Sporbarhet av endringer av programvare og konfigurasjon av dataprogram

Kontroll med endringer i AMS-løsningen er avgjørende for å ivareta krav om robust sikkerhets­funksjonalitet og at AMS-løsningen fungerer etter sin hensikt også etter endringer.

Nettselskapet har dokumentert en prosedyre for IT-avdelingen som angir at alle planlagte endringer i AMS-løsningen registreres i et eget konfigurasjonsstyringsverktøy, og at både planlagte og ikke-planlagte endringer registreres her når de er utført. Prosedyren angir at IT-leder er ansvarlig for å overvåke når leverandør publiserer endringer i AMS-systemets programvare eller firmware, og sørge for at endringer blir risikovurdert og planlagt utført i konfigurasjonsstyringsverktøyet.

Nettselskapet har et sentralsystem som krever innlogging med personlig brukernavn og tofaktor autentisering. Sentralsystemet logger automatisk alle endringer i konfigurasjon og programvare­oppdateringer med brukernavn og tidspunkt, og i tillegg registreres endringene manuelt i konfigurasjonsstyringssystemet. Større endringer som medfører utskifting av hele sentralsystemet logges manuelt i konfigurasjonsstyringsverktøyet. Sentralsystemet vil også logge konfigurasjons­endringer og installasjon av oppdatert firmware på AMS-målere (måler-ID, brukernavn, tidspunkt, og endring).

Fullstendig og oppdatert dokumentasjon er viktig for å vurdere risiko, planlegge sikkerhetstiltak, plan­legging av nye funksjoner, samt vedlikehold. Ved feil eller større hendelser hvor man må gjenoppbygge deler av systemet, vil dokumentasjonen være helt avgjørende i forhold til hvor lang tid gjenoppretting vil ta.

Oppdatert systembeskrivelse er også viktig for hvordan man vurderer for eksempel tilgang på reserve­materiell, mulige reserveløsninger og andre beredskapstiltak. Det er derfor viktig at dokumentasjonen også utformes med tanke på slik bruk.

Nettselskapet har implementert et konfigurasjonsstyringsverktøy som inneholder dokumentasjon av alle komponentene i AMS-systemet, samt kopi av alle konfigurasjonsfiler.

Systemkomponenter som har gjennomgått uventede eller uautoriserte endringer har trolig blitt kompro­mittert eller korrupte. Slike hendelser må oppdages, rapporteres, vurderes og eventuelt korrigeres av kompetent personell.

Man må påse at bruken av automatiske verktøy for integritetskontroll ikke har negativ innvirkning på AMS-løsningens operative funksjon, for eksempel ved å gi utilbørlig reduksjon av ytelse. Dette kontrollmålet kan ses i sammenheng med kontrollmål for sikker kommunikasjon.

Nettselskapet har etablert et system for å avdekke uautoriserte endringer av programvare og informasjon, og slik oppdage om noen systemkomponenter har blitt kompromitterte eller korrupte. Dette systemet utfører integritetsskanning av AMS-løsningen, og sjekker integriteten på programvare ved oppstart, oppdatering og eksekvering.

Dette systemet skal også sørge for at enheten i AMS er sikret fysisk og logisk mot uautorisert oppdatering og endring av programvare, og at endringer av programvare skal være testet og godkjent før de gjennomføres. I tillegg skal enhetene i AMS kunne verifisere at alle spørringer og kommandoer er gyldige, har rett format og er foretatt fra autentisert og autorisert kilde.

Nettselskapet har satt opp systemet slik at kun autoriserte og autentiserte brukere er i stand til å utføre kommandoer. Dette medfører at det ikke er mulig å utføre kommandoer i AMS med mindre man har tilgang til den rette symmetriske krypteringsnøkkelen. I tillegg har de implementert et automatisk verktøy som varsler ved integritetsavvik.