For systematisk sikkerhetsarbeid henviser NVE til NSMs grunnprinsipper for IKT-sikkerhet. De ber virksomhetene som et minimum å sjekke status på IKT-systemene opp mot de 35 viktigste tiltakene, det vil si tiltakene i prioriteringsgruppe 1 og 2, og legger ved regneark med prioritering av tiltak. Forsvarets Operative Hovedkvarter har sendt ut en lignende e-post, med informasjon om øvelsen Cold Respons og ber om økt sikkerhet på grunn av situasjonen i Ukraina.
Nettalliansens IT-driftsleverandør er informert, og blitt forespurt å se på muligheter for ekstra tiltak i denne perioden. Vi har også bedt om felles utsendelse av informasjon til selskapene på de punktene hvor de har kontrollen.
Enkel leksjon ut til ansatte
Vi har en egen leksjon knyttet til IKT-sikkerhet i situasjonen vi er i, som kan deles med alle ansatte. Dette er en enkel leksjon, og man kommer i gang ved å bare klikke på denne linken: Spent situasjon i Europa: Nå trenger vi STAR-atferd
NVE's særskilte anbefalinger
NVE har fremhevet 8 tiltak som KBO-enhetene bør ha fokus på. Nettalliansen har utarbeidet mye materiell på IKT-sikkerhet som bør repeteres i denne perioden. Vi linker til det relevante materiellet under punktene til NVE:
- Kontrollere rutiner for sikkerhetskopiering og gjenoppretting
- Informer selskapsspesifikke leverandører om dette, og gjennomfør det selv der dere har mulighet.
- Gjennomgå beredskapsplanene for større IKT-hendelser og oppdatere kontaktlistene
- Ta gjerne kontakt med oss eller andre for IT-sikkerhetsråd ved anskaffelser i disse dager
- Gjennomføre sikkerhetsoppdateringer når disse foreligger
- Se Rutine for å oppdage, registrere og forhindre uautorisert tilgang, oppdater kartlegging av sensitiv informasjon og gjennomfør ledelsesinstruks - kontohygene og bruker detektiv
- Understreke «phishing»-faren for virksomhetens medarbeidere
- Se Datatilsynet sin informasjon om Phishing. Informer alle ansatte om risikoen ved dette. Som eksempel se hva Liv Margot Sviland i Jæren Everk har sendt på mail til alle sine medarbeidere.
- Gå gjennom bruker- og systemkonti, og sjekke om alle er relevante
- Informer selskapsspesifikke leverandører om dette, og gjennomfør det selv der dere har mulighet.
- Vurdere risiko ved systemutvidelser og -endringer ekstra nøye, og eventuelt utsette
- Se innsatsplaner tilgjengelig både i CERTUS-prosjektet og Teknisk IKT-sikkerhetsprosjekt.
- Kontrollere at systemovervåkning og logging er påslått og tilgjengelig
- Informer selskapsspesifikke leverandører om dette, og gjennomfør det selv der dere har mulighet.
- Varsle KraftCERT ved deteksjon av mistenkelig eller ondsinnet nettverksaktivitet (ref. «Retningslinjer for varsling og rapportering – versjon 2021», side 4).
- NB! Ved IKT-sikkerhetshendelser som forårsaker ekstraordinær forsyningssvikt gjelder i tillegg den beredskapsmessige varslingsplikten direkte til NVE, jf. kbf § 2-5.
- Kontaktinformasjon til KraftCERT
Ta kontakt med Hanne Johansen dersom dere lurer på noe, eller ønsker bistand i sikkerhetsarbeidet.