Det kan starte med at en servicemann fra en pumpeleverandør har med seg en minnepinne som han plugger inn for å kjøre oppdatering. Hvis denne minnepinnen ikke er sjekket vil den kunne medføre sikkerhetsrisiko. Det er nemlig fort gjort å glemme at utstyr og elektronikk som leverandørene har med seg innenfor portene kan inneholde skadelig programvare og danne fotfeste for videre angrep.
Angrep på samfunnskritisk industri (OT) skiller seg nemlig fra angrep på vanlige datsystemer (IT) ved at man ofte velger å gå omveier og ikke via internet. Hvis styresystemene på f.eks. en pumpe er kontrollert av tredjepart kan dette utløse overdosering, stans eller i verste fall et sammenbrudd i systemet.
OT systemer skiller seg dessuten fra IT-systemer ved at man har andre kommunikasjonsstandarder og systemer. Å rigge gode systemer for beskyttelse av OT krever kompetanse og innsikt i virksomheten, hva som foregår, hvem som har tilgang og samspillet mellom det ulike systemene. Fra sky til gulv.
Med bakgrunn i den politiske sikkerhetssituasjonen anbefaler nå Nasjonal Sikkerhets Myndighet (NSM) at norske samfunnskritiske virksomheter, og særlig vannverk, tar en grundig sjekk og om nødvendig fatter grep om egen sikkerhet gjennom forebyggende og risikoreduserende tiltak.
– Som NSM påpekte i årets risikovurdering, må vi i mye større grad være bevisst risiko i samfunnet vårt. Det er viktig å sikre egne verdier og ta ned sårbarheter for å redusere konsekvenser av uønskede hendelser, sier NSMs direktør Arne Christian Haugstøyl.
I tillegg til oppdaterte beredskapsplaner, oppfordrer NSM norske virksomheter å etablere reserveløsninger for det virksomheten eller samfunnet ikke kan unnvære, og sørge for kapasitet til gjenoppretting. Sist, men ikke minst skal det være lav terskel for å varsle NSM om uønskede cybersikkerhetshendelser.
Uønsket
Bakgrunnen for oppfordringen er den aktivitet NSM har sett er blitt rettet mot digital infrastruktur knyttet til vannindustri, damanlegg og liknende i Norge. NSM er også kjent med tilfeller av uønsket aktivitet i det fysiske domenet.
– NSM kommenterer ikke enkelthendelser, men vi har varslet og fulgt opp de aktuelle virksomhetene. Videre har vi dialog med sektormyndighetene i utsatte sektorer som umiddelbart bør iverksette tiltak, sier Haugstøyl.
Motstand
Ved å dele åpent blir også virksomheter som ikke er underlagt sikkerhetsloven informert, og kan undersøke om de har tilstrekkelige tiltak på plass.
– Som sikkerhetsmyndighet er det vår oppgave å informere om sikkerhetstruende hendelser slik at norske virksomheter får iverksatt nødvendige tiltak. Formålet er å gjøre samfunnet mer motstandsdyktig, i tråd med nasjonal sikkerhetsstrategi, understreker Haugstøyl.
Anbefaler
NSM oppfordrer norske virksomheter til å sjekke at tiltakene under er innført i egen virksomhet. Innfør tiltak som ikke allerede er på plass.
- Det bør etableres god logging i digital infrastruktur knyttet til industrielle kontrollsystemer og OT.
- Komponenter av OT- eller industrielle kontrollsystemer bør ikke ha direkte fjerntilgang over internett. OT- og IT-nettverk bør segmenteres.
- Digitale flater som er eksponert mot internett bør ha oppdatert programvare, fastvare og maskinvare. Unødvendig funksjonalitet skal være avskrudd. Geoblokking bør brukes der dette er mulig.
- Det bør påkreves strenge autentiseringskrav og aksesskontroll med bruk av phishingresistent flerfaktor som for eksempel FIDO2 og/eller biometri.
- Virksomheter bør etablere og øve på planer for hendelseshåndtering for å redusere negative konsekvenser.
- Virksomheter som forvalter infrastruktur med industrielle kontrollsystemer og OT bør etablere en plan for å opprettholde tilstrekkelig kompetanse innen fagfeltet industriell cybersikkerhet.
- Slike virksomheter bør ha kjennskap til standarder som NEK 820:2021 «Cybersikkerhet for industrielle automatiserings- og kontrollsystemer» og/eller NIST SP 800-82 rev. 3 «Guide to operational technology (OT) security».
- Norske virksomheter innen olje-, gass-, og vannforsyning som forvalter verdier som er skjermingsverdig etter sikkerhetsloven må oppdatere risikovurderingen sin, og iverksette nødvendige tiltak for å møte risikoen.
- Virksomheter skal ha lav terskel for å varsle NSM eller sektorvise responsmiljøer om uønskede cyberhendelser
