Veileder til sikkerhetsvurdering for AMS

Del denne sidenDel på e-post

Landrisikovurdering

Dersom nettselskapet må gi leverandører utenfor EFTA, EU eller NATO tilgang til AMS, kreves en landrisikovurdering. Dette kan også bli aktuelt dersom en eksisterende leverandør benytter underleverandører fra slike land, eller dersom en leverandør blir kjøpt opp av et selskap utenfor disse områdene.

Vurder leverandørens faktiske tilgang

Før landrisikovurderingen gjennomføres, kartlegg hvilken informasjon og hvilke systemer underleverandøren faktisk har tilgang til:

  • Har de mulighet for å manipulere kritiske deler av AMS-systemet?
  • Har de kun tilgang til ikke-kraftsensitiv informasjon eller informasjon som ikke inneholder personopplysninger?

Tilgangsnivået påvirker hvor omfattende landrisikovurderingen må være.

 

Trusselscenarier

Eksempler på hvordan myndighetene i et land kan utnytte leverandøren:

  • Landet bruker leverandørrelasjoner som et middel til å skaffe seg sensitiv informasjon eller kunnskap, for eksempel kraftsensitiv informasjon eller informasjon om teknologi av strategisk betydning
  • Tjenesteleveransen forstyrres på grunn av ustabile forhold i landet, eller myndighetene bruker leverandørforholdet eller utnytter sårbarheter som et pressmiddel som fører til stans/forstyrrelser i leveransen
  • Landet bruker leverandørrelasjonen til å gjennomføre målrettede angrep mot virksomheten direkte, eller tjenesteleveransen berøres som en indirekte konsekvens av angrep fra en trusselaktør mot leverandørens land eller andre kunder av leverandøren.

Den enkleste måten å håndtere landrisiko på er å holde seg til leverandører innenfor EFTA, EU eller NATO, og å forsikre seg om at deres underleverandører også er fra disse landene. Landrisikovurdering kan også bli nødvendig dersom en leverandør fra et av disse landene benytter underleverandører fra land uten sikkerhetssamarbeid med Norge. Det kan også hende at en leverandør i EFTA, EU eller NATO blir kjøpt opp av et selskap utenfor disse landene. I slike situasjoner kan det oppstå et behov for å gjøre landrisikovurdering.

NSM’s kriterier for landrisikovurdering

NSM har identifisert fire sett med kriterier som bør inngå ved vurdering av landrisiko:

  1. Statlige styringsindikatorer (korrupsjon, politisk stabilitet, lov og orden, regulatorisk kvalitet, statens effektivitet og fredelighet)
  2. Cybersikkerhetstilstanden (for eksempel Global Cyber Security Index GCI)
  3. IKT-infrastruktur og kompetanse (landets dekning på IKT nettverk o.l.)
  4. Forretningsstabilitet (EU har en liste over finansrelaterte høyrisikoland)

For underkategorier av de fire kriteriene vist over, har NSM lenket til relevante rapporter/nettsider som gir en indeks/score for hvert land.

Metode

Landrisikovurderingen gjennomføres ved å sammenstille score for hver underkategori til et totalbilde for hvor godt det aktuelle landet scorer på de fire hovedkategoriene. Dette bildet kan sammenlignes med scoren til Norge og andre land som ligger innenfor EFTA/EU/NATO.

Dersom landet scorer dårligere enn Norge eller sammenlignbare land, er dette en indikasjon på at det kan være problematisk å knytte til seg underleverandører fra det aktuelle landet.

Eksempel

I tabellen under har vi vist et eksempel på landrisikovurdering av fire land sammenlignet med Norge for kriteriet statlige styringsindikatorer, basert på informasjon fra NSMs nettsider. Grønn farge (i ulike nyanser) betyr at landet scorer bedre enn Norge, rød farge (i ulike nyanser) betyr at landet scorer dårligere enn Norge.

Kriterier Underkategorier Kilde Laveste (dårligste) mulige score Høyeste (beste) mulige score Norge (referanse) Island Estland USA Israel
1) Statlige styringsindikatorer Korrupsjon Lenke 0 100 81 77 76 65 64
Politisk stabilitet Lenke -2,5 +2,5 0,89 1,21 0,66 0,03 -1,46
Lov og orden Lenke -2,5 +2,5 1,83 1,72 1,43 1,33 0,78
Regulatorisk kvalitet Lenke -2,5 +2,5 1,6 1,28 1,43 1,39 1,12
Statens effektivitet Lenke -2,5 +2,5 1,8 1,56 1,26 1,22 1,15
Fredelighet Lenke Ca. 3,6 Ca. 1,0 1,644 1,095 1,559 2,443 3,108
2) Cyber-sikkerhetstilstanden                  
3) IKT-infrastruktur og kompetanse                  
4) Forretnings-stabilitet                  

Se NSMs nettsider for å finne oppdatert informasjon samt indikatorer for kriterier 2-4.

Oppfølging

Dersom virksomheten velger å benytte underleverandører fra land utenfor EFTA/EU/NATO, bør landrisikovurderingen oppdateres jevnlig. Følg med på:

  • Endringer i hvilken informasjon eller hvilke systemer leverandøren fra tredjeland har tilgang til
  • Endringer i hvordan det aktuelle landet rangeres i de underliggende indeksene