Cybersikkerhet i energisektoren

Verden opplever et forsterket trusselbilde på et geopolitisk nivå. Samtidig digitaliseres energisektoren i høyt tempo. Digitaliseringen av energiforsyningen, og økningen i verdien av digital infrastruktur, påvirker risikobildet. Aktørene i bransjen blir sårbare for bortfall av tjenester, manipulering med sensitiv og kritisk data, og uønsket overtakelse av informasjonssystemer. Virksomheter i energisektoren håndterer ofte i tillegg systemer av kritisk samfunnsverdi. Dette gjør ekstra viktig å håndtere det digitale trusselbilde på en god måte, men gir samtidig også ekstra utfordringer med å implementere tilstrekkelige sikkerhetstiltak.

Cyberkriminelle finner veien inn i systemene, utnytter store forandringer, og manipulerer ansatte i situasjoner hvor det hersker usikkerhet. Gjennom strukturert arbeid med rutiner og prosesser, systematisk testing av systemer og nettverk, opplæring og bevisstgjøring av ansatte, samt deling av erfaringer på tvers av sektoren vil selskapene stå bedre rustet skulle et cyberangrep inntreffe.

Gjennom webinar og relevant innhold ønsker vi å rette søkelyset mot cybersikkerhet i energisektoren, og dele våre råd og erfaringer fra mange års arbeid innen den sektoren.

Sikkerhetstesting og etterlevelse av regulatoriske krav

Bli med oss på morgenen den 24. november for det første webinaret i serien. Vi ser nærmere på betydningen av sikkerhetstesting, hvordan etterleve regulatoriske krav, og deler vår erfaring med sikkerhetstesting gjennom 16 år.

Vi svarer på spørsmålene...

  • Hvorfor og hvordan gjennomføre sikkerhets- / penetrasjons- / inntrengningstesting i sektoren?
  • Hvilke tester gir størst verdi, både for virksomheten og for etterlevelse av regulatoriske krav?
  • Hvordan møter vi de geopolitiske utfordringene gjennom sikkerhetstesting?
  • Hvordan gjennomføre tester mot IT og OT miljøer, spesielt i overgangen mellom miljøene?
  • Hvordan gjennomfører man sonetesting? Vi deler våre erfaringer med sikkerhetstesting av interne nettverk oppdelt i soner, og ser på verdien dette kan ha for energisektoren
  • Til sist svarer vi på spørsmål

Kristisk infrastruktur underlagt regulatoriske krav

Deler av energisektoren forvalter kritisk infrastruktur (KI), og er underlagt kraftberedskapsforskriften§ 6-9 - Digitale informasjonssystemer gir retningslinjer for hvilke aktiviteter som skal gjennomføres på jevnlig basis.

Virksomheter skal ha en grunnsikring for digitale informasjonssystemer i henhold til anerkjente standarder og normer, herunder:

a) Identifisere og dokumentere

Virksomheter skal identifisere og dokumentere verdier, leveranser, tjenester, systemer og brukere i sine digitale informasjonssystemer.

b) Risikovurdering

Virksomheter skal gjennomføre risikovurdering ved systemendringer.

c) Sikre og oppdage

Virksomheter skal sikre sine digitale informasjonssystemer for å motstå eller begrense skade fra uønskede hendelser.

Virksomheter skal overvåke sine digitale informasjonssystemer slik at uønskede hendelser oppdages og registrere.

Virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til den beredskapsmyndigheten bestemmer.

d) Håndtere og gjenopprette

Virksomheter skal håndtere uønskede hendelser i sine digitale informasjonssystemer og gjenopprette normaltilstand uten ugrunnet opphold.

e) Tjenesteutsetting

Virksomheter skal sørge for at sikkerhetsnivået opprettholdes eller forbedres ved utsetting av tjenester.

f) Sikkerhetsrevisjon

Virksomheter skal jevnlig gjennomføre revisjoner av iverksatte sikringstiltak for digitale informasjonssystemer.

Revisjoner skal påse at tiltakene faktisk er etablert og fungerer etter sin hensikt. Hver revisjon kan ta for seg deler av sikringstiltakene.

Vi har i flere år jobbet med energisektoren og opparbeidet oss verdifull kunnskap og kompetanse. Dette omfatter alle deler av cybersikkerheten, men spesielt innenfor sikkerhetstesting / penetrasjonstesting / inntrengningstesting.