettigheter er korrekte og på riktig nivå

Ordforklaring

Rettmessig bruker

 

Person eller applikasjon som er godkjent av virksomheten for tilgang 

 

Tilgangsrettighet

 

En brukers rett til å skrive, endre og lese data 

 

Tilgang

 

Logisk og fysisk tilgang 

 

Kontrollordning

 

Fremgangsmåte eller tiltak for å sørge for kontroll 

 

 

Hvordan oppfylle kravet

Virksomheten må ha en prosedyre for å godkjenne og slette brukere (klarere brukere og autorisere tilgang og rettigheter). Virksomheten må til enhver tid ha oversikt over hvem som har tilgang til driftskontrollsystemet og hvilke handlinger de har lov til å utføre. Virksomheten må også ha en oversikt over - og kunne registrere og kontrollere - hvilke brukere som har vært pålogget eller aktive i driftskontrollsystemet til et hvilket som helst tidspunkt.

Virksomheten må sørge for at brukere ikke har flere rettigheter i domenet til driftskontrollsystemet enn nødvendig. Et minimum av brukere skal ha administratorrettigheter. Å benytte en sentralt styrt brukeradministreringsløsning med rettighetshåndtering, for eksempel Active Directory, vil lette kontrollen med brukerrettigheter i domenet til driftskontrollsystemet. Det anbefales å benytte rollebasert aksesskontroll.

Eksterne leverandører får ikke lov til å på egenhånd, og uten kontroll fra virksomheten, administrere beskyttelsestiltakene for driftskontrollsystemet. De skal for eksempel ikke oppdatere regelsett for brannmurer eller konfigurere nettverkssvitsjer uten virksomhetens godkjenning og overvåkning. Sesjoner og endringer skal logges og kunne revideres.

Minst en gang i året skal de forskjellige prosedyrene og kontrollordningene for tilgangsrettigheter gjennomgås. Målsettingen er å sikre at tilgangsrettighetene fortsatt er riktige og prosedyrene relevante. I gjennomgangen skal man også kontrollere at eventuelle endringer og/eller slettinger av tilgang har blitt gjennomført. Merk at tilgangskontroll også inkluderer sikker oppkobling mot driftskontrollsystemet og passordpolitikk. Virksomheten skal også ha kontroll med fysisk tilgang til driftskontrollsystemet, jf. den brede definisjonen av driftskontrollsystemet i § 7-1, og kunne revidere hvem som har hatt tilgang.

NSMs anbefaling for virksomheter

 

  • Innfør to-faktor autentisering 
  • Unngå at passord lagres i klartekst 
  • Innfør rutiner for å kontrollere nye passord mot mye brukte og kompromitterte passord 
  • Innfør rutiner for å bytte standardpassord på nytt utstyr 
  • Gi brukere som trenger administratorrettigheter to kontoer 

Det finnes også tjenester som https://haveibeenpwned.com/ der domeneeiere og IT-administratorer kan få varsler dersom en epost-adresse i domenet dukker opp i en lekkasje.

Eksempel: Tilgang til driftskontrollsystemet

Nett AS blir revidert av NVE. Revisorene stiller spørsmål om tilgangskontrollen til driftskontrollsystemet. IKT-sikkerhetskoordinatoren forklarer at ansatte på driftssentralen har gruppetilgang med felles påloggingsinformasjon. NVEs revisor påpeker at dette ikke er godt nok, det skal være personlige brukere. Om dette ikke er mulig, skal brukeres tilgang og tilstedeværelse registreres i et annet system eller manuelt. Hvem som har hatt tilgang skal være mulig å spore. NVE anbefaler separat Active Directory for driftskontrollsystemet og rollebasert aksesskontroll, og å følge NSMs passordråd.  

Standarder

§ 7-4 inneholder deler av mange standarder som et tiltak eller en kontroll:

  • NEK EN ISO/IEC 27019 - Tiltak for informasjonssikring for virksomheter i kraftforsyning 
  • 9.1.1 Access control policy 
  • 9.1.2 Access to networks and network services 
  • 9.2.1 User registration and de-registration 
  • 9.2.2 User access provisioning 
  • 9.2.3 Management of privileged access rights 
  • 9.2.4 Management of secret authentication information of users 
  • 9.2.5 Review of user access rights 
  • 9.2.6 Removal or adjustment of access rights 
  • 9.3.1 Use of secret authentication information 
  • 9.4.1 Information access restriction 
  • 9.4.2 Secure log-on procedures 
  • 9.4.3 Password management systems 
  • 9.4.4 Use of privileged utility programs 
  • 9.4.5 Access control to program source code 
  • IEC 62443-2-1 – Establishing an industrial automation and control system security program 
  • 4.3.2.6 Security policies and procedures 
  • 4.3.3.5 Access control – Account administration 
  • 4.3.3.6 Access control – Authentication 
  • 4.3.3.7 Access control – Authorization 
  • IEC 62351-8:2020 Power systems management and associated information exchange - Data and communications security - Part 8: Role-based access control for power system management 
  • NIST 800-82 rev2 - Guide to Industrial Control Systems (ICS) Security 
  • 6.2.1 Access control 
  • NERC CIP-004-6 Personnel and training 
  • R4 Access Control  
  • NERC CIP-007-6 System Security Management 
  • R5 System Access Control 

Veiledere  

NSM Grunnprinsipper for IKT-sikkerhet: 

  • 1.3 Kartlegg brukere og behov for tilgang 
  • 2.6 Ha kontroll på identiteter og tilganger 
     

NSM Råd og anbefalinger om passord 

Krysskoplinger