Det var fullsatt sal hos NVE på mandag denne uken, og sikkerhetsressurser fra hele bransjen var til stede. Fra Nettalliansen var vi fem representanter. Program for dagen
Oppsummering av dagen
Dagen startet med velkommen fra NVE og RME, som var svært fornøyde med oppmøtet. Raskt etter kom Are Jacobsen fra Gassco på banen. Her fikk vi en gjennomgang på truslene, utført sabotasje og planer fremover med tanke på dagens sikkerhetspolitiske situasjon. Han poengtere at de (på lik linje med Nettselskapene) har gått fra å håndtere HMS til å måtte sikre på en helt ny måte. Kompetansen var ikke der fra før, så de har måttet tilegne seg denne kompetansen. Dette er kostbart i form av både ressurser og tid.
KraftCERT var neste ut med en oppdatering på trusselbilde. Det er fortsatt færre angrep enn «vanlig», dette grunnet at store deler av aktørene er i krigføring. Dette er det overordnede trusselbilde i stikkordformat:
- Russland samler informasjon
- Kina vil ha teknologi som gir fortrinn
- Leverandørkjedeangrep er en svakhet, og flere av angrep har skjedd uten at det har blitt kjent
KraftCERT ønsker at bransjen ser på de som en rådgivende part, og stiller de spørsmålene/vurderingene de sliter med å få besvart på egenhånd.
Arne Roar Nygård fra Elvia tilegner seg i disse dager kompetansen på cybersikkerhet som bransjen sårt trenger. Han deler sine funn fra doktorgradsforskningen sin, og har hovedfokus på leverandørsikkerhet i sin presentasjon. Han får frem viktigheten av at leverandørkjeden må sees på som en helhet, og at alle ledd må vurderes sammen. Dette er noe Nettalliansen også må ta med seg i revisjon av leverandører, og håper å kunne samarbeide med flere fra bransjen på dette punktet.
«Den største trusselen mot god tenkning om beredskap, er troen på at fortiden gjentar seg». - Arne Roar Nygård
Både før og etter lunsj var Lars-Erik Smevold fra Statkraft på, med fokus på maskinvaretrusler og sikkerhet. Han stiller spørsmålet: Er vi rigget for en aktør som har til hensikt å bruke oss? En av svarene til dette er bevissthetsgjøring. Vi må gjøre sikkerhet til noe iboende i oss, ikke noe vi gjør i tillegg til alt annet. Dette er noe de aller fleste fortsatt streber etter, og vi må fortsette å gjøre det gode arbeidet vi gjør ved å holde oss oppdatert på trusler og kurse de ansatte.
NVE og RME hadde hvert sitt innlegg angående regulering av sikkerhetskrav, fra de var Jon-Martin Storm (NVE) og Catharina Hovid presantører (RME). NIS 1 og NIS 2 var oppe til diskusjon. Det som kommer frem i NIS 1 er allerede implementert i Kraftberedskapsforkriften, mens eventuelle endringer og nye input fra NIS 2 ikke er fastsatt enda. Slik det ser ut per nå er det svært lite som vil endre seg med NIS 2, til tross for at alle samfunnskritiske med fler enn 50 ansatte blir underlagt NIS 2.
Eli Sofie Amdam fra Advisense gikk til verks på «Hvordan drepe en papirtiger», og da innenfor internkontroll for cybersikkerhet. En papirtiger er dokumentasjon, gjerne i PDF-format, som aldri brukes. Det som ligger overflødig som beskrivelse, og ikke har en aktiv part, annet enn å bli oppdatert et par ganger i dens levetid. Hun traff hele salen i sine beskrivelser på disse funksjonsløse dokumentene, og kom med konkrete forslag til hvordan å gå frem for å skape en bedre internkontroll for cybersikkerhet. En sterk sikkerhetskultur må ligge i bunn, og for å få dette må disse punktene være høyt oppe:
- Ledere og mellomledere i front
- Roller og ansvar innenfor informasjonssikkerhet må presiseres (og alle har et ansvar)
- Opplæring i rutine, verktøy og sin rolle – med tanke på informasjonssikkerhet
- Positivt fokus – man kan gjøre mye for å sikre selskapet som hvilken som helst ansatt
Eli Sofie Amdam oppsummerte med at nøkkelen til suksess er kommunikasjon!
Bilde: Fra presentasjonen til Eli Sofia Amdam i Advisense
Tom Jøran Rønning i Statnett Redteam demonstrerte hvordan vi (alt for enkelt) kan komme oss inn i andres domene. Han brukte en Excel-fil og Phishingmail som utgangspunkt, deretter kunne han gjøre nærmest hva som helst bak murene til motparten.
NVE og RME avsluttet dagen med en åpen diskusjon rundt tilsynsmetodikk. Dette landet ikke på en konklusjon, men her kommer noen stikkord fra utvekslingen:
- Sertifisert testing under tilsyn
- Opptatt av å lære begge veier
- Få vekk papirtigere
- Pentesting/scan av selskapene
- NVE ønsker mer enn bare «vis oss» under tilsyn
Alt i alt en veldig spennende og innholdsrik dag, med godt fokus på gapet som fortsatt er der når det kommer til cybersikkerhet, spesielt innenfor leverandørkjeden.