Norske myndigheter og bedrifter har i den senere tid opplevd en rekke alvorlige hackerangrep. Angriperne har kommet seg inn i datasystemene til Stortinget, Universitetet i Tromsø og Hurtigruten. Dette viser hvor sårbare vi er for datainnbrudd dersom vi ikke har oppmerksomhet på cybersikkerhet, både innenfor privat og offentlig sektor.

Nylig ble manglende datasikkerhet hos flere helseforetak i Norge avslørt av et simulert dataangrep gjennomført av Riksrevisjonen. Det simulerte dataangrepet ga tilgang til store mengder sensitive helseopplysninger. Kritiske systemer og pasientopplysninger kunne blitt slettet, blokkert, manipulert eller stjålet.

Angrep mot amerikanske mål

I USA er det nå krise i offentlige etater etter de sofistikerte hackerangrepene de siste månedene, som gikk uoppdaget i mange måneder. Ingen vet hvor stor skade er skjedd. De amerikanske angrepene er rettet mot føderale byråer og et stort datasikkerhetsbyrå som har kontrakter med regjeringen og noen av de største selskapene i USA.

Trusselbildet er krevende. Hvordan kan vi forsvare oss? Hva er de nødvendige tiltakene?

Styringssystem for cybersikkerhet

Offentlige etater og de fleste private virksomheter kan bygge opp og forbedre sitt cyberforsvar ved å implementere NEK ISO/IEC 27001, som definerer en risikostyringsbasert tilnærming til å håndtere mennesker, prosesser, tjenester og teknologi. Gjennom et styringssystem for informasjonssikkerhet sikrer man konfidensialitet, integritet og tilgjengelighet på virksomhetens data. NEK ISO/IEC 27001 hjelper organisasjoner med å håndtere risikoen for informasjonssikkerhet, inkludert trusler, sårbarheter og påvirkninger, samt utforme kontroller for å beskytte konfidensialitet, integritet og tilgjengelighet av data og for å regulere tilgang til kritiske informasjonssystemer og nettverk.

-Både private og offentlige virksomheter bør ha en strategi for cybersikkerhet. Stadig mer spionasje og krigføring vil være i form av hacking og cyberangrep. Skal man minimere risikoen for tap av informasjon og driftsstans må man lage et forsvar. Dette forsvaret bør baseres på internasjonale standarder slik at man dekker alle nødvendige felt, sier Christer Varan, fagsjef for informasjonsteknologi i NEK.

Andre systemer, som for eksempel strømnettet, gir oss helt andre utfordringer. Strømnettet er et fysisk system som også har datainfrastruktur, et cybersystem. Cyber-fysiske systemer er veldig forskjellige fra datamaskiner, siden de integrerer beregningskomponenter, konstruksjon, nettverk og fysisk prosess. Det er for lett å overse operasjonelle begrensninger i sektorer som energi, helse og transport. En utfordring ligger i at industriell automatisering og kontrollsystemer (IACS) faktisk er laget for å gjøre det lettere å få tilgang fra forskjellige nettverk.

Forskjellige typer risiko

Systemene må hanskes med forskjellige typer risiko. For å kunne beskytte liv og helse, eller i tilfelle naturkatastrofe, må operatører motta nøyaktig og ferskt oppdatert informasjon. Da kan man raskt ta riktige avgjørelser i akutte situasjoner. Prioriteringer for fysiske miljøer fokuserer på helse, sikkerhet og miljø, mens IT-sikkerhet fokuserer på å beskytte konfidensialitet, integritet og datatilgang.

– Mens både IT og OT miljøene er opptatt av disse tre aspektene ved cybersikkerhet; CIA – confidentiality, integrity og access, er det en forskjell i prioriteringsrekkefølgen. Kompleksiteten for OT-systemer ligger i at de er cyber-fysiske systemer, sier fagsjef Christer Varan,

Internasjonale standarder gir løsninger på mange av disse utfordringene. For eksempel er NEK IEC 62443 designet for å holde fysiske systemer i gang. Den kan brukes i industrien, inkludert anlegg i kritisk infrastruktur, som for eksempel energi, helse og transport.

Det industrielle cybersikkerhetsprogrammet til IECEE – IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components – tester og sertifiserer cybersikkerhet i industriell automatiseringssektor. Gjennom IECEE Conformity Assessment Scheme er det mulig å bli sertifisert i henhold til standarder i NEK IEC 62443-serien.

– Det nederlandske selskapet Signify er verdensledende innen smart belysning og LED, så vel som konvensjonell belysning. Signyfy har nylig blitt det første selskapet i denne bransjen som oppnår sertifisering i henhold til NEK IEC 62443-4-1:2018, gjennom IECEE, forteller Varan.

IoT spesielt utsatt for cyberangrep

Med det enorme antallet IoT-enheter som etterhvet omgir oss i dagliglivet har vi, som samfunn, også gjort oss mye, mye mer eksponert for cyberangrep.

Og mens industrielle/profesjonelle IoT installasjoner gjerne lener seg på NEK IEC 62443 har konsumentmarkedet inntil nylig stilt vesentlig svakere.

Dette forsøker ETSI å bøte på med den relativt nye standarden ETSI EN 303 645 Cyber Security for Consumer Internet of Things: Baseline Requirements.

Eksempler på IoT-produkter som denne standarden er beregnet på, er barneleker, babycall-utstyr, brannvarslingssystemer, dørlåser, alarmsystemer, vaskemaskiner, kjøleskap, TV, kameraer, høyttalere, bærbare helsesensorer og smarthussystemer.

-Introduksjonen av ETSI EN 303 645 har lagt grunnen for komiteen ETSI TC CYBER til å kunne utarbeide testspesifikasjon og implementeringsveiledning til denne standarden. Spesifikasjonen skal gjøre det enkelt for produsenter å følge standarden.Det vil jo være svært kjedelig om bedriftens kritiske systemer skulle bli hacket fordi noen har hengt et usikret termometer på bedriftens nettverk, avslutter Varan.