Tilbake

IKT-administratorens ønskeliste

Et enkelt ønske er å kunne forhindre uønskede hendelser grunnet manglende informasjonssikkerhet i kraftsektoren. Informasjonssikkerhet står sentralt i sikker betjening og drift av installasjoner i elektrisitetsnettet. Likevel administreres ikke alltid brukerkontoer, id’er og passord til enheter i installasjonene så godt som de burde hevder internasjonale eksperter. Den perfekte løsningen for aktørenes IKT-løsninger ville ha vært sentral styring av alle brukerkontoer med «rollebasert tilgangskontroll», men er det mulig å kunne innfri dette ønsket?

IKT Sikkerhet

Denne artikkelen er blant annet basert på en artikkel i IEC e-tech – les hele artikkelen her.

Mange brukerkontoer administreres ikke godt nok

Det viser seg at standard brukernavn og passord i mange tilfeller beholdes på maskiner i industrielle installasjoner. I andre tilfeller deles brukernavn og passord mellom ansatte. Fra et informasjonssikkerhetsperspektiv innebærer dette en uakseptabel og høy risiko for at uvedkommende skal få tilgang. Begge de nevnte eksemplene kan gjøre håndteringen av kontrollsystemene til et mareritt for eierne.

Teknologiske endringer gir driftsmessige fordeler, men også økt risiko

Automatisering i understasjoner, samt i vern- og kontrollsystemer gjennomgår store endringer. Systemene kobles i større grad sammen og gir tilgang til mer informasjon fra prosessen enn tidligere. Noe som gir selskapene bedre muligheter for økt påregnelighet og leveringskvalitet i deres strømleveranser.

Sammenkobling og informasjonsutveksling i, og mellom, lokalkontrollanleggene er mulig blant annet takket være  IEC 61850 seriesCommunication networks and systems for power utility automation, og IEC 60870-5-104, Telecontrol equipment and systems – Part 5-104: Transmission protocols – Network access for IEC 60870-5-101 using standard transport profiles, og ved å bygge videre på velprøvd ethernetteknologi.

Endringene gir, og har gitt, selskapene store driftsmessige fordeler, men utsetter dem samtidig for nye trusler innenfor informasjonssikkerhet på grunn av flere maskiner/«ting» og økt bruk av kommunikasjonsnett. Se også rapport hos NVE om det pågående teknologiskiftet i energiforsyningen.

Uforsiktig praksis gir lett tilgang

Mangfoldet i automatiseringsnettene bidrar til å komplisere oppgaver med vedlikehold av brukernavn og passord. Dette er en av grunnene til at fabrikkinnstillingene ofte beholdes, men medfører altså en uønsket risiko for at en eventuell angriper får enklere tilgang til systemene.

Selv om systemene ofte logger hendelser og hva som er utført, er det ikke enkelt i ettertid å finne ut hvem som utførte de uønskede aktivitetene hvis de begås med et standard eller felles brukernavn. 

IKT-administratorens ønskeliste

Mange netteiere og IKT-administratorer ville sette pris på disse gavene, for å kunne starte det nye året med å si at risikoen for innbrudd vil være lavere i 2017 enn i 2016.

Tilgang til:onskeliste

  • Enkel administrasjon av brukerkontoer
  • Opprettelse av alle tilganger og tillatelser til en nyansatt fra et sentralt punkt
  • Deaktivering og fjerning av alle autorisasjoner fra et sentralt punkt når en ansatt forlater selskapet
  • At endringene umiddelbart blir utført på alle produkter fra forskjellige leverandører i hele organisasjonen
  • Ingen bekymringer for at standard fabrikkinnstilte brukernavn og passord forblir aktive, eller at lokale PC’er/maskiner/«ting» ikke har muligheten for sentral administrasjon

Industrien gjør seg klar

Ved blant annet å følge kravene fra North American Electric Reliability Corporation – Critical Infrastructure Protection (NERC-CIP) Standards og en rekke andre krav til informasjonssikkerhet så er industrien i ferd med å finne en felles vei mot fremtiden: IEC TS 62351-8Power systems management and associated information exchange – Data and communications security – Part 8: Role-based access control. Denne tekniske spesifikasjonen beskriver hvordan leverandører skal implementere og levere rollebasert aksesskontroll (RBAC) til sine kunder.

Mulig løsning

Et kontrollsystem må administreres for å kunne sikre det som en levedyktig infrastruktur. Dette innebærer at alle enheter holdes kontinuerlig oppdaterte.

Forvaltningen av en policy om informasjonssikkerhet kan bli kompleks. Derfor trenger IKT-administratoren god støtte i sine softwareapplikasjoner. Et rollebasert aksesskontroll-system er en slik applikasjon. Et RBAC-system for elforsyningen, basert på IEC 62351-8, gir administratoren muligheten for en sentral forvaltning av alle systemer, brukere og roller.

NVE setter krav, og NEK har normene som anbefales brukt for å innfri kravene

I Norge setter NVE klare krav til elforsyningen gjennom beredskapsforskriften og «Måle- og avregningsforskriften». Forskriftene og deres veiledere viser til bruk av gjeldende standarder for etterlevelse av kravene, og NEK sørger for at norske krav og forhold blir hensyntatt i utviklingen av standardene. KraftCERT er videre en støtte for hele kraftbransjen både i forebyggende arbeide og i håndtering av hendelser.

Relaterte artikler

Se alle nyheter

Utmerkelse til nordmenn

Dato
23.05.2022

Gratis NEK 399 seminar i Trondheim!

Dato
10.05.2022

Nærmere 1.200 påmeldt gratis webinar 5. mai

Dato
28.04.2022