ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER
Størrelse: px
Starte visningen fra side:

Download "ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER"

Transkript

1 ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER NOVEMBER 2014

2 Hvad er et hackerangreb? INTRODUKTION Denne folder er udarbejdet af It-sikkerhedssøjlen i Branchefællesskab for Intelligent Energi og beskriver en best practice for, hvordan elsektorens virksomheder kan mindske risikoen for cyberangreb og undgå at udsætte sig for markant risiko ved cyberangreb. Et hackerangreb er ulovlig indtrængen til en given IT infrastruktur, fx en hjemmeside, computer, IT-system eller noget helt andet. Formålet med et hackerangreb kan bl.a. være at stjæle, udnytte eller ødelægge data. Formålet kan også være at tilegne sig styring af og kontrol med IT-systemer eller at få virksomhedens hjemmeside eller administrative systemer til at gå ned. It-sikkerhedssøjlen er et centralt omdrejningspunkt for håndtering af de it-sikkerhedsmæssige udfordringer, som tegner sig for et intelligent elsystem, idet søjlen samler både elnetselskaber, rådgivere og leverandører af komponenter, systemer og udstyr til elsystemet. IT-sikkerhedssøjlen koordinerer sit arbejde med IT-beredskabs-gruppen, som er nedsat i regi af Dansk Energi og med virksomhedsmæssigt sammenfald til brancherepræsentanterne i Danske Elselskabers Beredskabsudvalg. Elsektorens virksomheder har en lang tradition for beredskabsarbejde. Her har it-sikkerhed i de seneste år fået stigende opmærksomhed. Der er derfor allerede en grundlæggende og solid forståelse af cybertrusler og risici i sektoren. Udfordringerne inden for it-sikkerhed forandrer sig imidlertid løbende, og det stiller hele tiden nye krav til indsatsen med it-sikkerhed. Denne folder har til formål, at give et aktuelt billede af Best Practice til forebyggelse og håndtering af it-sikkerheds-hændelser. Folderen henvender sig til ledelsesniveauet i elsektorens virksomheder samt it-sikkerhedsansvarlige i virksomhederne. Folderen giver tillige bud på en række værktøjer og virkemidler, som elsektorens virksomheder kan tage i anvendelse til forebyggelse af angreb fra internettet, det vil sige hackerangreb. Folderen fokuserer primært på forsvar mod cybertrusler som rettes mod virksomhedens data og systemer og mod elnettet som kritisk infrastruktur. CYBERSIKKERHED ER IKKE ET PRODUKT MEN EN PROCES Et godt cyberforsvar er ikke ét særskilt produkt eller én bestemt teknologi, som man køber, installerer og bruger. Cybersikkerhed er en dynamisk proces, som kræver, at der er fastlagt en klar køreplan og arkitektur for hvordan, virksomhedens cyberforsvar er opbygget, og hvordan cyber forsvaret løbende skal vedligeholdes og afprøves. Inden for elsystemet ser vi ind i en udvikling som går imod en øget digitalisering. Elsystemet bevæger sig gradvist henimod mere åbne systemer, som byder på en række nye it-sikkerhedsmæssige udfordringer. Det skyldes bl.a. introduktionen af nye aktører, nye it-mæssige behov og koblinger, samt flere informationsstrømme. Cybersikkerhed kan derfor ikke afgrænses til interne strukturer og processer i virksom heden og virksomhedens it-systemer, men må også omfatte virksomhedens, med arbejdernes og de interne systemers grænseflader til omverdenen. Der kan i den forbindelse også stilles krav til og føres kontrol med leverandører af fx fjernaflæsning- og hjemtagningssystemer, SCADA-systemer og kommunikationsløsninger.

3 GOD CYBERSIKKERHED SKAL FORANKRES I TOPLEDELSEN En køreplan for et godt cyberforsvar starter hos topledelsen. Uden opbakning og prioritet fra topledelsen fejler selv de bedste hensigter om god cybersikkerhed. Behovet for at forankre cybersikkerhed hos topledelsen er vigtigt i elsektorens virksomheder. Elnettet udgør nemlig en kritisk infrastruktur for samfundet, som derfor er ekstra vigtig at beskytte mod cybertrusler. Et øget fokus på beskyttelse af personfølsomme kundedata forstærker behovet for at forankre cybersikkerhed hos topledelsen. Centrale spørgsmål som en topledelse bør søge svar på: ¼ Er ansvaret for it-sikkerhed i virksomheden klart placeret? ¼ Har vi en sikkerheds- og beredskabsorganisation, der er forankret på chefniveau? ¼ Ved vi, hvad der er vores vigtigste informationer og data, hvor de er og hvordan de beskyttes? ANBEFALING 01 TOPLEDELSEN BØR HAVE STORT FOKUS PÅ IT-SIKKERHED OG BØR ANSE ET CYBERFORSVAR SOM EN VIGTIG DEL AF DET LØBENDE BEREDSKABSARBEJDE. Cybertrusler bør anses som scenarier på lige fod med fx orkaner og skybrud og forventes fremover at få stadigt større indflydelse på indretningen af virksomhedens systemer og drift. ¼ Bliver vi løbende opdateret om hvilke cybertrusler og aktører, der truer os, deres metoder og motivation? Det giver operationelle og strategiske fordele for ledelsen at kende svarene på disse spørgsmål. Kan der svares ja til spørgsmålene har virksomheden i realiteten en cybersikkerhedspolitik på plads. Det betyder, at virksomheden som udgangspunkt er bedre forberedt på cyberangreb og vil kunne reagere mere effektivt.

4 LEDELSESSYSTEM FOR INFORMATIONS- SIKKERHED Den danske regering har besluttet, at statens institutioner skal styre informationssikkerheden efter ISO standarden. ANBEFALING 02 INDFØR ET LEDELSESSYSTEM FOR INFORMATIONSSIKKERHED OG OVERVEJ CERTIFICERING EFTER ISO STANDARDEN. En certificering indebærer, at virksomheden skal leve op til krav til en sikkerhedspolitik, processer for risikovurdering og risikohåndtering, og krav til intern audit og opfølgning - ikke mindst fra ledelsens side. ISO er en international standard, der stiller krav til et ledelsessystem for informationssikkerhed også kaldet et ISMS (Information Security Management System). ISO standarden tager udgangspunkt i den enkelte virksomheds risikoprofil og lægger op til, at der implementeres netop de kontrolprocedurer, der er passende for den enkelte virksomhed. ISO kan samtidig være et vigtigt redskab til at understøtte danske elvirksomheders beredskab for så vidt angår fortsat drift af tekniske systemer og anlæg, som er kritiske og/ eller nødvendige for opretholdelse og videreførelse af elforsyningen i tilfælde af krise- og beredskabssituationer. SKAB EN SIKKERHEDSORIENTERET VIRKSOMHEDSKULTUR Virksomhedens cybersikkerhedsforsvar bør løbende afprøves gennem sikkerhedstekniske undersøgelser og øvelser. Svag heder i it-miljøet bør løbende afdækkes. Det er en forudsætning, at virksomheden har de rette tekniske kompetencer. ANBEFALING 03 ELSEKTORENS VIRKSOMHEDER BØR VIDENDELE OG ERFARINGSUDVEKSLE OM SIKKERHEDSTEKNISKE ØVELSER OG UNDERSØGELSER. Virksomhederne kan eventuelt entrere med en organisation som kan bistå med dette eller etablere en selvstændig organisation som kan bistå elsektorens virksomheder.

5 HAR VIRKSOMHEDEN DE RETTE KOMPETENCER TIL AT IMØDEGÅ CYBERTRUSLER? Opgaven med at imødegå cybertrusler bør uddelegeres af topledelsen og kan med fordel løftes af dygtige systemadministratorer eller medarbejdere med analytiske kompetencer enten internt i den enkelte organisation eller hos leverandører. ANBEFALING 04 SKAB ET BREDT SAMARBEJDE OM CYBERSIKKERHED MELLEM ELSEKTORENS VIRKSOMHEDER Det anbefales generelt for alle elsektorens virksomheder at samarbejde og videndele om cybertrusler. I det omfang det er muligt, bør elsektorens virksomheder bistå hinanden ressourcemæssigt eller entrere med en organisation, som kan stille it- og teknisk rådgivning og bistand til rådighed for elsektorens virksomheder. Elsektorens virksomheder kan også selv etablere en selvstændig organisation til dette formål. Cybertrusler, der retter sig imod elinfrastrukturen i fremtiden, vil være en stor udfordring for særligt mindre elvirksomheder, som måske ikke har de fornødne ressourcer og kompetencer til selv at sikre et stærkt cyberforsvar. GENNEMFØR LØBENDE AWARENESS BLANDT VIRKSOMHEDENS MEDARBEJDERE Cyberangreb udføres ofte under dække af, at hackeren har tilegnet sig legitime brugerrettigheder, der kan give adgang til virksomhedens aktiver. Denne type cyberangreb er meget svære at opdage og dæmme op for. Et godt forsvar kræver en forståelse af angrebet ¼ Ved målrettede cyberangreb bruger angriberne ofte en metode, der går ud på at lokke modtagere af s til at åbne en ondsindet vedhæftning eller klikke på et link til en ondsindet hjemmeside. ANBEFALING 05 MEDARBEJDERE SKAL ALLEREDE VED ANSÆTTELSEN OG HEREFTER LØBENDE GØRES OPMÆRKSOM PÅ DE RISICI, SOM ER FORBUNDET MED DE ANGREBSMETODIKKER, SOM LIGGER I SOCIAL ENGINEERING Viden og information, der kan give adgang til virksomhedernes aktiver, opnås ved social engineering. Social Engineering er psykologisk manipulation af medarbejdere enten ved fysisk kontakt, telefonsamtaler og mails. Social engineering har til formål, at få medarbejderen til at udføre bestemte handlinger eller videregive fortrolige oplysninger, som hackeren efterfølgende bruger for at sikre sig adgang til virksomhedens systemer. Kontakten kan fx etableres under dække af, at angriberen oplyser, at han er en del af IT afdelingen eller er hyret ind for at foretage en bestemt handling.

6 LOGNING Intet forsvar er 100 pct. sikkert. Succesfulde angreb vil forekomme, men de skal forudses, detekteres og så skal der reageres på dem. ANBEFALING 06 INDFØR LOGNING UDFRA EN RISIKOBASERET TILGANG. START MED AT FÅ LOGS OM HØJRISIKOMÅL OG FOKUSER PÅ ENKELTE VÆRKTØJER I ANALY- SE PLATFORMEN. GEM LOGS. God logning øger chancen for at opdage cyberangreb og undersøge dem til bunds. Logning hjælper også til at forstå angrebenes omfang og konsekvenser og så hjælper logning til at forebygge nye cyberangreb. CYBERFORSVAR TIL BESKYTTELSE AF SYSTEMER OG INFRASTRUKTUR I ELSEKTOREN 80 pct. af de almindelige og ikke-målrettede it-sikkerhedstrusler, som en virksomhed kan blive udsat for fra internettet kan ifølge Center for Cybersikkerhed håndteres ved at efterleve best practice og indføre en række tekniske løsninger i virksomheden. Center for Cybersikkerhed anbefaler i sin køreplan for et godt cyberforsvar fire sikringstiltag, som samlet reducerer risikoen for cyberangreb i alle faser af et angreb. Top fire sikringstiltag ¼ SIKRINGSTILTAG 1 Udarbejd positivliste over applikationer af godkendte programmer, for at forhindre kørsel af ondsindet eller uønsket software. ¼ SIKRINGSTILTAG 2 Opdatér programmer, fx Adobe Reader, Microsoft Office, Flash Player og Java, med seneste sikkerhedsopdateringer, højrisiko inden for to dage. ¼ SIKRINGSTILTAG 3 Opdatér operativsystemet med seneste sikkerhedsopdateringer, højrisiko inden for to dage. Undgå Windows XP eller tidligere versioner. ¼ SIKRINGSTILTAG 4 Begræns antallet af brugerkonti med domæne eller lokaladministrator privilegier. Disse brugere bør anvende separate uprivilegerede konti til og websurfing. De fire tiltag udgør de grundlæggende dele i et cybersikkerheds-program. Sikringstiltagene kan indføres gradvist. Sikringstiltag skal indføres med udgangspunkt i en risikobaseret tilgang ud fra vigtigheden af informationerne, systemerne og den enkelte medarbejderfunktion, der skal beskyttes. Det skal understreges, at implementering af top fire sikringstiltagene kan være teknisk komplekst, indebære omkostninger og kan møde modstand fra medarbejdere. ANBEFALING 07 IMPLEMENTER TOP FIRE SIKRINGSTILTAGENE. Best practice og anvendelse af de nævnte tekniske løsninger bør være en del af et grundlæggende it-sikkerhedsforsvar hos elsektorens virksomheder, men vil ikke være tilstrækkelige for at imødegå alle angreb. Målrettede angreb mod elvirksomheder og elinfrastruktur vil typisk være mere avancerede trusler og vurderes i dag at udgøre 20 pct. af alle angreb.

7 FÆLLES ALARM- OG VARSLINGSSYSTEMER Intrusion Detection System (IDS) og Intrusion Prevention System (IPS) er grundlæggende alarm- og varslingssystemer. ANBEFALING 08 ELSEKTORENS VIRKSOMHEDER BØR OVERVEJE ETABLERING AF FÆLLES ALARM- OG VARSLINGSSYSTEMER FOR IT-SIKKERHEDSHÆNDELSER. IDS kan overvåge og detektere om forsøg på avancerede cyberangreb, mens IPS udover at detektere forsøg på angreb også kan forhindre indtrængen, der detekteres. Mere specifikt kan IPS sende alarmer, stoppe ondsindede pakker, nulstille forbindelsen eller blokere trafik fra den angribende IP-adresse. SAMARBEJDE MED IT-SIKKERHEDSMYNDIGHEDER Som et vigtigt element i loven om Center for Cybersikkerhed (2014) lægges de to statslige varslingstjenester for internettrusler GovCERT og MILCERT sammen til en ny netsikkerhedstjeneste, der har til opgave at opdage, analysere og bidrage til at imødegå it-sikkerhedshændelser hos myndigheder og virksomheder. De virksomheder, som netsikkerhedstjenesten er tiltænkt, er virksomheder, der er beskæftiget med samfundsvigtige funktioner. Det omfatter også elsektorens virksomheder. ANBEFALING 09 ELSEKTORENS VIRKSOMHEDER BØR SAMARBEJDE MED IT-SIKKERHEDSMYNDIGHEDER Det anbefales generelt for alle elsektorens virksomheder, at samarbejde og videndele om cybertrusler og it-sikkerhedshændelser med relevante myndigheder herunder Center for Cybersikkerhed, og den statslige varslingstjeneste GovCERT. Denne netsikkerhedstjeneste udgør et supplement til den allerede fungerende it-sikkerhed i virksomhederne. HÅNDTERING AF HACKERANGREB Først skal man vide, at man er blevet hacket. Det kræver kapacitet og kompetencer til at erkende og dokumentere, at man er blevet hacket. ANBEFALING 10 LAV EN KØREPLAN TIL HÅNDTERING AF HACKER-ANGREB Elsektorens virksomheder bør udarbejde en formaliseret og detaljeret køreplan til håndtering af hacker-angreb. Køreplanen bør dække alle aspekter fra angrebet først er erkendt til oprydningen efter angrebet er gennemført. Det kræver, at der i virksomheden er tilstrækkelig logning på plads, kapacitet til at analysere de indsamlede logs og et opdateret overblik over egen IT-infrastruktur. Bemærk at disse opgaver godt kan outsources til en tredjepart, fx et eksternt sikkerhedsfirma. Detekteres et cyberangreb og kan virksomheden ikke selv inddæmme og stoppe angrebet, bør der søges bistand fra professionelle it-sikkerhedseksperter. Ved mistanke om cyberangreb bør der udsendes varsling til de øvrige virksomheder i elsektoren.

8 ANBEFALINGER TIL KONKRETE IT-SIKKERHEDSTILTAG Branchefællesskab for Intelligent Energi gennemførte med støtte fra Dansk Energis Teknikudvalg i april-maj 2014 en spørgeskemaundersøgelse til netselskaber om it-sikkerhed i forbindelse med etablering af smartgrid løsninger. ANBEFALING 11 GENNEMFØR EN IT-SIKKERHEDSVURDERING NÅR TREDJEPARTS TEKNOLOGI ANVENDES (FX SMARTHOME-PRODUKTER). ANBEFALING 12 DER BØR SKE LOGNING PÅ TILGANG TIL MÅLEDATA. Undersøgelsen var afgrænset til de områder i elsystemet, som forventes berørt i forbindelse med implementering af ny teknologi og nyt udstyr, herunder bl.a. tredjepartsudstyr, fjernaflæste målere hos kunderne, og datahåndtering. Baseret på besvarelserne fremsættes en række anbefalinger til virksomheder i elsektoren om gennemførelse af konkrete it-sikkerhedstiltag. ANBEFALING 13 DATAKOMMUNIKATION BØR VÆRE AUTENCITERET OG KRYPTERET. DER BØR UDPEGES EN PERSON MED ANSVAR FOR DENNE INDSATS. ANBEFALING 14 LAV RISIKO- OG SIKKERHEDSVURDERING I FORBINDELSE MED SOFT- WARE/ FIRMWARE OPDATERINGER AF FX FJERNAFLÆSTE MÅLERE OG SCADA-SYSTEMER. DATA BØR KRYPTERES FOR AT UNDGÅ RISIKO FOR KOMPROMITTERING AF SOFTWARE/FIRMWARE. Nyttige links til mere information om it-sikkerhed ¼ Center for Cybersikkerheds anbefalinger til god logning og logindsamling ANBEFALING 15 DER BØR SKE REGISTRERING AF TILFÆLDE AF UAUTORISERET ADGANG TIL IT-SYSTEMER I KRITISKE KNUDEPUNKTER I ELDISTRIBUTIONSNETTET. ¼ Center for Cybersikkerhed og Digitaliseringsstyrelsens vejledning om Cyberforsvar der virker ¼ Teknisk vejledning til gennemførelse af Top fire sikringstiltag. ¼ Bekendtgørelse om tilslutning til Center for Cybersikkerheds netsikkerhedstjeneste

9 DU ER ALTID VELKOMMEN TIL AT KONTAKTE DANSK ENERGI OG BRANCHEFÆLLESSKAB FOR INTELLIGENT ENERGI I SPØRGSMÅL OM IT-SIKKERHED KONTAKT DANSK ENERGI Kontakt Peter Kjær Hansen Tlf pha@danskenergi.dk DANSK ENERGI Kontakt Jørgen Christensen Tlf jsc@danskenergi.dk BRANCHEFÆLLESSKAB FOR INTELLIGENT ENERGI Morten Trolle Tlf mob@danskenergi.dk Dansk Energi Vodroffsvej Frederiksberg C Tlf

Relaterede dokumenter
2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback