§ 7.7 Håndtering av feil, sårbarheter og sikkerhetsbrudd

Virksomheten må kunne rette feil, oppdatere programvare, håndtere sikkerhetsbrudd og andre uønskede hendelser slik at virksomheten evner å opprettholde funksjonaliteten til driftskontrollsystemet. For å ha oversikt over sårbarheter, anbefaler NVE virksomhetene å følge med på sårbarhetsvarsler og sikkerhetsråd utsendt fra KraftCERT og fra virksomhetens leverandører.

Virksomheten må ha system, programvare og utstyr på plass som bistår med teknisk overvåkning av datanettverk og komponenter, oppdagelse av og varsling av feil og uønskede hendelser. Virksomheten må også ha prosedyre for hendelseshåndtering og feilretting der ansvar og aksjonspunkter framgår. Interne prosedyrer må samkjøres med ekstern leverandørs prosedyrer i supportsituasjoner der det er aktuelt. Merk at avtale om support i helligdager og utenom arbeidstid må inngå i avtalen med leverandøren.

NVE anbefaler at virksomhetene har tilgang til et sikkerhetsoperasjonssenter (SoC), enten eget eller som kjøpt tjeneste. SoC kan overvåke varsler og feilsituasjoner, samt bidra med hendelseshåndtering. KraftCERT kan gi råd i forbindelse med anskaffelse av slik tjeneste. NSM har en godkjenningsordning for leverandører av sikkerhetstjenester.

Virksomheten må ha tilgang til eget personell med relevant kompetanse eller ha tilgang til kompetent personell gjennom innleie eller avtale med leverandør. Det kreves ulik kompetanse for å kunne håndtere feil i nett og anlegg kontra det å håndtere IKT-sikkerhetsbrudd. NVE anbefaler virksomhetene å bygge egen tverrfaglig kompetanse på elkraft, operasjonell teknologi (OT) og IKT-sikkerhet. Virksomheten må uansett ha tilstrekkelig kompetanse til å kunne utforme kravspesifikasjon og følge opp leverandør hvis oppgavene settes ut.

Informasjon om egne sikkerhetsbrudd, herunder logger, må registreres og lagres trygt, beskyttet og med minimal risiko for uautorisert endring, jf. kapittel 6. I noen tilfeller vil sikkerhetsbrudd- og hendelser bli automatisk registrert i flere forskjellige systemer. Hvis ikke informasjon samles i et felles system, må virksomheten ha et dokument som beskriver hvor logginformasjon finnes. Dersom virksomheten opplever sikkerhetsbrudd eller blir utsatt for en kriminell handling, kan tidsseriedata være viktige for etterforskningen. Logger bør lagres minimum to år av hensyn til mulig etterforskning.

Virksomheten skal varsle NVE dersom det skjer hendelser i driftskontrollsystemet som kan utgjøre en fare for dets funksjon. Det skal foreligge en rutine for slik varsling. Det kan for eksempel være systemfeil som fører til tap av overvåking og kontroll, ikke godkjent tilgang til eller endring av systemet som følge av datainnbrudd. Varsel skal sendes uten ugrunnet opphold jf. § 2-5. Rapport skal sendes etter at hendelsen er håndtert, jf. § 2-6.

I tillegg følger det av § 6-9 c at virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til den beredskapsmyndigheten bestemmer.  NVE peker på KraftCERT. KBO-enhetene må varsle KraftCERT om alle uønskede IKT-hendelser. Dette er en praktisk ordning for KBO og NVE. Deling av opplysninger om hendelser og suspekt aktivitet med KraftCERT vil være til nytte for etablering av et mer detaljert og relevant situasjonsbilde i kraftforsyningen. Gjennom høy delaktighet og lav terskel for å dele, vil den kollektive situasjonsforståelsen og evnen til læring og beskyttelse blir bedre. § 2-5 og § 2-6 gir bestemmelser om hendelser som skal varsles og rapporteres til NVE. Merk at kraftsensitiv informasjon må beskyttes som angitt i kapittel 6.

Standarder

• NEK EN  ISO/IEC 27019 - Tiltak for informasjonssikring for virksomheter i kraftforsyningen 

• 16.1.1 Incident management – Responsibilities and procedures 
• 16.1.2 Reporting information security events 
• 16.1.3 Reporting information security weaknesses 
• 16.1.4 Assessment of and decisions on information security events 
• 16.1.5 Response to information security incidents 
• 16.1.6 Learning from information security incidents 
• 16.1.7 Collection of evidence 
• 12.2.1 Controls against malware 
• 12.4.1 Event logging 
• 12.6.1 Management of technical vulnerabilities 

• IEC 62443-2-1 – Establishing an industrial automation and control system security program 

• 4.3.2.6 Security policies and procedures 
• 4.3.4.3 System development and maintainence 
• 4.3.4.5 Incident planning and response 

• IEC 62443-2-3 – Patch management for the IACS environment 
• NIST 800-82 rev2 - Guide to Industrial Control Systems (ICS) Security 

• 6.2.6 Contingency planning 
• 6.2.8 Incident response 

• NERC CIP-008-5 Incident reporting and response planning 

• R1, R2, R3 Cyber security incident response plan 

• NERC CIP-009-6 Recovery Plans for BES Cyber systems 

• R1, R2, R3 Recovery plan 

Veiledere  

NSM sine grunnprinsipper for IKT-sikkerhet:

• 3.2 Etabler sikkerhetsovervåkning 
• 4 Håndtere og gjenopprette 
• Logging og logganalyse i energiforsyningen. Studentrapport. NVE-rapport 1:2017  
• Metodikk for informasjonsinnhenting etter IKT-sikkerhetshendelser i driftskontrollsystem. Rapport utarbeidet av BDO AS for Norges vassdrags og energidirektorat, NVE-rapport 14:2017  

Krysskoplinger 

• § 2.4 Beredskapsplanlegging 
• § 2.5 Varsling
• § 2.6 Rapportering 
• § 4.1 Reparasjonsberedskap 
• § 4.2 Kompetanse og personell
• § 4.4 Materiell og utstyr 
• § 6.9 Digitale informasjonssystemer 
• § 7.14 c) Overvåkning og logging – for klasse 2 og 3 driftskontrollsystem