DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III)

Transkript

1 DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III) 1

2 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN:

3 Introduktion Formålet med denne vejledning er at give en introduktion til de sikkerhedsmæssige udfordringer og løsninger ved at indbygge informationsteknologi i produkter og produktionsapparat. Vejledningen har fokus på produktionsapparatet. Der bliver dog også skelet til sikkerheden i produkter, i det omfang produkterne indgår i et andet produktionsapparat. Vejledningen ser ikke isoleret på produktionssikkerhed, men prøver at sørge for, at virksomhedens sikkerhed er på plads i alle dele af organisationen. Dermed udbredes sikkerhedsdisciplinen til ikke kun at adressere kontormiljøet, men også at komme rundt i de øvrige dele af virksomheden - særligt også produktionsapparatet. Målgruppen for vejledningen er danske virksomheder, som allerede har eller er i gang med at overveje, enten at bygge intelligens ind i deres eksisterende produkter eller at sætte deres produktionsudstyr på et netværk. Vejledningen falder i tre uafhængige dele. Første del henvender sig til virksomhedens direktion. Først gennemgås problemstillingen overordnet med fokus på de udviklingsmæssige tendenser og deres forretningsmæssige konsekvenser. Dernæst gennemgås den rolle, som ledelsen må forventes at indtage på området. Anden del af vejledningen henvender sig til de mellemledere i virksomheden, som har ansvaret for virksomhedens overordnede informationssikkerhed, virksomhedens produktionsapparat og virksomhedens produkter. Denne del udgør en konkret tjekliste rettet mod produktionsapparatet. Denne tredje del gennemgår på struktureret vis de forskellige sikkerhedsinitiativer, som bør tages overalt i organisationen. Denne del skal betragtes som en baggrundsrapport for andel del. Til slut i dokumentet findes en ordliste, som forklarer nogle af de organisatoriske eller tekniske begreber, der anvendes i denne vejledning. Vejledningen er udformet så den retter sig mod mellemstore og store danske virksomheder, men særligt del to kan med fordel læses af alle virksomheder, som har et eget produktionsapparat. Mellemlederens rolle og indsats Denne del af vejledningen om produkt- og produktionssikkerhed går i dybden med de forskellige anbefalinger, der er nævnt i vejledningens anden del. I denne del af vejledningen fremgår det, hvilke kilder der ligger til grund for anbefalingerne. Desuden fremgår det, hvordan man skal tænke produkt- og produktionssikkerhed ind en større sikkerhedsmæssig sammenhæng. Kontormiljøets sikkerhed må ikke stå alene - og det må produkt- og produktionssikkerhed heller ikke. Standarder og andre kilder Der findes ikke i skrivende stund og med vores kendskab en standard, som kan siges at dække emnet sikkerhed ved produkter og produktionsapparat. 3

4 Der findes imidlertid masser af standarder, best practises og lovgivning, der dækker dele af området. I forhold til at få styr på sikkerheden ved kontorsystemer kan især fremhæves ISO27000-serien 1, som kan bruges som inspiration til dette arbejde. Standarden udmærker sig ved at være holistisk og dækker bl.a. risikostyring, netværkssikkerhed, fysisk sikkerhed og personalesikkerhed, som også er relevant for produktog produktionssikkerhed 2. Der findes desuden en række amerikanske standarder, som adresserer området, i det omfang det betragtes som kritisk infrastruktur. Flere af disse er imidlertid relateret til konkrete sektorer. Blandt disse kan fremhæves NERC's CIP standard 3, som gælder el-forsyning. Også her gennemgås risikoanalyse, sikkerhedskontroller, personalesikkerhed, fysisk sikkerhed m.v., og det ser ud til at NERC et godt stykke hen af vejen har lænet sig op af ISO Med udgangspunkt i lovgivning om national beskyttelse kan man nævne FISMAs 4, som er baseret på en række standarder, der laves af NIST 5. Nogle af disse er meget detaljerede, og hele 800-serien handler om forskellige aspekter af sikkerhed 6. På lovgivningssiden kan man fremhæve sundhedssektorens HIPAA 7 s sikkerhedskrav 8, som berører administrativ sikkerhed, fysisk sikkerhed og teknisk sikkerhed. I tilknytning til disse findes der også særlige privacy krav. I forhold til produktionssikkerhed har særligt ICS-systemer (SCADA, DCS og PLC) interesse. På dette område findes der flere amerikanske vejledninger - bl.a. NISTs "Guide to Industrial Control Systems (ICS) Security" 9 (meget omfattende) og "21 Steps to Improve Cyber Security of SCADA Networks" 10 fra US Department of Energy. Den amerikanske CERT funktion, US-CERT, kører under "Control System Security Program" et særligt "Industrial Control Systems Cyber Emergency Response Team" 11, der har lavet en række vejledninger på området 12, hvor især "Catalog of Control Systems Security: Recommendations for Standards Developers" 13, skal fremhæves (også meget omfattende). Endelig findes der blandt leverandørerne af denne type systemer en række vejledninger af mere eller mindre generel karakter. På europæisk plan er 1 Information Security Management Systems standarder 2 Hvis man i stedet bare vil have en kort og relativt operationel tjekliste over punkter der skal overvejes kan man tage udgangspunkt i NIST http://csrc.nist.gov/publications/nistpubs/800-27A/SP RevA.pdf. Den kan evt. suppleres med NIST , som giver et overblik over hvordan NIST tjeklisterne hænger sammen og hvilke typisk forhold man skal adressere i organisationer af forskellig type, rev2/sp rev2.pdf. 3 North American Electric Reliability Corporation, der har lavet Critical Infrastructure Protection standarden. 4 USAs Federal Information Security Management Act 5 National Institute of Standards and Technology USAs Health Insurance Portability and Accountability Act

5 der i skrivende stund ikke lavet ret meget materiale. ENISA 14 har dog ultimo 2011 lavet en undersøgelse af problemstillingen og givet en række anbefalinger til, hvordan vi i Europa kan komme videre 15. På baggrund af disse kilder, i kombination med de erfaringer virksomheder i DI's medlemskreds har gjort sig på området, er det muligt at opstille en række punkter, som virksomhederne skal være opmærksomme på at få adresseret, og som kan bidrage til at håndtere sikkerheden i forbindelse med produkter og produktionsapparat. Samarbejde og inddragelse af faglige kilder De mellemledere, der har fået ansvaret for sikkerheden mht. kontormiljø, den fysiske sikring, produkter og produktion, bør samarbejde og videst muligt omfang følge den samme tilgang til området. I det omfang der eksisterer standarder og best practises på deres eget fagområde, bør disse anvendes som inspiration til arbejdet - f.eks. ISO27000-serien der hidtil primært er tænkt som rettet mod kontormiljøet og den omtalte "Guide to Industrial Control Systems (ICS) Security" for produktionsmiljøet. Samarbejdet bør følge en ledelsesmodel, og her peger ISO27000-serien på det såkaldte Information Security Management System, ISMS. Det er tre krav til sådant et ISMS. For det første skal der være en række formelle dokumenter, som dokumenterer ISMS'et. Disse skal bl.a. "dokumentere formål, omfang, politikker, procedurer og kontroller, metodologien for risikovurderingen, rapporteringen og behandlingen af risici, procedurer for effektiv drift af ISMS'et, erklæring om anvendelsen af ISMS'et og andre ting" 16. For det andet skal ledelsen vise sin tydelige opbakning til ISMS'et. Og for det tredje skal udviklingen, driften og vedligeholdelsen af ISMS'et foregå via Plan-Do-Check-Act-modellen. Ifølge denne model skal man i "Plan"- fasen tilvejebringe sit ISMS ved at lave politikker, målsætninger, processer og procedurer, som er relevante for at styre risici og forbedre sikkerheden. I "Do"-fasen implementerer og drifter man disse. I "Check"-fasen vurderer man, om processerne er i overensstemmelse med ISMS-politikkerne, og denne lære rapporteres til ledelsen. I "Act"-fasen laver man løbende justeringer og forebyggende tilpasninger af ISMS således, at dette bliver kontinuerligt forbedret 17. I denne proces vil virksomhedens sikkerhedsmodenhed hele tiden blive forbedret. Disclaimer I denne vejledning findes en liste over forhold, som mellemlederne bør adressere. Det er vigtigt at understrege, at denne vejledning på ingen måde hævder at være udtømmende for de udfordringer, der bør adresseres. Vejledningen hævder heller ikke at alle elementer i denne vejledning er relevante i alle sammenhænge. I en række tilfælde vil udstyr på virksomheden være så gammelt, at det ikke giver mening at foretage nogle af de nævnte tiltag. I andre tilfælde være virksomheden være underlagt kontrakter med leverandøren, som ligeledes umuliggør tiltag. 14 European Network and Information Security Agency 15 recommendations-for-europe-and-member-states/at_download/fullreport 16 "Forøg virksomhedens informationssikkerhed", p. 25, 17 Der kan læses mere om modellen i "Forøg virksomhedens informationssikkerhed", pp , 5

6 Vejledningen kan altså bruges som inspiration i kombination med sund fornuft og hensyntagen til lokale forhold. Systematiseret oversigt Nedenfor findes en systematiseret oversigt over faktorer, som har betydning for sikkerheden, og som mellemlederne bør overveje at adressere. Metodisk er der en række hovedpunkter, som stammer fra nogle af de ovenfor angivne kilder. Der er på overordnet plan forsøgt at lave en mapning mellem nogle af de omtalte standarder / best practises. Mappingen baserer sig dels på egen udredning og dels på udredningen fra DI's medlemmer og materiale fundet på internettet. Ved første hovedpunkt findes en fodnote, som forklarer, hvordan henvisningen skal læses. For hvert hovedpunkt specificeres et overordnet formål, som tager udgangspunkt i understøttelse af forretningens behov. Herefter følger en række gode råd til, hvad der i praksis skal gøres på området. Dette kan læses som kontroller, der bør implementeres i virksomheden. Der er i denne tekst ikke en komplet gennemgang af alle foreslåede kontroller fra de forskellige kilder! Nærværende vejledning er IKKE en compliancevejledning. Punkterne afspejler hovedsubstansen i de forskellige kontroller. Såfremt en virksomhed ønsker at skabe compliance med en af standarderne henvises der til, at man selv læser de angivne kilder. Igen er det imidlertid vigtigt at understrege, at punkterne vælges under anvendelse af sund fornuft og lokale hensyn. Afslutningsvis er der for hvert hovedpunkt eventuelt nogle bemærkninger, som er kendte problemer indenfor det pågældende hovedområde, som særligt bør adresseres. Oversigten er opsummeret i del 2 i dette sæt af vejledninger. 1. Organisering af sikkerheden og placering af ansvar CIP 003, ISO 17799:2000:4, ISO17799:2005:6, DS484:2005:6, ISO27002:2005:6 18 Formål: Ledelsen skal sørge for at sikkerhedsarbejdet er organiseret fornuftigt, således at alle i organisationen har fokus på sikkerhed og kender deres ansvar og efterlever procedurer i forbindelse med at passe på virksomhedens aktiver. Ledelsens ansvar, opbakning og synlige engagement til sikkerhedsarbejdet præciseres. Ledelsen udarbejder en governance-model på området. Der udpeges sikkerhedsansvarlige for følgende områder: o Kontormiljø o Fysisk sikring o Produktsikkerhed o Produktionssikkerhed De sikkerhedsansvarlige sørger for, at der etableres den fornødne organisation og de fornødne politikker og kontroller i virksomheden til understøttelse af governance-modellen. 18 CIP er opdelt i forskellige standarder og nummeret henviser til standardens nummer. ISO angives ved standardens nummer, herefter årstallet for udgivelsen (som bestemmer versionen) og til slut kapitlet i standarden. Tilsvarende for DS. 6

7 De sikkerhedsansvarlige sørger for, at virksomhedens politikker, generel lovgivning, sektorspecifik lovgivning, standarder og best practises overholdes. Der skal adresseres både interne og eksterne organisatoriske forhold. Bemærkninger: Det er vigtigt, at der lægges vægt på samarbejde mellem de sikkerhedsansvarlige, så de ikke arbejder isoleret for deres eget område på egne præmisser. De sikkerhedsansvarlige er typisk vant til at anvende et forskelligt sprog, have forskellige faglige referencer/kompetencer og hvis organisationen er stor repræsentere forskellige kulturer. Alle fire personer kan også have forskellige motivationer og er typisk presset fra forskellige steder i organisationen. Produktsikkerhedsmanden vil typisk være presset af at få produktet gjort færdigt, så sælgerne kan komme i gang - og dette kan reducere hensynet til sikkerhed. Produktionssikkerhedsmanden vil være presset af, at produktionen skal køre så stabilt og i så højt tempo som muligt - også dette kan reducere hensynet til sikkerheden. Som følge heraf kan det være nyttigt at overveje funktionsadskillelse, således at de omtalte sikkerhedsfolk rapporterer direkte til direktionen i stedet for alene til f.eks. en produktchef, en produktionschef eller en itchef. Den governance-model, som ledelsen lægger op til, kan f.eks. baseres på Cobit. Cobit er en best practise, som har til formål at sikre, at alle aspekter af IT understøtter virksomhedens mål. 2. Identifikation, klassifikation og styring af aktiver CIP 002, til dels CIP 007, ISO 17799:2000:5, ISO17799:2005:7, DS484:2005:7, ISO27002:2005:7 Formål: Virksomheden skal vide præcist hvilke systemer 19 og data, den er i besiddelse af, hvilken betydning systemer og data har for virksomhedens forretning, og sikre, at der ikke befinder sig uvedkommende udstyr på virksomhedens netværk. Alle systemer skal identificeres og dokumenteres mht. type, placering, producent, modelnummer, serienummer, version, installationsdato, netværksadresse, hardwareadresse og seneste dato for test og vedligehold. Alle systemer skal klassificeres (ud fra forretningens behov), og der skal identificeres en systemejer. Informationer og data skal ligeledes identificeres og klassificeres, og en dataejer skal identificeres. Foruden systemer, informationer og data kan det overvejes at klassificere fysiske aktiver, serviceaktiver, menneskelige aktiver og immaterielle aktiver (f.eks. omdømme). Bemærkninger: Klassifikation er på den ene side helt grundliggende for et solidt sikkerhedsarbejde, og på den anden side så tung en opgave at de fleste virksomheder fravælger den på forhånd. Det anbefales, at man anvender et tre trins raket: 19 Et systemaktiv er f.eks. et brugersystem eller et styresystem. Et system er lagret på et fysisk aktiv f.eks. en server eller en PLC. Systemet er et aktiv i sig selv og kan flyttes mellem fysiske aktiver, der også er et aktiv i sig selv. 7

8 o Start med at identificere, hvad der baseret på intuitiv sund fornuft ser ud til at være de allermest kritiske systemer og data i virksomheden. For disse systemer og data iværksættes de øvrige initiativer i denne vejledning. o Gå herefter systematisk til værk og gå fra afdeling til afdeling og identificer alle systemer og klassificer dem sammen med en udpeget systemejer. o Gentag punktet for data for hver afdeling. Til brug for informations- og dataklassifikation kan anvendes Statsministeriets sikkerhedscirkulære 20. Når man alligevel er i gang med at indsamle oplysninger til brug for klassifikationen, kan man lige så godt indsamle oplysninger til brug for beredskabet samtidig: Hvor og hvor hurtigt skal systemer og data være tilgængelige igen. 3. Risikoanalyse CIP 002, ISO 17799:2000:intro, ISO17799:2005:4, DS484:2005:4, ISO27002:2005:4 Formål: Virksomheden skal vide, hvor de største risici for forretningen ligger og dermed sættes i stand til at beskytte forretningen bedst muligt gennem korrigerende tiltag. For hvert aktiv vurderes det: o Hvilke konsekvenser det har at aktivet ikke er tilgængeligt, ikke kan opretholde fortrolighed, og ikke kan opretholde integritet o Hvilke trusler aktivet står overfor, og hvilke sandsynligheder der er for at truslerne realiseres. o Hvilke korrigerende tiltag der allerede er taget for at beskytte aktivet. De korrigerende tiltag kan være af typen: forebyggende, begrænsende, opdage, afhjælpe og forsikring. o Og på baggrund af ovenstående konkluderes det, hvor sårbart aktivet er overfor truslerne og dermed hvilken risiko virksomheden står overfor. På baggrund af vurderingen af aktivers risici skal der foretages korrigerende tiltag - herunder tekniske (drift og netværk), policymæssige eller personalemæssige tiltag. Der foretages til slut en gab-analyse, som viser hvilken restrisiko, der står tilbage, og som ledelsen skal acceptere. Risikoanalysen bør inddrage de vigtigste processer i virksomheden. Bemærkninger: På nettet findes der masser af skabeloner for at foretage risikovurderinger. Eksemplerne inkluderer ISO-standarderne og OCTAVE. For at få en systematisk tilgang til vurdering af truslerne anbefales det at anvende OCTAVEmodellen 21 : Personrelaterede trusler, Systemmæssige trusler og trusler udenfor virksomhedens kontrol og DI og DI ITEKs vejledning: "Trusler mod virksomhedens IT-sikkerhed", 8

9 4. Sikkerhedspolitikker CIP 003, ISO 17799:2000:3, ISO17799:2005:5, DS484:2005:5, ISO27002:2005:5 Formål: Der skal laves en sikkerhedspolitik, som beskriver, hvordan sikkerhed understøtter virksomhedens forretning og hvilke krav ledelsen stiller til sikkerheden. Sikkerhedspolitikken skal indeholde en beskrivelse af, hvordan forretningen understøttes og signalere ledelsens opbakning. Desuden skal den indeholde definitioner, rammer for retningslinjer, risikovurderinger og kontroller, beskrivelse af organisation og ansvarsplacering, konsekvenser ved overtrædelse, henvisning til kilder og lovgivning. Sikkerhedspolitikken suppleres med uddybende retningslinjer, som beskriver virksomhedens regler, procedurer og kontroller på afgrænsede områder. Bemærkninger: Sikkerhedspolitikken skal generelt forfattes relativt kortfattet, ellers kan man ikke forvente, at den bliver læst. Det mere substantielle indhold kan beskrives i retningslinjer under politikken og målrettes relevante parter i og udenfor virksomheden Der kan foretages løbende tests af de ansattes kendskab, forståelse og efterlevelse af politikken. 5. Personalesikkerhed og træning CIP 004, ISO 17799:2000:6, ISO17799:2005:8, DS484:2005:8, ISO27002:2005:8 Formål: Det skal sikres, at personalet sættes i stand til at efterleve politikken. Ved nyansættelser bør der ske verifikation af ansøgninger, og det skal ved samme lejlighed vurderes, om der skal indhentes straffeattester, og om der kræves sikkerhedsgodkendelse. Samtidig skal sikkerhedspolitikken og eventuelle relevante uddybende retningslinjer udleveres, og det skal sikres, at den nyansatte forstår sit ansvar i forhold til sikkerheden. Under ansættelsen skal det løbende vurderes, om den ansatte har den relevante uddannelse og træning til at opretholde eller forbedre sikkerhedsniveauet. Ved rotation i virksomheden skal kun de fornødne privilegier (f.eks. rettigheder til data og programmer samt fysisk og logisk adgangskontrol) være til rådighed, og der skal altså være procedurer for at rykke rundt på disse. Når ansættelsen afsluttes skal privilegier inddrages tillige med eventuelt udleveret udstyr. Det bør løbende sikres, at den ansatte har det fornødne kendskab, forståelse og evne til at efterleve virksomhedens sikkerhedspolitik og relevante uddybende retningslinjer (Awareness test). Eksterne konsulenter og leverandører, der har sin gang i virksomheden, bør underskrive sikkerhedspolitikken, og deres privilegier skal løbende vurderes. Bemærkninger: Ved ansættelsens afslutning kan der være situationer, hvor medarbejderen ikke er tilfreds med sin snart forhenværende arbejdsplads. Det bør vurderes, om medarbejderen kan være til skade for virksomheden og i givet fald om man skal overveje at fritstille medarbejderen eller rotere vedkommende til en anden mindre sårbar stilling. 9

10 6. Elektronisk sikkerhedsperimeter og adgangskontrol CIP 005, ISO 17799:2000:9, ISO17799:2005:11, DS484:2005:11, ISO27002:2005:11 Formål: Den logiske adgang til virksomheden skal begrænses efter et behovsprincip, således at uønskede personer ikke får adgang til systemer og data. Den elektroniske perimeter skal dokumenteres, og adgang gennem perimeteren skal ske gennem få og vel beskyttede porte og services. Al trafik skal overvåges, og uønsket trafik skal blokeres. Der skal være procedurer for udstedelse og inddragelse af adgang, og adgang skal kun ske gennem to-faktor autentifikation og evt. begrænses til kendte hosts - hvad enten disse sidder indenfor eller udenfor virksomhedens perimeter. Brugernes skal informeres om deres rolle i beskyttelse af adgang - herunder om opbevarelse af password, anvendelse af eksterne lagermedier m.v. Netværk skal segmenteres, og det skal overvejes, om der overhovedet skal være netværksadgang til særligt forretningskritiske systemer. Trådløs adgang skal beskyttes gennem kryptering og uden at broadcaste SSID. Generelt skal al klassificeret trafik, der krydser sikkerhedsperimeteren - den ene eller anden vej - krypteres. Der skal løbende foretages sårbarhedsvurdering og vurderinger af nødvendigheden af åbne porte og services. Adgang skal overvåges og logges, og loggen skal gemmes i en periode. Der skal forefindes dokumentation og vedligehold. Bemærkninger: Uanset hvor gode procedurer virksomheden har, vil der altid være brugere, som ikke nedlægges i rette tid eller brugere, som har for bred adgang i forhold til deres job. Der er derfor nyttigt løbende at gennemgå brugernes adgangsrettigheder. Eksterne leverandører (outsourcing partnere) vil i en række sammenhænge have behov for at få adgang til systemerne. Der skal forefindes en politik for, hvordan og under hvilke omstændigheder en sådan adgang må finde sted - ikke mindst for at sikre, at de ikke selv finder adgangsmuligheder. 7. Fysisk sikkerhed CIP 006, ISO 17799:2000:7, ISO17799:2005:9, DS484:2005:9, ISO27002:2005:9 Formål: Den fysiske adgang til virksomheden skal begrænses efter et behovs-princip, således at uønskede personer ikke får adgang til virksomheden. Der skal forefindes en fysisk afgrænsning, som dokumenteres i en sikringsplan. Områder klassificeres, og der fastsættes forskellige niveauer af adgangskontroller, som er tilpasset klassifikationen af aktiver. Der skal etableres fysisk adgangskontrol med centraliseret elektronisk to-faktor autentifikation. Hvis dette ikke er muligt, skal der være streng kontrol med udstedelsen af nøgler. Al uautoriseret adgang skal forhindres. 10

11 Personer med daglig gang på virksomheden bør anvende fotoidentifikation. Al fysisk adgang skal overvåges og logges, og loggen skal gemmes i et bestemt tidsrum. Der skal findes dokumentation af adgangskontrollerne, og de skal løbende reviewes. Lokaler og udstyr skal sikres i overensstemmelse med deres klassifikation, og placeringen skal løbende revurderes. Det skal sikres, at udstyr kan forsynes med strøm, brændstof, råmaterialer, m.v. Adgangsveje for sådant input skal være hensigtsmæssigt placeret og sikret. Der skal løbende foretages vedligehold og test. Bemærkninger: Forsikring & Pension 22 har lavet mange vejledninger til, hvordan man i praksis kan gennemføre fysisk sikring. Der findes eksempelvis en oversigt over, hvilket sikringsniveau forskellige varegrupper bør have 23. Der findes også et egentlig Sikringskatalog, hvor de forskellige sikringsmetoder gennemgås grundigt og illustreret 24. NIST anbefaler konkret, at der anvendes smart cards som "Personal Identity Verification (PIV)". 8. Styring af netværk, drift og sikkerhed CIP 007, ISO 17799:2000:8, ISO17799:2005:10, DS484:2005:10, ISO27002:2005:10, NIST , NIST , (IEC , ISO/IEC TR ), ISO20000 Formål: Sikre den bedst mulige beskyttelse af virksomhedens elektroniske aktiver indenfor den elektroniske perimeter, så uønskede personer ikke får adgang til at stjæle eller ødelægge, og således at systemerne hele tiden kører optimalt. 8.1 Organisering af det daglige arbejde Der skal ske en adskillelse af udvikling, test og drift, således at driften i mindst muligt omfang risikerer at blive påvirket af uforudsete hændelser som fejl eller misbrug. Når der i driften implementeres nye elementer, som er blevet udviklet og testet, bør der være en fall-back plan, hvis noget mod forventning skulle gå galt. Det skal sikres, at der forefindes dokumentation af alle systemer, og at der iværksættes tiltag for vedligehold. Dette bør suppleres af self-assessments. Organiseringen i øvrigt skal være i overensstemmelse med afsnit Forsikring & Pension er det tidligere Skafor (Dansk Forening for Skadesforsikring), der lavede SKAFORklassifikationen Standard for "Industrial communication networks - Network and system security". Det har i skrivende stund været vanskeligt at få mere information om denne standard, da den tilsyneladende er under udarbejdelse og påtænkes sammenlagt med ISA ISO/IEC TR 19791:2006 Information technology -- Security techniques -- Security assessment of operational systems. Denne standard lægger sig efter sigende op af Common Criteria standarden, ISO/IEC 15408, men er rettet mod mere operationelle aspekter. Det ser dog ud til, at denne standard i skrivende stund ikke er gældende. 11

12 8.2 Drift Der skal foreligge driftsafviklingsprocedurer, som præciserer, hvem der må og skal foretage sig hvad i hvilke situationer. Hvem må f.eks. stoppe et produktionsudstyr? Hvem sikrer, at backup'en fungerer? Der skal ske styring af driften - herunder bl.a. løbende vurdering af kapacitet og ressourceforbrug, vurdering af nye teknologier og planlægning af kommende ændringer. Der skal være retningslinjer for ændringer af og på udstyret 27, som bl.a. beskriver ændringerne, planlægger hvordan de skal ske, redegør for konsekvenserne for andre systemer, placerer ansvar og indeholder en fall-back plan. Der skal laves retningslinjer for, hvor udstyr skal placeres og driftes fra - f.eks. i produktionsmiljø eller kontormiljø. For at kunne optimere den service, man leverer på IT-området til de ansatte, kan det overvejes, at organisere sin service efter de i ITIL 28 eller ISO20000 angivne strukturer. 8.3 Teknik Netværksarkitektur Virksomhedens netværk skal overordnet styres ud fra en helhedsbetragtning. Flere sikkerhedsstandarder peger på at gå frem efter (ISO/IEC18028). NIST anbefaler, at man anlægger en lifecycle betragtning og tænker sikkerhed ind lige fra designet af arkitekturen og videre over anskaffelse, installation, vedligehold og afskaffelse. Netværket bør opbygges således, at der som minimum er adskillelse mellem produktionsmiljøet og kontormiljøet 29. Adskillelsen kan være fysiske linjer, men kan også være VLAN. Alle forbindelser (kablede såvel som trådløse) til de enkelte miljøer skal kortlægges. Kun de forbindelser, som er nødvendige, skal opretholdes - resten lukkes. De mest forretningskritiske systemer skal være dem, der er bedst sikret på nettet. Produktionsmiljøet må ikke have adgang til internettet. Generelt skal der kun åbnes for de absolut nødvendige porte og services. Det skal kontrolleres, at der ikke (som standard) er åben for andre porte eller kører andre services end de nødvendige. Leverandøren har ofte installeret bagdøre, som kan give ham selv adgang til systemet. Virksomheden skal vurdere nødvendigheden af dette. I fald disse bagdøre skal forblive åbne, skal de sikres bedst muligt - herunder med stærk autentifikation og evt. med en call-back mekanisme (hvor systemet selv ringer tilbage til en bestemt og autentificeret kontakt). Generelt bør porte og services lukkes af adgang bør kun ske via VPN eller lignende teknologi, for at sikre at kun godkendte brugere kan kommunikere med enheder på netværket. Det kan overvejes at installere særlige firewalls, som ikke kun kigger på de enkelte pakker, men som også ser på pakken i sammenhængen med den kommunikationsstrøm, den indgår i (stateful inspection firewall). Særlige unit-maskiner, som har meget lidt kommunikation men behov for remote adgang, skal placeres på deres eget helt lukkede LAN, som kun giver adgang for remote værktøj. 27 Der tales generelt om change management procedurer og konkret om bl.a. konfigurationsstyring. 28 Information Technology Infrastructure Library 29 Produktionsmiljøet står over for flere trusler end kontormiljøet, fordi produktionsmiljøet i en række tilfælde ikke kan opdateres med sikkerhedsopdateringer (patches). 12

13 Direkte trafik mellem produktionsmiljøet og kontormiljøet bør undgås. Der bør etableres en DMZ netværksarkitektur, hvor udvekslingen af informationer mellem de forskellige miljøer kan foregå. Det kan overvejes at sikre, at kritiske komponenter på netværket er redundante, og at kritiske forbindelse på netværket ligeledes er redundante. For at beskytte de resterende åbne forbindelser med tilhørende åbne porte og services, skal der installeres diverse former for netværkssikkerhedsudstyr og kontroller - f.eks. via firewalls, envejskommunikation og IDS/IPS-systemer. Som minimum bør der være firewalls mellem de forskellige segmenter af netværk og mod alle udgående forbindelser. Disse forhold uddybes i afsnit Bemærkninger: NIST har gode generelle beskrivelser af netværkstopologier. Især kan anbefales figur 5-4 af adskilte netværk, som hver især er beskyttet af firewalls og som udveksler informationer i en DMZ. En tilsvarende topologi vises nedenfor: Netværksikkerhedssudstyr og kontroller Firewalls må fremhæves som det helt afgørende sikkerhedsudstyr til at beskytte de resterende åbne forbindelse med tilhørende åbne porte og services (jvf. ovenfor)! 13

14 De sikkerhedsfeatures der kommer fra leverandøren med apparatet eller servicen bør installeres. Sørg desuden for løbende at få testet og installeret nye sikkerhedsopdateringer (patches). Der bør laves procedurer for styring af opdateringer (patch management). For at begrænse mulighederne for ondsindet software bør man undersøge muligheden for at installere antivirus på computere i produktionen. Sørg i den forbindelse for at der ikke skannes på tunge filer, da en sådan skanning kan give uheldige konsekvenser. Installer software som kan tjekke filers integritet. Man kan f.eks. få leverandørerne til at generere en hash-værdi af filen og tjekke op mod denne for at verificere, at det er den rette fil, og at der ikke er manipuleret med den. Man kan også overveje at udstede en firmasignatur, som en given leverandør skal bruge for at få lov til at installere programmer eller opdateringer. Installer software, som overvåger og analyserer netværkstrafikken og på baggrund af kendte angrebsmønstre o.a. kan give en alarm om, at der kan være uønsket aktivitet i gang på netværket (Intrusion Detection System, IDS). Nogle af denne type systemer kan foruden alarmen også selv iværksætte visse korrigerende tiltag (Intrusion Prevension System, IPS). Foruden overvågning af netværkstrafikken bør man også overvåge og logge brugeraktiviteter, afvigelser, sikkerhedshændelser, systemanvendelse, administratoraktiviteter, fejl og sørg for at tiden er sat korrekt på alle systemer. Der bør løbende foretages penetrationstests/sårbarhedsanalyse, således at man sikrer, at systemet ikke er sårbart overfor kendte angrebsmetoder eller ondsindet software. Der bør være procedurer for genanvendelse og afskaffelse af udstyr. Lagermedier bør have særlig opmærksomhed, og der bør være retningslinjer, som forholder sig til håndteringen af lagermedier og adresser, bl.a. hvordan bærbare lagermedier skal behandles og tilsluttes, hvordan indholdet beskyttes (f.eks. kryptering), og hvordan lagermedierne skal destrueres. Der bør være retningslinjer for sikkerhedskopiering, der bl.a. adresserer hvilke filer/systemer der tages backup af, hvor længe overvågning/logning lagres, og hvor lagring foregår (intern/ekstern). Desuden bør det kontrolleres, at backup'en virker så data/systemer kan gendannes. Informationer fra produktionsmiljøet vil bevæge sig ind i kontormiljøet - det er hele tanken med at få sat produktionsmiljøet på et netværk. Der bør være procedurer, der dermed adresserer, hvad der må ske med denne information. Herunder skal det adresseres, hvordan udveksling af information må finde sted (f.eks. s), hvilke systemer der skal integreres med og i hvilket omfang informationer kan indgå i elektroniske forretningsservices som f.eks. handel og andre online transaktioner, hvor kunder f.eks. kan læse eller opdatere i virksomhedens systemer. Bemærkninger: Proprietære protokoller er ikke mere sikre end andre protokoller og kan derfor ikke betragtes som et sikkerhedselement i sig selv. I takt med at mere og mere kommunikation bevæger sig over på IP, bortfalder dette argument i øvrigt også. NIST gennemgår en række forskellige sikkerhedsprodukter, som man kan overveje at indbygge i sit sikkerhedssetup. Der nævnes bl.a. produkter indenfor identifikation og autentifikation, adgangskontrol og intrusion detection, firewalls, public key infrastructure, beskyttelse mod ondsindet kode, sårbarhedsskannere, forensics og beskyttelse af lagermedier. 14

15 8.4 Krav til sikre produkter og leverancer Forhold til eksterne leverandører Overordnet kan man stille krav om at leverandørerne er certificeret i henhold til f.eks. ISO27001, SAS70 eller ISAE3402 (eller den ældre RS34311). Man kan også overveje om man vil stille krav om at udviklingsprojekter har fulgt en struktureret udviklingsmode som f.eks. CMMI (igen for at forsøge at sikre sig kvaliteten i det modtagne produkt) 30. Der bør være styring af eksterne leverandører (outsourcingpartnere). Styringen bør sikre, at der foreligger Service Level Agreements (SLA) på alle systemer. I SLA bør der stilles krav til bl.a. hvad der skal leveres, hvilken projektorganisationer der etableres, om der er underleverandører, hvilket ejerskab der er til leverancen 31, om leverancen får konsekvenser for eksisterende politikker, om leverandøren kan overvåges og auditeres og hvordan kontrakten kan afbrydes. Desuden bør der i SLA'en stilles krav til selve produktet jvf. punkt nedenfor. Der bør også sikres, at serviceleverandørernes opdateringer er testet, og at der tages hensyn til lokale forhold som f.eks. en konkret lokal konfiguration 32. Virksomheden bør være opmærksom på ændringer hos serviceleverandøren - f.eks. med hensyn til kompetencer og økonomisk situation Når serviceleverandøren befinder sig i virksomheden for at servicere installationer, bør der i videst muligt omfang stilles en jumpstation til rådighed for leverandøren. En jumpstation er virksomhedens egen computer, som altid har installeret godkendt styresystem, opdateret antivirus og præcis de programmer, som leverandøren skal anvende. På den måde kan det sikres, at der ikke kommer fremmede maskiner på netværket. De eksterne leverandører skal underskrive sikkerhedspolitikken og relevante retningslinjer - f.eks. retningslinjer for servere, adgang og logning. Der skal foretages en risikovurdering, såfremt det overvejes at anvende hostede netværkstjenester Krav til produkter Der bør stilles krav om, at der er foretaget penetrationstest af produktet og i givet fald hvilke værktøjer, der er anvendt. Der skal lægges vægt på, at sikkerhed er bygget ind i systemet fra dets "fødsel" 33. Der bør stilles en række krav til de produkter, der leveres. Kravene bør bl.a. adressere: o Redegørelse for hvilke data der håndteres med hvilken klassifikation o Kortlægning af hvordan produktet eller servicen indgår i systemlandskabet (software, servere, lagermedier, databaser, netværk, m.v.) 30 Der vil i skrivende stund ikke være mange leverandører, der kan efterleve dette, men efterspørges det ikke, får vi heller ikke bedre kvalitet i produkterne. 31 F.eks.: ejes den maskine der leveres til virksomhedens produktion af virksomheden eller af leverandøren? 32 I nogen sammenhænge taler man om en leverancetest (at det der skal være der faktisk er der), en funktionstest, (som viser at systemet faktisk virker) og en driftstest (som viser at virksomheden selv kan drive systemet uden fejl i f.eks. 20 dage). 33 I forhold til beskyttelse af persondata taler man ofte om Privacy by Design og mener hermed, at sikkerheden er designet ind i produktet eller servicen, allerede mens dette udvikles - evt. under anvendelse af særlige teknologier, som bygges med ind: Privacy Enhancing Technologies. Dette kan også gøres i et sikkerhedsdesign, hvor man f.eks. kan designe små webservere, som er særligt sikrede, ind i produkterne. 15

16 o Redegørelse for i hvilket omfang der foregår netværkstrafik mellem det leverede produkt og leverandøren eller tredjeparter - og i givet fald om denne er krypteret eller skannes o Krav om adgang til kildekode o Kortlægning af hvordan logisk adgang er planlagt o Kortlægning af change management procedurer - herunder opdatering eller installation af nye versioner med ny funktionalitet og de deraf affødte konsekvenser for systemets miljø o Kortlægning af hvad der logges og gives adgang til af hvem o Aftale om hvilke hændelser der giver anledning til rapportering fra leverandøren o Aftaler vedr. backup og beredskab Det kan overvejes, om man vil stille krav om, at den software der anvendes, er common criteria certificeret (ISO15408), og i givet fald på hvilket niveau. 9. Anskaffelse, udvikling og vedligehold ISO 17799:2000:10, ISO17799:2005:12, DS484:2005:12, ISO27002:2005:12 Formål: Nyt udstyr skal understøtte forretningen og må ikke underminere sikkerhedspolitikken. Der skal være retningslinjer for indkøb af nyt udstyr, der bl.a. inkluderer, hvem der må indkøbe og installere udstyret. Ved indkøb af nyt udstyr skal det kontrolleres, at det kan overholde eksisterende sikkerhedskrav, og det skal vurderes, om udstyret giver anledning til nye sikkerhedskrav. Det nye udstyr skal testes, placering af og adgangen til udstyret skal vurderes, det skal være omfattet af SLA, og det skal vurderes, om der er behov for adgang til kildekode. Ved testen skal der lægges vægt på, at sikkerheden er bygget ind i applikationen. Det betyder bl.a., at input skal valideres for korrekthed og integritet, at det skal kontrolleres, at data behandles korrekt og at uddata valideres. Der skal foruden retningslinjer for indkøb af udstyr være retningslinjer for eventuel genanvendelse (f.eks. overskrivning af lagermedier 7 gange) og for afskaffelse af udstyr. Når der sker ændringer i udviklingen, skal dette foregå efter fastlagte retningslinjer. Ved inddragelse af eksterne leverandører skal disse overvåges. Det skal sikres, at både virksomhed og leverandør har forstået, hvad ændringerne skal medføre, og at leverandøren har en fall-back-plan, hvis ændringerne skulle gå galt. Der skal løbende kontrolleres for sårbarheder - også på det nye udstyr Bemærkning: Der findes i virksomhederne efterhånden en tendens til, at andre end IT-afdelingen indkøber udstyr og især services. Det er vigtigt, at virksomheden gennem topledelsens engagement får styret denne situation. Udstyr og services, som bruges uden sikkerhedsmæssig test og godkendelse, vil være med til at underminere sikkerheden. 10. Håndtering af sikkerhedshændelser CIP 008, ISO17799:2005:13, DS484:2005:13, ISO27002:2005:13, ISO20000 Formål: Virksomheden skal være i stand til at reagere på og korrigere sikkerhedshændelser hurtigst muligt. 16

17 Virksomheden skal overvåge sine systemer løbende. Det betyder, at al adgang skal logges, der skal installeres IDS/IPS-systemer og antivirus på klienter og servere. Alle skal kunne rapportere hændelser, der skal kunne iværksættes korrigerende tiltag hurtigst muligt, hændelserne skal logges, og virksomheden skal lære af dem. Der skal desuden foreligge retningslinjer, der beskriver, hvem der kan hjælpe hvem med hvad, hvis en hændelse skulle opstå. Det skal kortlægges, om der i forbindelse med rapportering og korrigerende tiltag er afhængigheder i forhold til internt og eksternt personale. Afhængig af hændelsens karakter skal det overvejes, om myndighederne skal inddrages. I den forbindelse er det vigtigt, at virksomheden er i stand til at foretage retsgyldig bevissikring. Virksomheden skal være i stand til at forudse, hvilke hændelser der typisk kan ramme virksomheden. Bemærkninger: De ansatte skal altid kunne få hjælp til at besvare sikkerhedsspørgsmål. For at kunne optimere den service, man leverer på IT-området til de ansatte, kan det overvejes, at organisere sin service efter de i ITIL 34 eller ISO20000 angivne strukturer. DI og DI ITEK er i skrivende stund (primo 2012) sammen med Rigspolitiet i gang med at lave en vejledning i retsgyldig bevissikring. Tjek vores hjemmeside for om vejledningen er udkommet. 11. Disaster recovery og business continuity CIP 009, ISO 17799:2000:11, ISO17799:2005:14, DS484:2005:14, ISO27002:2005:14 Formål: I tilfælde af kriser skal virksomheden være i stand til at fortsætte eller genoprette sin drift med så minimale forstyrrelser for forretningen som muligt. Der skal foreligge beredskabsplaner, som bl.a. indeholder ansvarsfordeling, tværorganisatorisk proces for beredskabsstyringen og prioritering af hvilke services, der skal genoprettes i hvilken rækkefølge. Beredskabsplanen skal tage højde for både genopretning af systemer og processer. Beredskabsplanen bør afprøves og dokumenteres gennem øvelser, med fastlagte intervaller. Beredskabsplanen skal vedligeholdes i form af revurdering i takt med at nye systemer eller ændringer af eksisterende systemer introduceres i virksomheden, og nye trusler opstår. Der skal foretages backup af både data og systemer. Backupen bør gemmes udenfor virksomhedens område. Der skal være retningslinjer for restore og backupen skal løbende testes. 12. Compliance ISO 17799:2000:12, ISO17799:2005:15, DS484:2005:15, ISO27002:2005:15 Formål: Det bør løbende sikres, at virksomheden opererer i overensstemmelse med lovgivningen og gerne med anvendelse af standarder og best practises m.v. Virksomheden bør udarbejde og efterleve en sikkerhedspolitik. 34 Information Technology Infrastructure Library 17

18 Alle eksterne krav skal kortlægges - herunder særligt generel lovgivning (f.eks. ophavsret og behandling af personoplysninger) og branchespecifik lovgivning. Det bør også undersøges, om virksomheden er underlagt anden regulering. Endelig bør udenlandsk lovgivning kortlægges for de lande, som virksomheden opererer i. Virksomheden kan overveje at efterleve eller søge inspiration i diverse standarder, best practises og guidelines. Virksomhedens bør sikre, at de relevante systemrevisionsspor forefindes. 18

19 Bilag B: Ordliste CERT Computer Emergency Response Team, Varetager håndtering af trusler mod national infrastruktur eller trusler mod især forskningssektoren. Mange lande har en eller flere CERT-funktioner, der indgår i globale CIP CMMI Cobit Common Criteria DCS DHS DS484 ERP-system FISMA HIPAA HVAC ICS ISAE 3402 ISO27000 ITIL NERC samarbejdsnetværk. Indsatsen koordineres fra CERT CC ved Carnegie Mellon University. Critical Infrastructure Protection, 20 Sikkerhedsstandarder fra NIST for beskyttelse af den kritiske infrastruktur i USAs el-forsyning. Capability Maturity Model Integration, Software procesudviklingsmodel lavet af Carnegie Mellon University til det amerikanske forsvar. Udgangspunktet er at skabe modenhed i den udviklende organisation, således at der er styr på alle detaljer i udviklingsprocessen. Control Objectives for Information and related Technology, Cobit er en best practise, som har til formål at sikre, at alle aspekter af IT understøtter virksomhedens mål. Software sikkerhedsstandard, ISO 15408, Standard der har til formål at verificere, at software er sikker, fordi den efterlever nogle på forhånd definerede tekniske sikkerhedsfunktionaliteter. Distributed Control Systems Et industrielt kontrolsystem, som decentralt overvåger og via lokale input og output styrer industrielle processer. DCS kan evt. indgå i et SCADA-system. Department of Homeland Security, Har til formål at beskytte USA mod alle tænkelige trusler. Dansk standard for informationssikkerhed, Denne danske standard ligger i dag meget tæt op af den internationale ISO27000-standard, hvorfor sidstnævnte må anbefales. Siden 2007 har DS484 udgjort statens standard for itsikkerhed. Regeringen har nu besluttet, at de statslige institutioner også kan anvende den internationale standard, ISO27001, i stedet for DS484. På længere sigt bliver ISO27000 den obligatoriske offentlige standard. Enterprise Ressource Planning Software systemer, som integrerer informationer fra stor set alle dele af virksomheden - f.eks. regnskab, produktion, salg og kundehåndtering. Federal Information Security Management Act Amerikansk lov som forpligter amerikanske myndigheder til at udvikle, dokumentere og implementere sikkerhedssystemer. Health Insurance Portability and Accountability Act Standardiserede krav til amerikanske sundhedssystemer herunder sikkerheds- og privacykrav. Heat, ventilation, air conditioning Forskellige teknologier, der sammensat i eet kontrolsystem kontrollerer indendørs klima. Industrial Control Systems Fællesbetegnelse for kontrolsystemer, der anvendes ved styring af industriel produktion, og som inkluderer SCADA, DCS og PLC. International Standards for Assurance Engagements International standard for hvordan service organisationer kan kommunikere information om sine kontroller. Serie af standarder for informationssikkerhed, FN's standardiseringsorganisation, som på baggrund af den britiske sikkerhedsstandard BS17799 (tidligere BS7799) har lavet en holistisk tilgang til informationssikkerhed. Materialet udgør grundlaget for sikkerhed rigtigt mange steder - også i den danske stat. Information Technology Infrastructure Library, ITIL er et framework for IT service management. North American Electric Reliability Corporation, Har til formål at sikre stabiliteten i USAs el-forsyning. Har i den forbindelse lavet 19

20 NIST OCTAVE PLC RS34311 RTU SAS70 SCADA SSID sikkerhedsstandarderne for beskyttelse af kritisk infrastruktur. National Institute of Standards and Technology, Forsknings- og standardiseringsstyrelse under USAs Handelsministerium. Understøtter innovation og konkurrence - herunder USAs teknologiske infrastruktur. Operationally Critical Threat, Asset, and Vulnerability Evaluation Sikkerhedsmetodik udviklet af CERT. Sikkerhed vurderes med udgangspunkt i konkrete trusler klassificeret som personmæssigt, systemmæssige eller udenfor virksomhedens kontrol. Programmable Logic Controller Computer som bruges til kontrol af automatiserede processer ved f.eks. samlebånd. Computeren kan tage forskellige inputs og give forskellige outputs afhængig af produktionen. Computeren kører typisk få dedikerede programmer på et minimalt styresystem, og hardware er kendetegnet ved at være fysisk robust. PLC'en blev tidligere programmeret via dedikeret hardware, men er i dag ofte ethernet-enablet og kan således programmeres fra en terminal på LAN. PLC'er har høj levetid og stabilitet, og mange produktionsapparater kan således have en levetid på 20 år. Delmængde af ICS. Standard Ældre standard som er stattes af ISAE 3402 Remote Terminal Unit Lille computer med sensor, som måler lokale fænomener og sender dem til analyse i en central SCADA-enhed. Statement on Auditing Standards, Auditeringstandard. Supervisory Control and Data Acquisition Et industrielt kontrolsystem, som centralt overvåger og via input og output styrer industrielle processer (f.eks. industriel fremstilling eller energiproduktion), infrastruktur processer (f.eks. rensning af vand, vindmøller eller olieledninger) og facility processer (f.eks. lufthavne eller HVAC-systemer). SCADA-systemet består typisk af en række undersystemer - f.eks. et interface til menneskelig kommunikation, automatiseret overvågning, RTU'er, PLC'er m.v. Service Set IDentifier Navnet på et trådløst netværk. 20