Cybersikkerhet

Standarder for cybersikkerhet bør brukes for å beskytte informasjonssystemer

Cybersikkerhet mennesker datamaskiner data jobber kontor sikkerhet

Hva er Cybersikkerhet?

Cybersikkerhet er praksisen med å beskytte datamaskinsystemer, nettverk og informasjon mot digitale trusler og angrep.

Det er nødvendig for å beskytte elektronisk utstyr, data, nettverk og kritisk infrastruktur mot digital kriminalitet – og er fundamentalt for samfunnskritisk infrastruktur, industribedrifter, næringsliv og personlige data.

Uten tilstrekkelig cybersikkerhet kan strøm og vannforsyning svikte. Helsevesen, adgangskontroll og kraftproduksjon kan bli utsatt.

Alt vi tar som en selvfølge i vårt samfunn kan rammes.

digital sikkerhetskonsept hengelås i elektronisk miljø.

Fagområdet

Cybersikkerhet er et bredt begrep som omhandler informasjonsteknologi (IT) og operasjonell teknologi (OT), og at disse fungerer slik de skal.

Tradisjonelt har IT og OT eksistert i to adskilte teknologiske verdener. I dag kan man langt på vei  hevde at alt blir et eneste stort nettverk.

Elektrifisering og digitalisering av samfunnet muliggjør sammenkoblingen av stadig nye enheter og systemer. NEK er en aktiv medspiller gjennom standardiseringsarbeidet.

Med stadig tettere sammenkobling av IT og OT systemer, stiger også sårbarheten i disse systemene. Dette kan være tilsiktet skade fra hackere eller utilsiktet skade fra maskinfeil, programeringsfeil, menneskelig svikt eller uhell.

IT vs. OT

Det er viktig å forstå forskjellen mellom IT og OT fordi begrepene ofte blandes. Mens operativ teknologi (OT) styrer utstyr, kontrollerer informasjonsteknologi (IT) data. IT fokuserer nærmere bestemt på å sikre konfidensialitet, integritet og tilgjengelighet av systemer og data.

Tradisjonelt har ikke OT-cybersikkerhet vært nødvendig fordi OT-systemer ikke har vært koblet til internett. På den måten har de da heller ikke vært utsatt for trusler fra utsiden. Med økende digitalisering og konvergeringen av IT -og OT-nett hadde organisasjoner hatt en tendens til å lene seg på IT-standarder for å sikre seg. Men det er helt andre krav som ligger til grunn for sikkerhet i OT-systemer enn i IT-systemer. Der data er driveren i IT-systemer er det prosessene som tar førersetet i OT-systemene. Hvor konfidensialitet er veldig viktig i IT-systemer, er OT-systemer mer opptatt av kontroll.

Denne figuren fra IEC gir en grov indikasjon på hvor skille mellom IT og OT går.

Som nevnt blandes begrepene ofte sammen. Økende konvergering av IT og OT, med stadig økende integrering av disse systemene gjør cybersikkerhet til et utfordrende omåde. Kan dine krav og behov ivaretas av de tradisjonelle IT-sikkerhets kravene, prosessene og prosedyrene? Eller trenger verktøykassen din noen flere verktøy?

 

 

 

Standarder for cybersikkerhet

De mest anerkjente og omtalte standardene for å ivareta IT-sikkerhet er beskrevet i ISO/IEC 27000-serien av standarder. Dette er standarder som er tatt frem i samarbeid mellom standardiseringsorganisasjonene ISO og IEC.

Serien tar for seg en rekke aspekter ved informasjonssikkerhet, og forklarer hvordan man implementerer beste praksis for dette. Dette gjøres ved å angi ISMS (informasjonssikkerhetsstyringssystem) krav, som er en systematisk tilnærming til risikostyring med tiltak som adresserer de tre søylene i informasjonssikkerhet: mennesker, prosesser og teknologi. Serien består av 46 individuelle standarder, hvor noen vil være relevante for din organisasjon, og andre ikke.

Når det gjelder cybersikkerhet for OT-systemer jobber IECs komiteer med bransjerettede sikkerhetsstandarder, hvor den mest kjente er IEC 62443-serien. Dette er en standardserie som retter seg mot OT-sikkerhet i industrien, og som er tatt frem i IECs tekniske komite TC 65 for “Industrial-process measurement, control and automation”.

IEC 62443-serien benyttes i økende grad på tvers av alle bransjer, i tillegg til at det utvikles egne bransjespesifikke sikkerhetsstandarder. Kraftbransjen har som eksempel tatt frem egne cybersikkerhetsstandarder som supplement til IEC 62443, og andre bransjer ser ut til å følge samme metode.

Du kan lese mer om cybersikkerhet i OT-systemer i artikkelen  NEK IEC 62443 – en bærebjelke for cybersikkerhet.

Når man skal tenke cybersikkerhet er det viktig at man benytter alle de nødvendige verktøy. Men i en jungel av standarder kan det være vanskelig å orientere seg – og finne de som er mest relevant for en selv. For å avhjelpe dette har NEK tatt frem en grafisk representasjon som gir et bilde på mulige relevante standarder relatert til sikkerhet for forskjellige bransjer/områder. Linken i bildet under tar deg til NEKs Cybersikkerhetskart, gjestet på IEC sin nettside. Dette kartet gir en oversikt over områder hvor det er identifisert mulig relevante standarder innen cybersikkerhet, fra en rekke forskjellige standardiseringsorganer (så ikke bare IEC/CENELEC/NEK).

Se grafisk fremstilling.Merk at denne grafiske fremstillingen fortsatt er under utarbeidelse.

 

Relaterte artikler

Se alle nyheter

NEK 288:2024 - prosesser for livssyklus i tekniske systemer

Dato
18.09.2024

Teknologisk innovasjon gir digitale helsetjenester

Dato
03.09.2024

Cybersikkerhet i forbrukerutstyr og tingenes internett - IoT/IIoT

Dato
10.11.2023

Relaterte produkter

Se alle produkter
Forside NEK 144:2017

NEK 144:2017 - Grafiske symboler for el- og ekom-dokumentasjon

Les mer

Relevante komiteer