Cybersikkerhet

Cybersikkerhet

Cybersikkerhet

Adobe stock

Kritisk infrastruktur

Cybersikkerhet er fundamentalt for samfunnskritisk infrastruktur, våre industribedrifter og i grunn hver enkelt person og virksomhet. Uten tilstrekkelig cybersikkerhet kan strøm og vannforsyning svikte. Helsevesen, adgangskontroll og kraftproduksjon kan bli utsatt. Generelt kan alt vi tar som en selvfølge i et moderne samfunn rammes.

Digital verden

Men hva er cybersikkerhet? Jo – det er at informasjonsteknologi og operasjonell teknologi, gjerne kjent som IT og OT, fungerer slik det skal. Tradisjonelt har IT og OT eksistert i to adskilte teknologiske verdener, men teknologien og samfunnet har utviklet seg slik at man langt på vei  kan hevde at alt blir et eneste stort nettverk.

Om fagområdet

Elektrifiseringen og digitaliseringen av samfunnet muliggjør sammenkoblingen av stadig nye enheter og systemer, være seg i industrien eller hjemme hos den enkelte. NEK er en pådriver i dette arbeidet, og har som mål å være en aktiv medspiller ved elektrifiseringen og digitaliseringen av det norske samfunnet, spesielt innen elektroteknisk sektor, gjennom standardiseringsarbeidet.

Med stadig økende elektrifisering og digitalisering, og stadig tettere sammenkobling av IT og OT systemer, stiger også sårbarheten i disse systemene. Dette kan være tilsiktet skade fra hackere eller utilsiktet skade fra maskinfeil, programeringsfeil, menneskelig svikt eller uhell.

IT vs. OT

Det er viktig å forstå forskjellen mellom IT og OT fordi begrepene ofte blandes. Mens operativ teknologi (OT) styrer utstyr, kontrollerer informasjonsteknologi (IT) data. IT fokuserer nærmere bestemt på å sikre konfidensialitet, integritet og tilgjengelighet av systemer og data.

Tradisjonelt har ikke OT-cybersikkerhet vært nødvendig fordi OT-systemer ikke har vært koblet til internett. På den måten har de da heller ikke vært utsatt for trusler fra utsiden. Med økende digitalisering og konvergeringen av IT -og OT-nett hadde organisasjoner hatt en tendens til å lene seg på IT-standarder for å sikre seg. Men det er helt andre krav som ligger til grunn for sikkerhet i OT-systemer enn i IT-systemer. Der data er driveren i IT-systemer er det prosessene som tar førersetet i OT-systemene. Hvor konfidensialitet er veldig viktig i IT-systemer, er OT-systemer mer opptatt av kontroll.

Denne figuren fra IEC gir en grov indikasjon på hvor skille mellom IT og OT går.

Som nevnt blandes begrepene ofte sammen. Økende konvergering av IT og OT, med stadig økende integrering av disse systemene gjør cybersikkerhet til et utfordrende omåde. Kan dine krav og behov ivaretas av de tradisjonelle IT-sikkerhets kravene, prosessene og prosedyrene? Eller trenger verktøykassen din noen flere verktøy?

Standarder for cybersikkerhet

De mest anerkjente og omtalte standardene for å ivareta IT-sikkerhet er beskrevet i ISO/IEC 27000-serien av standarder. Dette er standarder som er tatt frem i samarbeid mellom standardiseringsorganisasjonene ISO og IEC.

Serien tar for seg en rekke aspekter ved informasjonssikkerhet, og forklarer hvordan man implementerer beste praksis for dette. Dette gjøres ved å angi ISMS (informasjonssikkerhetsstyringssystem) krav, som er en systematisk tilnærming til risikostyring med tiltak som adresserer de tre søylene i informasjonssikkerhet: mennesker, prosesser og teknologi. Serien består av 46 individuelle standarder, hvor noen vil være relevante for din organisasjon, og andre ikke.

Når det gjelder cybersikkerhet for OT-systemer jobber IECs komiteer med bransjerettede sikkerhetsstandarder, hvor den mest kjente er IEC 62443-serien. Dette er en standardserie som retter seg mot OT-sikkerhet i industrien, og som er tatt frem i IECs tekniske komite TC 65 for “Industrial-process measurement, control and automation”.

IEC 62443-serien benyttes i økende grad på tvers av alle bransjer, i tillegg til at det utvikles egne bransjespesifikke sikkerhetsstandarder. Kraftbransjen har som eksempel tatt frem egne cybersikkerhetsstandarder som supplement til IEC 62443, og andre bransjer ser ut til å følge samme metode.

Du kan lese mer om cybersikkerhet i OT-systemer i artikkelen  NEK IEC 62443 – en bærebjelke for cybersikkerhet.

Når man skal tenke cybersikkerhet er det viktig at man benytter alle de nødvendige verktøy. Men i en jungel av standarder kan det være vanskelig å orientere seg – og finne de som er mest relevant for en selv. For å avhjelpe dette har NEK tatt frem en grafisk representasjon som gir et bilde på mulige relevante standarder relatert til sikkerhet for forskjellige bransjer/områder. Linken i bildet under tar deg til NEKs Cybersikkerhetskart, gjestet på IEC sin nettside. Dette kartet gir en oversikt over områder hvor det er identifisert mulig relevante standarder innen cybersikkerhet, fra en rekke forskjellige standardiseringsorganer (så ikke bare IEC/CENELEC/NEK).

Merk at denne grafiske fremstillingen fortsatt er under utarbeidelse.

Kjøpe standarder

NEK selger standarder på vegne av IEC, CENELEC og NEK gjennom Standard Online, og du vil finne relevante standarder i nettbutikken.

Alle NEK IEC 62443-publikasjonene i nettbutikken finner du listet her.

 

Komiteer