Tilbake

Cybersikkerhet – Fundamentale krav

Spesifikasjonen NEK IEC TS 62443-1 beskriver sju fundamentale krav man bør ha kontroll på hva gjelder sikring av OT i det digitale domene. OT er forkortelse for Operasjonell Teknologi, som er kontroll og styring av cyberfysiske systemer. Innen kritisk infrastruktur –  som energi og matproduksjon, transportsektoren, vann og avløp – finner man mye av dette.

På NEK Cybersikkerhetskonferansen 6. juni blir NEK IEC TS 62443-1 gratis tilgjengelig for deltagerne. 

 

 

Sikringstrekanten

Lover og forskrifter versus standarder

Det er ikke klart for alle forskjellen på lover, forskrifter og standarder. Kort fortalt er lover og forskrifter bestemmelser gitt av myndighetene. Disse alle følge.

Standarder er gjerne en beskrivelse av en metode, som i mange tilfeller oppfyller kravene i en tilhørende forskrift. Kravene i en standard blir utviklet av komiteer som består av representanter fra myndigheter, næringsliv, akademia og offentlig forvaltning. Det er åpent for alle å delta i standardiseringsarbeidet.

Kravene i standarder, tekniske spesifikasjoner og veiledere blir fastsatt gjennom konsensus. Dette sikrer at kravene er bredt forankret og representerer det alle mener er godt nok. I motsetning til lover og forskrifter er det frivillig å bruke en standard. Når da de aller fleste velger å bruke standarder er det for at det er økonomisk smart, effektivt og det blir lettere å samhandle med andre.

Fundamentale krav til cybersikkerhet

NEK IEC TS 62443-1 er en slik publikasjon utarbeidet av standardiseringskomiteen IEC TC 65. Denne tekniske spesifikasjonen beskriver blant annet sju fundamentale krav for cybersikkerhet som utfyller og gir støtte til de sentrale begrepene, Confidentiality – Integrity – Availability.

  • Identification and authentication
  • Use control
  • System integrety
  • Data confidentiality
  • Restricted data flow
  • Timely response to events
  • Resource availability

Spesifikasjonen har over 130 definisjoner. Definisjonene definerer sentrale begreper som er nødvendig for å forstå de anbefalinger som ligger i spesifikasjonen. Samtidig danner den også grunnlaget for de øvrige publikasjonene i NEK IEC 62443-serien.

Definisjonene er ikke minst sentrale når utstyrsleverandører og virksomheter innen cybersikkerhet skal beskrive sine produkter og tjenester.

 Sikkerhetsloven – Operasjonell teknologi

Cyber-fysiske systemer – altså objekter, maskiner og utstyr som kan sette noe i bevegelse, trenger klare regler og for at dette skal være trygt og pålitelig. Dette gjelder alle produksjonssystemer som operer digitalt. Allikevel er det spesielt viktig for kritisk infrastruktur som kraftproduksjon, vann og avløp, samt transport på hav, land og i luften. Rammes dette av cyberkriminalitet kan det ramme hele nasjonen.

Nytt lovforslag – «digitalsikkerhetsloven»

For det offentlige og virksomheter som er knyttet opp mot kritisk infrastruktur er Sikkerhetsloven et viktig rammeverk. Denne loven utgitt av Justis og beredskapsdepartementet kom ut i 2019.

Nylig sendte justis og beredskapsdepartementet ut ett forslag til ny lov – digitalsikkerhetsloven. Loven skal forplikte virksomheter som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet, til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser.

Under Cybersikkerhetskonferansen vil alle deltakerne få tildelt en utgave av NEK IEC TS 62443-1. Denne tekniske spesifikasjonen vil gi felles forståelse av definisjoner, konsepter og modeller, som vil være til stor nytte i arbeidet med cybersikkerhet.

 

Meld deg på konferansen!