§ 7.7 Håndtering av feil, sårbarheter og sikkerhetsbrudd
Virksomheter skal håndtere feil, sårbarheter i programvare, sikkerhetsbrudd og andre hendelser som kan utgjøre en risiko for driftskontrollsystemet.
Virksomheter skal ha tilgang til tilstrekkelig personell med nødvendig kompetanse som uten unødig opphold kan håndtere forhold angitt i første ledd.
Virksomheter skal registrere alle sikkerhetsbrudd og -hendelser.
Forhold som kan utgjøre en umiddelbar risiko for driftskontrollsystemets funksjon, skal varsles og rapporteres til beredskapsmyndigheten, jf. § 2-5 og § 2-6.
Hvordan oppfylle kravet
Virksomheten må kunne rette feil, oppdatere programvare, håndtere sikkerhetsbrudd og andre uønskede hendelser slik at virksomheten evner å opprettholde funksjonaliteten til driftskontrollsystemet. For å ha oversikt over sårbarheter, anbefaler NVE virksomhetene å følge med på sårbarhetsvarsler og sikkerhetsråd utsendt fra KraftCERT og fra virksomhetens leverandører.
KraftCERT samler informasjon om aktuelle sårbarheter og trusler fra en rekke kilder og videreformidler informasjon og kritiske sårbarheter til virksomheter i kraftbransjen. Virksomheten bør sørge for at IKT-sikkerhetskoordinator eller en annen ansatt abonnerer og følger med på råd fra KraftCERT.
Virksomheten må ha system, programvare og utstyr på plass som bistår med teknisk overvåkning av datanettverk og komponenter, oppdagelse av og varsling av feil og uønskede hendelser. Virksomheten må også ha prosedyre for hendelseshåndtering og feilretting der ansvar og aksjonspunkter framgår. Interne prosedyrer må samkjøres med ekstern leverandørs prosedyrer i supportsituasjoner der det er aktuelt. Merk at avtale om support i helligdager og utenom arbeidstid må inngå i avtalen med leverandøren.
NVE anbefaler at virksomhetene har tilgang til et sikkerhetsoperasjonssenter (SoC), enten eget eller som kjøpt tjeneste. SoC kan overvåke varsler og feilsituasjoner, samt bidra med hendelseshåndtering. KraftCERT kan gi råd i forbindelse med anskaffelse av slik tjeneste. NSM har en godkjenningsordning for leverandører av sikkerhetstjenester.
Virksomheten må ha tilgang til eget personell med relevant kompetanse eller ha tilgang til kompetent personell gjennom innleie eller avtale med leverandør. Det kreves ulik kompetanse for å kunne håndtere feil i nett og anlegg kontra det å håndtere IKT-sikkerhetsbrudd. NVE anbefaler virksomhetene å bygge egen tverrfaglig kompetanse på elkraft, operasjonell teknologi (OT) og IKT-sikkerhet. Virksomheten må uansett ha tilstrekkelig kompetanse til å kunne utforme kravspesifikasjon og følge opp leverandør hvis oppgavene settes ut.
Informasjon om egne sikkerhetsbrudd, herunder logger, må registreres og lagres trygt, beskyttet og med minimal risiko for uautorisert endring, jf. kapittel 6. I noen tilfeller vil sikkerhetsbrudd- og hendelser bli automatisk registrert i flere forskjellige systemer. Hvis ikke informasjon samles i et felles system, må virksomheten ha et dokument som beskriver hvor logginformasjon finnes. Dersom virksomheten opplever sikkerhetsbrudd eller blir utsatt for en kriminell handling, kan tidsseriedata være viktige for etterforskningen. Logger bør lagres minimum to år av hensyn til mulig etterforskning.
Virksomheten skal varsle NVE dersom det skjer hendelser i driftskontrollsystemet som kan utgjøre en fare for dets funksjon. Det skal foreligge en rutine for slik varsling. Det kan for eksempel være systemfeil som fører til tap av overvåking og kontroll, ikke godkjent tilgang til eller endring av systemet som følge av datainnbrudd. Varsel skal sendes uten ugrunnet opphold jf. § 2-5. Rapport skal sendes etter at hendelsen er håndtert, jf. § 2-6.
I tillegg følger det av § 6-9 c at virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til den beredskapsmyndigheten bestemmer. NVE peker på KraftCERT. KBO-enhetene må varsle KraftCERT om alle uønskede IKT-hendelser. Dette er en praktisk ordning for KBO og NVE. Deling av opplysninger om hendelser og suspekt aktivitet med KraftCERT vil være til nytte for etablering av et mer detaljert og relevant situasjonsbilde i kraftforsyningen. Gjennom høy delaktighet og lav terskel for å dele, vil den kollektive situasjonsforståelsen og evnen til læring og beskyttelse blir bedre. § 2-5 og § 2-6 gir bestemmelser om hendelser som skal varsles og rapporteres til NVE. Merk at kraftsensitiv informasjon må beskyttes som angitt i kapittel 6.
Standarder
- NEK EN ISO/IEC 27019 - Tiltak for informasjonssikring for virksomheter i kraftforsyningen
- 16.1.1 Incident management – Responsibilities and procedures
- 16.1.2 Reporting information security events
- 16.1.3 Reporting information security weaknesses
- 16.1.4 Assessment of and decisions on information security events
- 16.1.5 Response to information security incidents
- 16.1.6 Learning from information security incidents
- 16.1.7 Collection of evidence
- 12.2.1 Controls against malware
- 12.4.1 Event logging
- 12.6.1 Management of technical vulnerabilities
- IEC 62443-2-1 – Establishing an industrial automation and control system security program
- 4.3.2.6 Security policies and procedures
- 4.3.4.3 System development and maintainence
- 4.3.4.5 Incident planning and response
- IEC 62443-2-3 – Patch management for the IACS environment
- NIST 800-82 rev2 - Guide to Industrial Control Systems (ICS) Security
- 6.2.6 Contingency planning
- 6.2.8 Incident response
- NERC CIP-008-5 Incident reporting and response planning
- R1, R2, R3 Cyber security incident response plan
- NERC CIP-009-6 Recovery Plans for BES Cyber systems
- R1, R2, R3 Recovery plan
Veiledere
NSM sine grunnprinsipper for IKT-sikkerhet:
- 3.2 Etabler sikkerhetsovervåkning
- 4 Håndtere og gjenopprette
- Logging og logganalyse i energiforsyningen. Studentrapport. NVE-rapport 1:2017
- Metodikk for informasjonsinnhenting etter IKT-sikkerhetshendelser i driftskontrollsystem. Rapport utarbeidet av BDO AS for Norges vassdrags og energidirektorat, NVE-rapport 14:2017