Cybersikkerhet
Standarder for cybersikkerhet bør brukes for å beskytte informasjonssystemer
Hva er Cybersikkerhet?
Det er nødvendig for å beskytte elektronisk utstyr, data, nettverk og kritisk infrastruktur mot digital kriminalitet – og er fundamentalt for samfunnskritisk infrastruktur, industribedrifter, næringsliv og personlige data.
Uten tilstrekkelig cybersikkerhet kan strøm og vannforsyning svikte. Helsevesen, adgangskontroll og kraftproduksjon kan bli utsatt.
Alt vi tar som en selvfølge i vårt samfunn kan rammes.
Fagområdet
Cybersikkerhet er et bredt begrep som omhandler informasjonsteknologi (IT) og operasjonell teknologi (OT), og at disse fungerer slik de skal.
Tradisjonelt har IT og OT eksistert i to adskilte teknologiske verdener. I dag kan man langt på vei hevde at alt blir et eneste stort nettverk.
Elektrifisering og digitalisering av samfunnet muliggjør sammenkoblingen av stadig nye enheter og systemer. NEK er en aktiv medspiller gjennom standardiseringsarbeidet.
Med stadig tettere sammenkobling av IT og OT systemer, stiger også sårbarheten i disse systemene. Dette kan være tilsiktet skade fra hackere eller utilsiktet skade fra maskinfeil, programeringsfeil, menneskelig svikt eller uhell.
IT vs. OT
Det er viktig å forstå forskjellen mellom IT og OT fordi begrepene ofte blandes. Mens operativ teknologi (OT) styrer utstyr, kontrollerer informasjonsteknologi (IT) data. IT fokuserer nærmere bestemt på å sikre konfidensialitet, integritet og tilgjengelighet av systemer og data.
Tradisjonelt har ikke OT-cybersikkerhet vært nødvendig fordi OT-systemer ikke har vært koblet til internett. På den måten har de da heller ikke vært utsatt for trusler fra utsiden. Med økende digitalisering og konvergeringen av IT -og OT-nett hadde organisasjoner hatt en tendens til å lene seg på IT-standarder for å sikre seg. Men det er helt andre krav som ligger til grunn for sikkerhet i OT-systemer enn i IT-systemer. Der data er driveren i IT-systemer er det prosessene som tar førersetet i OT-systemene. Hvor konfidensialitet er veldig viktig i IT-systemer, er OT-systemer mer opptatt av kontroll.
Denne figuren fra IEC gir en grov indikasjon på hvor skille mellom IT og OT går.
Som nevnt blandes begrepene ofte sammen. Økende konvergering av IT og OT, med stadig økende integrering av disse systemene gjør cybersikkerhet til et utfordrende omåde. Kan dine krav og behov ivaretas av de tradisjonelle IT-sikkerhets kravene, prosessene og prosedyrene? Eller trenger verktøykassen din noen flere verktøy?
Standarder for cybersikkerhet
De mest anerkjente og omtalte standardene for å ivareta IT-sikkerhet er beskrevet i ISO/IEC 27000-serien av standarder. Dette er standarder som er tatt frem i samarbeid mellom standardiseringsorganisasjonene ISO og IEC.
Serien tar for seg en rekke aspekter ved informasjonssikkerhet, og forklarer hvordan man implementerer beste praksis for dette. Dette gjøres ved å angi ISMS (informasjonssikkerhetsstyringssystem) krav, som er en systematisk tilnærming til risikostyring med tiltak som adresserer de tre søylene i informasjonssikkerhet: mennesker, prosesser og teknologi. Serien består av 46 individuelle standarder, hvor noen vil være relevante for din organisasjon, og andre ikke.
Når det gjelder cybersikkerhet for OT-systemer jobber IECs komiteer med bransjerettede sikkerhetsstandarder, hvor den mest kjente er IEC 62443-serien. Dette er en standardserie som retter seg mot OT-sikkerhet i industrien, og som er tatt frem i IECs tekniske komite TC 65 for “Industrial-process measurement, control and automation”.
IEC 62443-serien benyttes i økende grad på tvers av alle bransjer, i tillegg til at det utvikles egne bransjespesifikke sikkerhetsstandarder. Kraftbransjen har som eksempel tatt frem egne cybersikkerhetsstandarder som supplement til IEC 62443, og andre bransjer ser ut til å følge samme metode.
Du kan lese mer om cybersikkerhet i OT-systemer i artikkelen NEK IEC 62443 – en bærebjelke for cybersikkerhet.
Når man skal tenke cybersikkerhet er det viktig at man benytter alle de nødvendige verktøy. Men i en jungel av standarder kan det være vanskelig å orientere seg – og finne de som er mest relevant for en selv. For å avhjelpe dette har NEK tatt frem en grafisk representasjon som gir et bilde på mulige relevante standarder relatert til sikkerhet for forskjellige bransjer/områder. Linken i bildet under tar deg til NEKs Cybersikkerhetskart, gjestet på IEC sin nettside. Dette kartet gir en oversikt over områder hvor det er identifisert mulig relevante standarder innen cybersikkerhet, fra en rekke forskjellige standardiseringsorganer (så ikke bare IEC/CENELEC/NEK).
Se grafisk fremstilling.Merk at denne grafiske fremstillingen fortsatt er under utarbeidelse.