Bedre arbeid med risikovurderinger av informasjons- og cybersikkerhet

Kartleggingen vi har gjort i år viser at jernbanevirksomhetene i større grad planlegger og gjennomfører risikovurderinger av applikasjoner og IKT-systemer.

Publisert: 23.04.2021   Endret: 23.04.2021

Sikkerhetsstyringsforskriften og sikringsforskriften stiller krav til jernbanevirksomhetene om at styringssystemet deres skal ta hensyn til alle relevante risikoer som kan påvirke virksomheten. I slutten av 2019 påla vi virksomhetene å opplyse om hvilke applikasjoner og IKT-systemer de brukte ved togfremføringen og i hvilken grad systemene er koblet til internett. Vi påla dem også å opplyse om hvordan de bruker disse applikasjonene og om systemene var risikovurdert.

I årets undersøkelse ville vi nok en gang kartlegge virksomhetenes bruk og risikovurderinger av applikasjoner og IKT-systemer til togfremføring. Vi etterspurte også hvilken beredskap de har – både planverk og øvelser – for å håndtere hendelser med informasjons- og cybersikkerhet.

Hovedfunnene etter årets undersøkelse er at:

  • virksomhetene arbeider bedre med risikovurderinger av informasjons- og cybersikkerhet
  • planlegging av og gjennomføring av beredskapsøvelser kan bli bedre

Antall risikovurderinger har økt med 20 prosent

Bare noen få virksomheter oppga at de ikke eier og forvalter IKT-systemer som er relevante for togfremføring, og at de derfor ikke har gjennomført risikovurderinger. Alle virksomheter med relevante systemer oppga at de hadde gjennomført risikovurderinger av relevante applikasjoner og/eller IKT-systemer.

Antall gjennomførte risikovurderinger har økt med 20 prosent fra 2019. Dette tyder på at virksomhetene arbeider bedre med informasjonssikkerhet.

Virksomhetene oppga at de har egne prosedyrer og rutiner for å gjennomføre risikovurderinger. Flere oppga at rutinene og prosedyrene følger anerkjente standarder som NS5832, ISO/IEC 27001 og ISO/IEC 31000.

Stor variasjon innen beredskap

Innen beredskap er det stor variasjon mellom virksomhetene når det gjelder beredskapsplaner og tiltakskort og øvelser for hendelser med informasjons- og cybersikkerhet.

Flere av virksomhetene har stilt krav til leverandørene sine om oppetid og redundans for å sikre at IKT-systemene er tilgjengelige. Noen virksomheter krever også at leverandørene har beredskapsplaner og gjennomfører beredskapsøvelser. Virksomhetene følger opp at leverandørene oppfyller kravene, for eksempel ved at uavhengige parter reviderer leverandørene.

De store virksomhetene har prosedyrer for å håndtere IKT-hendelser («Incident Management»). Disse virksomhetene har egne beredskapsplaner og/eller tiltakskort for IKT-hendelser.

Flere av virksomhetene har testet leverandørens løsninger for sikkerhetskopiering og gjenoppretting og redundans. Det er hovedsakelig de store virksomhetene som har gjennomført eller har planlagt å gjennomføre egne beredskapsøvelser for hendelser med informasjons- og cybersikkerhet. Enkelte selskaper har fulgt med i nyhetsbildet om hendelser i andre sektorer. Ransomware-angrepet mot Norsk Hydro i 2019 ble oppgitt som et scenario som også er relevant for virksomheter på jernbanen. Derfor har enkelte virksomheter planlagt øvelser i 2021 basert på et slikt scenario.

Togselskapene og infrastrukturforvalteren samarbeider bare unntaksvis

Det er bare unntaksvis at togselskapene og infrastrukturforvalteren samarbeider om risikovurderinger, beredskapsplaner og -øvelser for hendelser med informasjons- og cybersikkerhet, ifølge undersøkelsen vår. Enkelte virksomheter oppga at de har gjennomført dialogmøter om risikovurdering av IKT-systemer som er relevante for togfremføring. Dette gjelder for eksempel risikovurdering av å bruke FIDO (distribusjonssystemet for kunngjøringer).

Beredskapsplaner som ble delt mellom infrastrukturforvalteren og togselskaper omhandler topphendelser, for eksempel avsporinger. Beredskapsplanene dekker ikke hendelser med informasjons- og cybersikkerhet.

En positiv observasjon er at flere virksomheter trekker frem det kommende CISO-forumet i Sikringsutvalget (SUS) som en naturlig arena for å diskutere og samarbeide om risikovurderinger og beredskap på tvers.

Tema for tilsyn

Informasjons- og cybersikkerhet er et tema for tilsyn vi skal utføre i 2021 i form av revisjoner, veiledning osv.

Vi oppfordrer virksomhetene til å ta kontakt med oss hvis de har behov for veiledning om:

  • krav til risikovurdering og beredskap knyttet til informasjons- og cybersikkerhet
  • krav til styringssystem for sikkerhet og sikring generelt