Lars Ihler, Trond Salater og Christer Varan

Et knippe av NEKs fagsjefer gir en kort presentasjon av NEKs rolle i den internasjonale standardiseringen, NEKs arbeid med kartlegging av standarder for cybersikkerhet, og lanserer nyheten NEK 800 cybersikkerhet.

Kenneth Titlestad

Kenneth har mange års erfaring fra cybersikkerhet innen både IT og OT. Gjennom sitt arbeid i Sopra Steria har han fått erfaring med cybersikkerhetsrådgivning innen OT for en rekke selskaper i forskjellige sektorer. I NEK er han leder av arbeidsgruppe for Cybersikkerhet (AG1) i normkomite NK65.

I foredraget vil han dele innsikt om operasjonell teknologi og setter søkelyset på industrielle automasjons- og kontrollsystemer, ofte omtalt som IACS eller ICS. Med dette som bakteppe, dykker han ned i hvordan målrettet cyber-sabotasje og utilsiktede hendelser kan medføre risiko for produksjonstap, ulykker, miljøkatastrofer og dødsfall. Han deler også erfaringer og beste praksis for hvordan bedrifter kan minimere risikoen for alvorlige cyberangrep i slike systemer.

Prof. dr. Siv Hilde Houmb

Prof.dr. Siv Hilde Houmb er seniorrådgiver i digital sikkerhet hos Statnett SF, professor II ved NTNU og har jobbet med cyber og digital sikkerhet i litt over 25 år. Houmb har arbeidet med digital sikkerhet i flere bransjer, bl.a. telekom, Olje og Gass, kraftsektoren, industriell produksjon, og har erfaring fra standardisering, praktisk arbeid og forskning innenfor en rekke områder. Houmb ledet bl.a. oppbygningen av sikkerhetskomiteen til International Association of Drilling Contractors (IADC), et arbeid som hun mottok en pris for i 2018. Houmb har også bygget opp et cybersikkerhetsselskap, Secure-NOK, og har to patenter innenfor området overvåkning og deteksjon av cyber-hendelser i kontrollsystemer.

Hanne Tangen Nilsen

God digital sikkerhet er grunnleggende for samfunnssikkerheten i et av verdens mest digitaliserte land. Vi blir tryggere som samfunn ved å bygge kunnskap og kompetanse sammen, og med en helhetlig tilnærming på tvers av sektorer og bransjer. God samfunnssikkerhet henger sammen med den grunnsikringen som etableres gjennom virksomheters daglige virke for oss som brukere og kjøpere av offentlige og private tjenester.

Industrielle kontrollsystemer (ICS), ofte omtalt som Operasjonell Teknologi, er til stede i alt fra frittstående systemer som en enkelt melkemaskin til avanserte kontrollsystemer for industriprosesser, transport og generering av elektrisitet. Disse systemene har frem til nå vært komplett adskilt fra moderne IT-infrastruktur, og er derfor i liten grad blitt beskyttet og herdet slik som IT-systemer. Sikkerhet i OT-systemer er ofte også rettet mer mot stabilitet og forutsigbar drift, enn beskyttelse mot ondsinnet aktivitet. Den kontinuerlige utbredelsen av IoT fører til at komponenter i et OT-miljø utvides både logisk, fysisk og geografisk.

Telenor har lang erfaring med IT-sikkerhet, men den økende integrasjonen av IT og OT stiller nye krav, krav Telenor utruster seg for å møte.

Sokratis Katsiksa

The current trend of automation and data exchange in industry, through the development, use and integration of cyber-physical systems, the Internet of things, cloud computing, artificial intelligence and other enabling technologies is expected to bring tremendous benefits in the economy, including improved productivity and efficiency, better flexibility and agility, and increased profitability. However, it also comes with increased cybersecurity risks, primarily deriving from the integration of information technology and operational technology. Thus, as in all cases of a major shift in computing paradigms, a number of cybersecurity challenges arise, that cannot be addressed by simply porting solutions from other domains. In this talk a brief overview of such challenges, and how they are being addressed within the context of the SFI NORCICS will be provided.

Sokratis Katsiksa holds a Ph.D. in Computer Engineering & Informatics, and chairs the Steering Committee of the ESORICS Conference. In 2021 he was ranked 7th in the security professionals category of The IFSEC Global influencers in security and fire 2021 list.

Kjartan Jæger Kvassnes

En trillion IoT produkter er forventet utplassert i markedet innen ti år. 96% av disse er utplassert uten noen sikkerhetsekspertise, bare 4% av utplasserte IoT produkter er sikre. En trillion oppkoblede enheter gir nye utfordringer samtidig som en rekke nye standarder og rammeverk gir krav til ulike IoT produkttyper og interopabilitet. Samtidig er det er også et økende antall rammeverk, reguleringer og standarder fra både offentlig og privat sektor for IoT produkter for sikkerhet og etterlevelse.

Vi trenger en skalerbar måte for å identifisere sikkerhetsfunksjonalitet i IoT enheter på en måte som er tilpasset det store antallet produkter og sikkerhetsrammeverk. SESIP gir en skalerbar ordning for å vise hvordan IoT enheter er klargjort for etterlevelse av ulike sikkerhetskrav og muliggjør risikostyring for IoT enheter som bruker sikkerhetsfunksjonalitet i den sikre IoT plattformen.

Boye Tranum

Boye har over 30 års erfaring med sikkerhet og cybersikkerhet innen IT og industriell systemer. Gjennom 25 år som offiser i Forsvaret med fokus på IT sikkerhet og kvalitet og over 15 år i DNV med Informasjonskvalitet og Cyber sikkerhet via nasjonale og internasjonale posisjoner har Boye en unik erfaring å bygge på.

Boye vil dele erfaringer som DNV har hatt med å benytte IEC 62443 i større prosjekter i flere av sektorene DNV fokuserer på. Dette har blant annet resultert i to Recommended Practice publikasjoner fra DNV som vil bli presentert. Den ene for Olje og Gas sektoren og den andre for Elektrisk energi sektoren.

Geir Hørthe

Cybersikkerhet er allerede innført som krav i en rekke land – inkludert i EU.
Da Nemko gjorde en rundspørring blant våre kunder svarte halvparten at det ikke er krav til IoT cybersikkerhet i Europa, og mange er usikker på om det finnes egen standard. Svarene er at ja, det finnes standard og ja, det finnes krav – I GDPR allerede og i flere direktiver fremover, f.eks. RED.

Men er det en ulempe eller en fordel for fabrikanter at det finnes etablerte standarder og krav? Min påstand er at det er en fordel – en stor fordel.

Bjørn Høiås

En praktisk tilnærming til sikkerhet i fjernaksess. Det evige dilemmaet i sikkerhet er balansen mellom funksjonalitet og sikkerhet. Man ønsker å få utført sitt arbeid så effektivt som mulig samtidig som ny funksjonalitet i digitale trafostasjonene kanskje gjør noen komponenter mektigere enn før. Man har ikke uendelig med tid og ressurser – hvor skal vi legge lista? Hvilke kompromisser må vi inngå? Hvilken risikoappetitt har vi?

Paneldebatt

Få med deg siste post på programmet. Noen av foredragsholderne blir med oss helt til slutt for å svare på spørsmål som:

• Trenger man egentlig standarder for cybersikkerhet – teknologien og angrepsmåtene forandrer seg jo hele tiden?
• Det er svært knapt med ressurser som kan industriell cybersikkerhet. Har vi nok folk til å fokusere på standardisering?
• mfl.