Vejledning i udarbejdelse af kontrakt mellem virksomheder i el- og naturgassektorerne og itsikkerhedstjenester.

Transkript

1 Vejledning i udarbejdelse af kontrakt mellem virksomheder i el- og naturgassektorerne og itsikkerhedstjenester. Energistyrelsen Side 0/ Amaliegade København K T: E: ens@ens.dk

2 Kontor/afdeling Center for Forsyning/ Beredskab Indhold Indledning... 2 Baggrund for vejledningen... 2 Vejledningens opbygning... 3 Samarbejdet mellem den enkelte virksomhed og en it-sikkerhedstjeneste... 3 Godkendelse af kontrakter... 4 Krav til kontrakternes formalia... 5 Proaktive ydelser... 5 Obligatoriske proaktive ydelser... 5 Kontinuerlig underretning om relevante trusler mod virksomhedens forsyningskritiske it-systemer Mulige proaktive ydelser... 6 Vejledningsmateriel for specifikt udstyr eller system... 6 Løbende underretning om relevante trusler mod virksomhedens forretningskritiske itsystemer Bistand til virksomhedernes sårbarhedserkendelse... 6 Bistand til virksomhedernes sårbarhedshåndtering (risiko-mitigering)... 7 Øvelses-/træningsydelser med fokus på it-sikkerhed... 7 Uddannelse af særligt udvalgte medarbejdere som beredskabsperaonale it-ledelse, kommunikation mv Uddannelse af medarbejdere... 7 Monitorering af data eller netværk... 7 Reaktive ydelser... 8 Obligatoriske reaktive ydelser... 8 Teknisk bistand til genoprettelse af forsyningskritiske it-systemer. (incident response) 8 Mulige reaktive ydelser... 9 Bistand til krisestyring af en hændelse (incident management)... 9 Malware eller artifact håndtering... 9 Teknisk bistand til håndtering af ikke forsyningskritiske it-systemer Dato 29. maj 2017 J nr JCV Side 1/9

3 Indledning Denne vejledning beskriver det grundlag Energistyrelsen vil lægge til grund for en godkendelse af en kontrakt mellem en virksomhed omfattet af elforsyningslovens 85 c eller naturgasforsyningslovens 15 b og en it-sikkerhedstjeneste. Den enkelte virksomhed er ansvarlig for egen it- og cybersikkerhed. I kraft af 85 c i lov om elforsyning og 15 b i lov om naturgasforsyning er virksomheder i el og naturgasbranchen pålagt at opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer. Derved skal virksomhederne selv afgrænse, hvilke systemer der er kritiske, og herefter vurdere, hvilke foranstaltninger der skal iværksættes til at beskytte disse systemer. En it-sikkerhedstjeneste kan bidrage til såvel virksomhedernes forebyggelse som håndtering af hændelser. Det er vejledningens formål at beskrive de forhold, der lægges til grund for Energistyrelsens godkendelse af kontrakter mellem virksomhederne og it-sikkerhedstjenester efter 25 i bekendtgørelse om it-beredskab. Vejledningen uddyber de nærmere tekniske definitioner af begreberne reaktiv og proaktiv tjeneste som beskrevet i 3, stk. 1, nr. 3 og 25 i bekendtgørelse om it-beredskab. Derved skal vejledningen medvirke til at kvalificere de kontrakter virksomhederne udarbejder med it-sikkerhedstjenester. Endvidere beskrives de formelle krav kontrakters indhold, for at disse kan sagsbehandles af Energistyrelsen. Vejledningen vil løbende skulle opdateres på baggrund af erfaringer. Denne forventning beror på en erkendelse af, at it-og cybersikkerhed er et komplekst produkt, der ikke kan afgrænses til enkelte processer eller konkrete tekniske tiltag. Arbejdet med it- og cybersikkerhed er i lighed med andet beredskabsarbejde en løbende proces, hvor ændringer i forhold skal erkendes og nye beredskabsforanstaltninger skal iværksættes eller forberedes. Baggrund for vejledningen I medfør af elforsyningslovens 85 c, stk. 5, nr. 4 og naturgasforsyningslovens 15 b er der i 25 i bekendtgørelse om it-beredskab i el- og naturgassektorerne fastsat krav om at virksomheder i el- og naturgassektorerne skal have en kontrakt en it-sikkerhedstjeneste. Da virksomhederne i el- og naturgassektorerne har varierede opgaver, størrelse og samfundsbetydning differencers kravene til virksomhederne. Dette forhold afspejles i elforsyningslovens 85 c og i naturgasforsyningslovens 15 b samt i bekendtgørelse om itberedskab for el- og naturgassektorerne. I bekendtgørelsens 25 stilles der krav om, at alle virksomheder skal have kontrakt med en it-sikkerhedstjeneste om proaktive ydelser. Der stilles endvidere krav om at virksomheder af betydning for den regionale eller nationale forsyning også skal have kontrakt med en it-sikkerhedstjeneste om reaktive ydelser. Disse ydelser beskrives nærmere nedenfor. Vejledningen skal både vejlede virksomhederne i forbindelse med udarbejdelse af kontrakter med it-sikkerhedstjenester og Energistyrelsen i forbindelse med godkendelsen af de indgåede kontrakter. Side 2/9

4 Vejledningens opbygning For at konkretisere kravene er det fundet nødvendigt, at opdele krav og forventninger til de ydelser, der aftales i virksomhedernes kontrakter med it-sikkerhedstjenester i to grupper; Obligatoriske ydelser og mulige ydelser. Da der samtidig er forskel på behovet for reaktiv assistance til virksomheden, baseret på deres kritikalitet i den sammenhængende forsyning, opdeles ydelserne endvidere i to grupper; proaktive og reaktive ydelser. Disse fire ydelseskategorier kendertegner ligeledes vejledningens struktur. Forud for gennemgangen af disse fire ydelseskategorier beskriver vejledningen samarbejdet og ansvarsfordelingen mellem virksomhederne og it-sikkerhedstjenesterne, de formelle krav til kontrakterne og retningslinjer for Energistyrelsens sagsbehandling samt de formelle krav til kontrakterne. Samarbejdet mellem den enkelte virksomhed og en itsikkerhedstjeneste Den enkelte virksomhed er ansvarlig for eget it-beredskab. I kraft af 85 c i lov om elforsyning og 15 b i lov om naturgasforsyning er virksomheder i el og naturgasbranchen pålagt at opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af forsyningskritiske it-systemer. Virksomhederne er selv ansvarlige for at afgrænse, hvilke systemer der er forsyningskritiske, og herefter vurdere, hvilke foranstaltninger der skal iværksættes til at beskytte disse systemer. En itsikkerhedstjeneste kan bidrage til dette proaktive arbejde på flere forskellige måder. Primært bidrager it-sikkerhedstjenesten ved at tilvejebringe informationer, der skal omsættes til relevante tiltag i den enkelte virksomhed., anvendeligheden af en itsikkerhedstjeneste afhænger derfor af it-sikkerhedstjenestens, kendskab til og samarbejdet med den enkelte virksomhed. It-sikkerhedstjenesten skal have viden om de forhold, der udspiller sig i den pågældende virksomheder for at kunne give relevante informationer ligesom virksomhedens skal have de fornødne kompetencer til at omsætte informationerne til foranstaltninger. Den enkelte virksomhed kan vælge den it-sikkerhedstjeneste, der tilbyder de tjenester og besidder den viden, der er relevant for den enkelte virksomhed. Derfor er det væsentligt, at aftalen mellem en virksomhed og en it-sikkerhedstjeneste afspejler, det trusselsbillede og de risici den pågældende virksomhed oplever samt de forventninger virksomheden har til it-sikkerhedstjenestens kompetencer, ydelser og viden. I situationer hvor analyse eller bevisindsamling er af betydning for en politiefterforskning eller til fastsættelse af en erstatning, bør virksomhederne overveje behovet for ydelser fra en it-sikkerhedstjeneste under hensynstagen til andre myndigheders kompetencer og mulige ydelser. Virksomheder der benytter muligheden for at etablere samordnet beredskab, bør tilsikre at forhold særegen for den pågældende virksomhed tilgodeses i kontrakten med itsikkerhedstjenesen. Side 3/9

5 Da it-sikkerhedstjenesternes ydelser kan have væsentlig betydning for forsyningskritiske itsystemers drift og sikkerhed, er det nødvendigt at etablere en hyppig og relevant kommunikation mellem virksomheden og it-sikkerhedstjenesten. Virksomhederne skal sikre at kontrakter med it-sikkerhedstjenester er tydelige, således at væsentlige informationer af betydning for virksomhedens og sektorens it-beredskab deles i relevant omfang. Virksomhederne bør særligt overveje, hvordan informationer tilvejebringes og formidles i akutte situationer. Dette bør til lighed overvejes i situationer hvor en it-sikkerhedstjeneste pr. kontrakt pålægges at varetage tekniske dele af den akutte myndighedskontakt, der påkræves i bekendtgørelse om it-sikkerhed 14, stk. 2, nr. 5, 21, stk.1. Godkendelse af kontrakter Energistyrelsen skal godkende de fremsendte kontrakter mellem it-sikkerhedstjenester og virksomheder i el- og naturgassektorerne. Denne godkendelse forudsætter en sagsbehandling, der vurderer de konkrete ydelser beskrevet i kontrakterne. Energistyrelsen skal jf. 25 i bekendtgørelse om it-beredskab for el- og naturgassektorerne godkende eller afvise det indsendte kontraktmateriale senest 8 uger efter modtagelsen. De nedenfor beskrevne obligatoriske ydelser skal fremgå af kontrakten. Såfremt virksomheden vælger at indgå kontrakt om nogle af de mulige ydelser skal dette begrundes med en beskrivelse af ydelsens relevans i forhold til virksomhedernes systemer, funktion og risiko- og sårbarhedsvurdering. Energistyrelsen kan afvise kontrakter i henhold til 25 i bekendtgørelse om it-beredskab for el- og naturgassektorerne kontrakt på baggrund af formelle og indholdsmæssige forhold, der vurderes at forsinke, vanskeliggøre eller begrænse virksomhedens eller den samledes sektors evne til at håndtere en akut it-beredskabssituation jf. 4-6 og 21 eller itberedskabsplanlægning jf Energistyrelsen kan afvise kontrakter med itsikkerhedstjenester på baggrund af kendskab til den pågældende it-sikkerhedstjenestes kompetenceniveau og ressourcer. Energistyrelsen kan søge faglig bistand til at foretage denne vurdering ved relevante offentlige myndigheder. Energistyrelsen kan afvise en kontrakt under henvisning til en vurdering af it-sikkerhedstjenestens kapaciteter, begrundet med tidligere erfaringer eller informationer fra andre myndigheder. Energitilsynet skal på baggrund af de godkendte kontrakter kunne godkende en indtægtsrammeforøgelse for netvirksomheder jf. 28 i bekendtgørelse om it-beredskab for el- og naturgassektorerne. Det forudsættes for en sådan godkendelse at kontrakterne indeholder en opgørelse af omkostninger forbundet med de aftalte ydelser. De obligatoriske ydelser afstedkommer efter 28 i bekendtgørelse om it-beredskab for elog naturgassektorerne en indtægtsrammeforøgelse for netvirksomheder. De mulige ydelser kan kun afstedkomme en indtægtsrammeforøgelse, såfremt disse ydelser findes påkrævet på Side 4/9

6 baggrund af virksomhedens risiko- og sårbarhedsvurdering samt, at de påviste risici eller sårbarheder ikke kan håndteres på anden vis. Krav til kontrakternes formalia De enkelte ydelser skal beskrives, således at de kan indplaceres i en af nedestående ydelsestyper. For netvirksomheder skal kontrakterne bilægges en opgørelse af omkostninger til kontrakten, i denne opgørelse skal omkostninger til ikke obligatoriske ydelser præciseres, således at omkostninger opgøres i obligatoriske og ikke obligatoriske ydelser. Såfremt kontrakten er udarbejdet af en gruppe virksomheder, der har indgået samordnet itberedskab efter 17 vedr. samordnet it-beredskab skal beskrive dette i deres kontrakter. Disse kontrakter skal indeholde en beskrivelse af, hvordan it-sikkerhedstjenesten vil varetage de forskellige virksomheders behov. Proaktive ydelser Denne type ydelser er kendetegnet ved, at de leveres forud for sikkerhedshændelser eller nedbrud. Ydelserne skal fremme virksomhedernes it- og cybersikkerhed ved at informere om risici, uddanne, kontrollere eller strukturere virksomhedens it-beredskabsarbejde. Nedenfor listes først de proaktive ydelser der er obligatoriske, derefter listes de mulige ydelser. Obligatoriske proaktive ydelser Denne type ydelser skal være indeholdt i enhver kontrakt mellem en virksomhed i el- og naturgassektorerne og en it-sikkerhedstjeneste. Kontinuerlig underretning om relevante trusler mod virksomhedens forsyningskritiske it-systemer. Denne ydelse er kendetegnet ved, at virksomheden modtager informationer om itsikkerhedstrusler fra it-sikkerhedstjenesten. Informationerne skal; - Være relevante, dvs. rettet mod den type it, der er forsyningskritisk i den enkelte virksomhed. - Være indeholde relevante oplysninger, dvs. oplysninger om udviklingen i hardware, software og metoder som kan anvendes til at udfører angreb eller rekognoscere mod virksomhedens forsyningskritiske it-systemer. - Tilpasses virksomhedens vidensniveau, således at virksomhedens medarbejdere kan forstå disse informationer. - Leveres mens de er relevante, således at virksomheden får relevant opdateret information. Kommunikationsmetoden for levering af informationer bør afprøves med jævnlig interval, eks. månedsvis. Side 5/9

7 - Indholdsmæssigt defineret, således at virksomhederne ved, hvad de kan forvente. Dette indebære en beskrivelse i kontrakten af hvad informationerne vil beskrive, det kan være primært målrettet nogle udstyrstyper, softwaretyper eller metodiske udfordringer afhængig af virksomhedens interne forhold. Såfremt informationerne bygger på nyhedsbreve eller varsler fra specifikke leverandører skal dette fremgå. - Kunne deles internt i sektoren og med Energinet.dk, såfremt disse oplysninger vurderes at have betydning for forsyningen af el og naturgas jf. 25 i bekendtgørelse om it-beredskab for el- og naturgassektorerne, Mulige proaktive ydelser Denne type ydelser kan bidrage til virksomhedens generelle it-beredskab. Virksomhedernes egne risiko- og sårbarhedsvurderinger samt egen tilrettelægning af it-beredskabsarbejde lægges til grund for at vurdere om en ydelse er relevant. Vejledningsmateriel for specifikt udstyr eller system Denne ydelse er kendetegnet ved at virksomhederne bibringes vejledning i, forsyningskritisk udstyr bør håndteres for at øge it-sikkerheden. Denne ydelse kan bestå i: - Gennemgang af virksomhedens forsyningskritiske it-systemer samt underliggende systemer. Udarbejdelse af planmateriel efter 12 i bekendtgørelse om itberedskab. - Udarbejdelse af procedure for betjening af forsyningskritisk it i relevante scenarier. Løbende underretning om relevante trusler mod virksomhedens forretningskritiske itsystemer. Denne ydelse er tilsvarende den obligatoriske proaktive ydelse, men rettet mod it-systemer af forretningsmæssig betydning. Tilkøb af denne ydelse bør bero på en forretningsmæssig risikovurdering, der er adskilt fra den risiko- og sårbarhedsvurdering påkrævet af bekendtgørelse om it-beredskab. Bistand til virksomhedernes sårbarhedserkendelse Denne ydelse er kendetegnet ved at virksomhederne bibringes viden om egne sårbarheder på baggrund af test eller undersøgelser. Denne ydelse kan bestå i: - Penetrationstest eller teknisk sårbarhedsscanning af virksomhedens forsyningskritiske systemer. - Bistand til udarbejdelse af Risiko- og sårbarhedsvurderinger. - Uddannelse i sårbarhedserkendelse. Side 6/9

8 Bistand til virksomhedernes sårbarhedshåndtering (risikomitigering) Denne ydelse er kendetegnet ved bistand til varetagelse af virksomhedens beredskabsarbejde efter bekendtgørelse om it-beredskab. Herunder: - Udarbejde handlingsplaner for håndtering af kendte risici eller sårbarheder. - Udarbejde planer for løbende vedligehold af sårbarhedsregister og handlingstiltag. Øvelses-/træningsydelser med fokus på it-sikkerhed Denne ydelse er kendetegnet ved bistand til varetagelse af virksomhedens beredskabsarbejde efter 18 og 19 i bekendtgørelse om it-beredskab. Herunder: - Udarbejde træningsscenarier af it-beredskabet. - Bistå virksomhedens øvelsesafvikling. Uddannelse af særligt udvalgte medarbejdere som beredskabspersonale it-ledelse, kommunikation mv. Denne ydelse er kendetegnet ved bistand til varetagelse af virksomhedens beredskabsarbejde efter 18 i bekendtgørelse om it-beredskab. Herunder: - Fokuserede uddannelsesforløb i sikkerhedshåndtering af virksomhedens udstyr (Hardware og software). - Uddannelse i hvordan virksomhedens it-beredskab er strukturereret. Uddannelse af medarbejdere Denne ydelse er kendetegnet ved bistand til varetagelse af virksomhedens beredskabsarbejde efter 20 i bekendtgørelse om it-beredskab. Herunder: - Awareness kampanger, uddannelsesdage, e-learning eller anden uddannelse, der skal fremme it-sikkerheden. Sikkerheden kan være bredt forstået eller rette mod informationssikkerhed generelt eller specifikt rettet mod et it-system. Monitorering af data eller netværk Denne ydelse er kendetegnes ved, at it-sikkerhedstjenesten løbende overvåger virksomhedens systemer, for at detektere anormaliteter som kan indikere angreb, datatyveri eller blot rekognoscering. Såfremt ydelse findes relevant skal kontrakten beskrive, hvordan fortrolighed håndteres ved it-sikkerhedstjenesten og i dataudvekslingen mellem denne tjeneste og et sensornetværk. Denne ydelse kan bestå i: - Opsætning af sensorer i virksomhedens netværk. - Udarbejdelse af en liste over anormaliteter (acceptable og uacceptable). - Procedure for opdatering af sensornetværket. - Procedure for test af sensornetværk. Side 7/9

9 Reaktive ydelser Denne type ydelser er kendetegnet ved, at de leveres i forbindelse med en konkret sikkerhedshændelse eller nedbrud. Ydelserne har til formål at forhindre et nedbrud i at eskalere til andre it-systemer eller genoprette et kompromitteret forsyningskritisk it-system. Nedenfor listes først de reaktive ydelser, der er obligatoriske for virksomheder påkrævet tilmelding til en reaktiv it-sikkerhedstjeneste efter 25 i bekendtgørelse om it-beredskab for el- og naturgassektorerne. Afslutningsvis listes de ydelser der er mulige at modtage for virksomhederne. Obligatoriske reaktive ydelser Denne type ydelser skal være indeholdt i kontrakt mellem virksomhed i el- og naturgassektorerne og en it-sikkerhedstjeneste kategoriseret i kategori 1 eller kategori 2 i 9 jf. 25 i bekendtgørelse om it-beredskab for el- og naturgassektorerne. Teknisk bistand til genoprettelse af forsyningskritiske it-systemer. (incident response) Denne ydelse består i bistand til at håndtere et igangværende angreb og/eller genoprette itsystemet efterfølgende. Denne ydelse er alene obligatorisk for forsyningskritiske itsystemer, defineret efter bekendtgørelse om it-beredskab for el- og naturgassektorerne. Aftalegrundlaget om denne ydelse skal som minimum indeholde: - Beskrivelse af ansvarsfordelingen mellem virksomheden og it-sikkerhedstjenesten. - Beskrivelse af ydelsens karakter. Herunder i hvilke tilfælde kontrakten aktiveres, samt mulige undtagelser fra kontrakten. - En maksimal responstid fraaktivering til fysisk fremmøde, fastsat med sammenhæng til virksomhedens risiko-og sårbarhedsvurdering. - En maksimal responstid fra henvendelse til iværksættelse af vejledende eller online tiltag. Vejledning fastsat med sammenhæng til virksomhedens risiko-og sårbarhedsvurdering. En aftale om jævnlig efterprøvning af alarmering, således at kunden har mulighed for at efterprøve it-sikkerhedstjenestens evne til at levere ydelsen på den aftalte tid. - En beskrivelse af de tekniske kompetencer der stilles til rådighed ved alarmering, herunder kvalifikationer og kompetencer ved udpegede medarbejdere ved itsikkerhedstjenesten. Disse kompetencer skal være relevante i forhold til de trusler, sårbarheder og systemer, der er relevante for den pågældende kunde. - En aftale om hvorledes it-sikkerhedstjenesten påregner at bistå kunden i tilfælde af samtidige nedbrud ved flere af it-sikkerhedstjenestens kunder. - Aftale om procedure for it-sikkerhedstjenestens adgang til virksomhedens itsystemer, der både tilsikrer at it-sikkerhedstjenesten har kendskab til de systemer virksomheden anvender samt at adgangen hertil ikke misbruges. Side 8/9

10 Mulige reaktive ydelser Denne type ydelser kan bidrage til virksomhedens generelle it-beredskab. Virksomhedernes egne risiko- og sårbarhedsvurderinger samt egen tilrettelægning af it-beredskabsarbejde lægges til grund for at vurdere om en ydelse er relevant. Bistand til krisestyring (incident management) Denne ydelse består i at understøtte en effektiv og sikker krisestyring afledt af et nedbrud eller angreb. Denne ydelse er et tillæg til akut teknisk bistand (incident response), og kan bestå af: bistand til udarbejdelse af diverse underretninger til kunder, ledelse og myndigheder, bistand til at koordinerer internt i virksomheden og med samarbejdsparter, opsætning af midlertidige eller nye installationer. Aftalegrundlaget om denne ydelse skal som minimum indeholde en afgræsning af it-sikkerhedstjenestens ansvar og virksomhedens ansvar i relation til: - Krisestyring internt, herunder mødeledelse, forplejning, intern kommunikation og beføjelser. - Kommunikation til kunder. - Kommunikation til offentligheden. - Kommunikation til Energinet.dk, dette fastholdes ved virksomheden jf. 21, stk. 1 i bekendtgørelse om it-beredskab, men it-sikkerhedstjenesten kan bistå denne kommunikation. Malware eller artifact håndtering Denne ydelse består i analyse af data-stykker fra en nedbrud eller angreb, denne analyse kan bibringe informationer om, hvordan en angriber har gennemført et angreb. Denne type analyse kan være tidskrævende og kan have varieret værdi. Virksomhederne må på baggrund af de konkrete hændelser vurdere om, der er behov for denne type udredning af hændelsesforløbet. Teknisk bistand til håndtering af ikke forsyningskritiske it-systemer. Virksomhederne kan endvidere have kontrakter med it-sikkerhedstjenester om ydelser til håndtering af ikke forsyningskritiske systemer, det vil sige it-systemer, så som administrative systemer, der ikke er sammenhængende med forsyningskritiske it-systemer. Indgåelse af kontrakter om sådanne ydelser beror på en forretningsmæssig helhedsbetragtning, og er derfor ikke indeholdt i virksomhedernes risiko- og sårbarhedsvurderinger efter 10 i bekendtgørelse om it-beredskab i el- og naturgassektorerne. Side 9/9