Arbeidet med KraftCERT går fremover

Kraftbransjen utgjør en viktig del av kritisk infrastruktur. KraftCERT skal bidra til at sannsynligheten for uønskede IKT-hendelser og konsekvensene av de som inntreffer reduseres.

Bakgrunn for opprettelsen av KraftCERT

 

Samfunnet opplever en økende trussel mot kritisk IKT-infrastruktur – fra ulike grupperinger og med ulike motiver, fra økonomiske motiver til sabotasje eller illegitim informasjonsinnhenting.


Kraftbransjen utgjør en viktig del av kritisk infrastruktur, og vi har den senere tiden observert en økende «interesse» fra ulike ikke-vennligsinnede grupperinger. Det er også endringer i måten nettene våre bygges opp, som gjør at prosesstyringen vår blir mer sårbar for angrep. Bransjens IKT-risiko er derfor økende – for hele bransjens virksomhet generelt og spesielt mot de delene av virksomhetene som overvåker og styrer nett og produksjonsapparat. Sikkerhetshendelser i andre store norske bedrifter og i utenlandske store energiforetak støtter også oppunder dette.


Fra myndighetenes side har NVE bedt bransjen om å iverksette tiltak for å bedre sikkerheten innenfor prosesstyringen, med spesielt fokus på raskt å kunne oppdage og håndtere uønskede IKT- hendelser. Også nasjonal strategi for informasjonssikkerhet omhandler temaet gjennom: «IKT-varslingsmiljøer med en grunnleggende kapasitet til å koordinere og håndtere uønskede IKT-hendelser skal finnes i alle samfunnssektorer (for eksempel som en sektor-CSIRT), og i de viktigste virksomhetene som understøtter samfunnskritiske funksjoner. Disse varslingsmiljøene skal være strukturert slik at man tar hensyn til sektorens bruk av IKT-infrastruktur, hvordan infrastrukturen i sektoren er bygget opp og hvordan denne styres» (Regjeringen, 2012).


Statnett, Hafslund og Statkraft har en intensjonsavtale om å sørget for at en «KraftCERT» blir etablert for å forbedre kraftbransjens evne til å oppdage og håndtere uønskede IKT-hendelser. KraftCERT skal kunne yte råd og assistanse til kraftbransjen i Norge. Det er et mål om bred deltagelse fra den norske kraftbransjen.

 


Mandat


KraftCERTs oppgave er å bistå medlemmene, slik at sannsynligheten for uønskede IKT-hendelser og konsekvensen av de som inntreffer reduseres. Dette skal gjøres gjennom å:

 

  • Motta sikkerhetsrelevante hendelsesdata fra medlemmenes IKT-infrastruktur

 

  • Motta informasjon fra relevante eksterne aktører

 

  • Analysere informasjonen for å kunne

 

  • Identifisere hendelser eller

 

  • Identifisere eksisterende eller fremtidige trusler

 

  • Assistere medlemmene i håndtering av hendelser.

 

Der det er hensiktsmessig skal KraftCERT også jobbe med forebyggende tjenester, deriblant å hjelpe til å utforme standardiserte "best practices"-dokumentasjon på forskjellige områder.


Fordelen med å ha en sektorbasert tjeneste er at varsler, hendelsesbeskrivelser og annen trusselinformasjon blir innhentet spesielt på grunn av relevansen for sektoren, som igjen gir større mulighet for deteksjon av hendelser nasjonalt i vår sektor og i tillegg fjerner mye støy som til daglig preger en del av informasjonsbildet. KraftCERTen skal ikke være et generelt analysemiljø av informasjonssikkerhetstrusler men konsentrere seg om sektoren.

 


Funksjon

Tanken bak er at dette skal være en tjeneste som aktørene i bransjen kan abonnere på for et relativt lite beløp. Grunnen til at man vil dele kostnadene er at man ikke er offentlig finansiert og i tillegg kan det være uheldig om tjenesten er totalfinansiert av noen få selskaper, man ønsker å opprette et organ som kan operere uhildet i sektoren.


KraftCERT sitt kontaktpunkt inn i selskapene vil være gjennom selskapets egen hendelseshåndteringsfunksjon, og disse vil samarbeide i håndteringen av hendelser da det verken er praktisk eller praktisk mulig for en funksjon som KraftCERT å håndtere internhendelser i selskapene alene eller å være on-site for hendelser. KraftCERT kan dog unntaksvis håndtere hendelser on-site hvis de har kapasitet eller hvis de ser det hensiktsmessig.


Tjenesten skal gi medlemmene bedre tilgang til spesialistkompetanse ved kompleks hendelseshåndtering, og derigjennom bidra til bedre generell beredskap ved vanskelige/kritiske hendelser og bistå alle til å bedre etterleve bfe §7-7.


Litt mer utdypende om tjenesten:

 

  • Opprette samarbeid med andre CSIRT, herunder særlig NorCERT, og tilsvarende funksjoner i Norge for informasjonsdeling

 

  • Opprette samarbeid med utenlandske CSIRT og andre som kan ha relevant informasjon

 

  • Holde seg generelt oppdatert på trusler, sårbarheter og utnyttelser av sårbarheter som er relevant for sine medlemmer, blant annet gjennom å opprette kontakt med produktsikkerhetsgrupper hos relevante leverandører.

 

  • Varsle medlemmer om pågående kampanjer, hendelser og annet som kan være relevant for flere

 

  • Vedlikeholde kontaktnettverk for kommunikasjon med medlemmene i forbindelse med hendelser, gjennomførte tiltak og skadeforebygging

 

  • Gi støtte til medlemmer som er utsatt for hendelser. Det kan være gjennom spesialistkompetanse, forslag til tiltak og for eksempel støttefunksjoner som loggføring.

 

  • Koordinere håndtering av hendelser som rammer flere aktører innenfor kraftbransjen

 

  • Være mulig kontaktpunkt for henvendelser fra pressen for medlemmer som ikke er rammet. I noen tilfeller vil en hendelse som rammer et medlem skape mange spørsmål til andre medlemmer, og slike mer generelle henvendelser kan henvises til CERTen. KraftCERTen vil da ikke uttale seg på vegne av medlemmet, men mer generelt om trusselen, sårbarheten, tiltak eller andre aspekter ved hendelsen.

 

  • Dersom et medlem ønsker det, kan KraftCERTen uttale seg til media på vegne av medlemmet i forbindelse med hendelser. Dette gjøres imidlertid kun på forespørsel og for den konkrete hendelsen forespørselen gjelder.

 

  • Bistå i organiseringen av øvelser og legge til rette for informasjonssikkerhetsøvelser på tvers av selskapene

 

  • Bistå i utforming av dokumentasjon for sektoren der det viser seg å være et generelt behov, f.eks. ved utforming av kravspesifikasjoner eller best practices/rutiner. Dette må selvsagt behovsprøves slik det er klart at det er et generelt behov.

 


Forankring

Det er viktig at en slik funksjon har så bred forankring som mulig, og man har derfor en referansegruppe som skal kunne bistå kvalitetssikringen av opprettelsen av denne funksjonen. I tillegg vil det bli informert jevnlig i forskjellige fora om progresjon og man vil hele tiden i prosessen være åpen for innspill om KraftCERT, være seg organisering eller tjenestenivå eller omfang.

Publisert - Sist oppdatert