Hacking, phising og skadevare brer om seg i stadig større omfang, og mer og mer er det bedriftene som rammes heller enn deg og meg. For det er der de store skadene kan gjøre, og hvor de store pengene ligger. Med internasjonale standarder kan man bruke anerkjente, internasjonale metoder som kan sikre deg bedre mot fiendtlige angrep.

Vi hører stadig om nye bedrifter som har blitt utsatt for ransomware og valgt å betale ut løsepenger. Eller ikke. Det er selvfølgelig veldig kjedelig for en liten bedrift å ha begrenset tilgang til egne datasystemer eller hvor nettbutikken ikke er tilgjengelig, men det kan være vesentlig mer alvorlig når det skjer bedrifter som Colonial Pipeline. Colonial Pipeline så i begynnelsen av mai 2021 seg nødt til å stenge ned en største drivstoffrørledningen i USA i nesten en uke.

Standarder gir rammer for cybersikkerhet

Det finnes mange metoder og flere standarder innenfor IT-sikkerhet, men to standardserier fra henholdsvis ISO og IEC peker seg ut.

Standardene i ISO/IEC 27000-serien hører til ISO sin serie med ledelsessystemer og tar for seg informasjonssikkerhet og sikringsteknikker. Denne serien vil være en hjelp for organisasjoner til å håndtere informasjonssikkerhetsrisiko. De dekker trusler, sårbarheter og konsekvenser, samt utforming av kontroller for å beskytte konfidensialitet, integritet og tilgjengelighet av data og for å regulere tilgang til kritiske informasjonssystemer og nettverk.

En annen internasjonal standardserie fra IEC er NEK IEC 62443 som omhandler Industrial communication networks. Disse ble opprinnelig utviklet for industriell prosessindustri, men brukes i voksende grad av domener og ulike bransjer. Brukere inkluderer kraftforsyninger, helsesektoren og transportnæringen. Standardserien gir veiledning om implementering av et rammeverk for styring av cybersikkerhet for cyber-fysiske systemer med både IT og OT (operativ teknologi).

IECQ AP-ordningen tester og gir sertifisering for at kravene i ISO / IEC 27001 er oppfylt. IECEE Industrial Cyber Security Program gjør det samme for standarder i NEK IEC 62443-serien.

Integritet og konfidensialitet med NEK IEC 62443

Å ivareta integritet og konfidensialitet for alle systemkomponenter krever ikke bare at det tas hensyn til individuelle endepunkter, men også til integrasjonen og sammensetningen som helhet. Stadig gjelder dette også endringene av forholdene rundt endepunkter og autorisert bruk. Dette fører til økt kompleksitet, som må styres og ivaretas gjennom hele livsløpet. Dette gjelder på tvers av utvikling og forbedring av selve systemet. Samtidig endres trussellandskapet med tiden, og med det, nye utfordringer og risikoer. NEK IEC 62443-serien definerer de generelle kravene for en integrert tilnærming til cyber-fysisk risikostyring. Denne standarden gjør det mulig med sikker kommunikasjon og drift blant nøkkelaktører og interessenter.

Seminar om cybersikkerhet

For å sette søkelys på standardiseringens bidrag i kampen mot cyberkriminalitet vil Norsk Elektroteknisk Komite (NEK) holde et dagsseminar om dette temaet i cybersikkerhetsmåneden oktober. Torsdag 21. oktober vil lederen av arbeidsgruppe AG1 Cybersikkerhet i NEKs normkomite NK65 og direktør for Cybersikkerhet Sopra Steria Kenneth Titlestad ta oss med på en generell runde gjennom IT-OT-sikkerhet. Videre vil vi Prof. dr. Siv Hilde Houmb seniorrådgiver sikkerhet, Statnett og professor ved NTNU sette fokus på cybersikkerhet innen kraftbransjen, samt dele erfaringer fra olje- og gassanlegg.

Les mer og meld deg på NEK Cybersikkerhetskonferanse 2021

Om NEK

Norsk Elektroteknisk Komite (NEK) er en aktiv, selvstendig og nøytral medlemsorganisasjon som har ansvaret for norsk standardiseringsarbeid innen el- og ekom.

NEK har som formål å arbeide for standardisering på det elektrotekniske området og er ansvarlig for utarbeidelse og godkjenning av Norske Elektrotekniske Normer. NEKs overordnede mål er å sikre at Norske Elektrotekniske Normer fullt ut dekker næringslivets, elforsyningens, og den offentlige og private sektors behov for normer med krav til sikkerhet, funksjon og miljø. NEK utgjør, sammen med Standard Norge og Nasjonal Kommunikasjonsmyndighet, Nkom, standardiseringen i Norge.

NEK er det norske medlemmet i den europeiske standardiseringsorganisasjonen CENELEC og den tilsvarende globale organisasjonen IEC.