Vi hører stadig om nye bedrifter som har blitt utsatt for ransomware og valgt å betale ut løsepenger. Eller ikke. Senest ut i rekken ser ut til å være byggekjeden Bauhaus, som bl.a. digi.no omtalte 21 juni 2021. Det er selvfølgelig veldig kjedelig for en bedrift som Bauhaus å ha begrenset tilgang til egne datasystemer og hvor nettbutikken ikke er tilgjengelig, men det er vesentlig mer alvorlig når det skjer bedrifter som Colonial Pipeline. Colonial Pipeline så i begynnelsen av mai seg nødt til å stenge ned en største drivstoffrørledningen i USA i nesten en uke.

Standardisering for cybersikkerhet

Å ta i bruk ISO/IEC 27000-serien av standarder vil være en hjelp for organisasjoner til å håndtere informasjonssikkerhetsrisiko. Disse standardene dekker trusler, sårbarheter og konsekvenser, samt utforming av kontroller for å beskytte konfidensialitet, integritet og tilgjengelighet av data og for å regulere tilgang til kritiske informasjonssystemer og nettverk.

NEK IEC 62443 ble opprinnelig utviklet for industriell prosessindustri, men brukes i et stadig voksende utvalg av domener og bransjer. Brukere inkluderer kraftforsyninger, helsesektoren og transportnæringen. Standarden gir veiledning om implementering av et rammeverk for styring av cybersikkerhet for cyber-fysiske systemer med både IT og OT (operativ teknologi).

IECQ AP-ordningen tester og gir sertifisering for at kravene i ISO / IEC 27001 er oppfylt. IECEE Industrial Cyber Security Program gjør det samme for standarder i NEK IEC 62443-serien.

Integritet og konfidensialitet med NEK IEC 62443

Å ivareta integritet og konfidensialitet for alle systemkomponenter krever ikke bare at det tas hensyn til individuelle endepunkter, men også til integrasjonen og sammensetningen som helhet. Stadig gjelder dette også endringene av forholdene rundt endepunkter og autorisert bruk. Dette fører til økt kompleksitet, som må styres og ivaretas gjennom hele livsløpet. Dette gjelder på tvers av utvikling og forbedring av selve systemet. Samtidig endres trussellandskapet med tiden, og med det, nye utfordringer og risikoer. NEK IEC 62443-serien definerer de generelle kravene for en integrert tilnærming til cyber-fysisk risikostyring. Denne standarden gjør det mulig med sikker kommunikasjon og drift blant nøkkelaktører og interessenter.

NEK seminar på cybersikkerhet

For å sette søkelys på standardiseringens bidrag i kampen mot cyberkriminalitet planlegger derfor NEK å avholde et dagsseminar på temaet i cybersikkerhetsmåneden oktober. Agenda for dagen er fortsatt under planlegging, men dette vil bli en god anledning til å få faglig påfyll om standarder for OT og IT sikkerhet. Hovedvekten på seminaret vil være IECs standardserie 62443 for cyber-fysiske systemer.

Les mer om konferansen og meld deg på!