Veileder om digital sikkerhet TEST

Denne veilederen omhandler digital sikkerhet for å bevisstgjøre jernbanevirksomhetene på å kunne møte digitale utfordringer på en bedre måte.

Kort sagt:

Målgruppen for veilederen er alle jernbanevirksomheter som er underlagt jernbanelovgivningen. Eksempler på virksomhetstyper er togselskaper, trikk, forstadsbane, museumsbane, T-bane og infrastrukturforvalter.

Introduksjon

Digitaliseringen av det norske samfunnet utfordrer alle aktørene i samfunnet. Digitale infrastrukturer og systemer blir stadig mer komplekse, omfattende og integrerte. Det skapes avhengigheter og sårbarheter på tvers av ansvarsområder, sektorer og nasjoner. Det forventes at digitale tjenester skal være tilgjengelige til enhver tid. Vellykket digitalisering handler også om at løsningene ivaretar krav til sikkerhet og den enkeltes personvern på en god måte. Vi skal også ha tillit til at digitale løsninger fungerer slik de skal og at ikke uvedkommende kan endre informasjonen.

Illustrasjon av hacking av PCI denne veilederen er digital sikkerhet et samlebegrep for IKT-sikkerhet, datasikkerhet, informasjonssikkerhet og cybersikkerhet. En god digital sikkerhet skal kunne ivareta både tilsiktede uønskede handlinger og uønskede hendelser.

Digitalisering og teknologiutvikling i jernbanesektoren gjør at god styring av jernbanevirksomheten blir stadig viktigere. Flere og flere IKT-systemer tas i bruk ved framføring av tog, T-bane og trikk. Dette fører med seg nye sårbarheter som kan føre til både tilsiktede uønskede handlinger og uønskede hendelser. Dere bør derfor ha en god strategi for å ivareta den digitale sikkerheten.

Bakgrunn og hensikt

Farer og trusler for norske virksomheter er stadig mer sammensatt og mer uoversiktlig. Digitale verdikjeder er lange og uoversiktlige. De favner flere sektorer og går over landegrenser. Dette er en kjerneutfordring når digital sårbarhet skal vurderes. Eksempelvis eksisterer ikke geografiske avstander på internett.

Virksomheter innen samfunnskritiske funksjoner – som en jernbanevirksomhet er – er derfor potensielt eksponert for kriminelle, aktivister, terrorister og statlige aktører som vil utnytte eller påvirke virksomheter eller leverandører og samarbeidspartnere.

Eksempel: Gjennom norske sikkerhetsmyndigheters trusselvurderinger vet vi følgende:
  • Ressurssterke statlige aktører arbeider for å destabilisere og svekke handleevnen og handlekraften til vestlige nasjoner.
  • Ressurssterke statlige aktører arbeider for å samle informasjon om mennesker og teknologi som kan bidra til å utvikle seg til å få en større global anerkjennelse.
  • Kriminelle er godt organisert, besitter høy kompetanse og driver «business» med god lønnsomhet ved å gå målrettet etter virksomheter med mangelfull sikkerhet.
  • Særlig er det digitale trusselbildet i stadig utvikling. Sikring av IKT- og OT-systemer blir stadig mer krevende og stiller økte krav til kompetanse. Det er flere årsaker til dette, blant annet følgende:
  • Digitalisering av samfunnet øker. IKT- og OT-systemer blir stadig mer komplekse og sammenvevde, med til dels uoversiktlige leverandørkjeder og avhengigheter til annen infrastruktur som også går igjennom tilsvarende utvikling.
  • Trusselaktørenes «verktøykasse» utvikler seg. Angrepsmetoder og verktøy blir mer avanserte, rimeligere og lettere tilgjengelig. I tillegg kommer en rivende utvikling av «nye» angrepsvektorer som Deep Fakes, kunstig intelligens (KI) og maskinlæring.

Virksomheter innen samfunnskritiske funksjoner – som blant annet samferdsel (jernbanevirksomheter), kraft, telekom, bank og finans og petroleumssektoren – er attraktive mål for å hente informasjon. Dette gjelder særlig etterretningsaktører, men også kriminelle aktører på jakt etter økonomisk vinning gjennom for eksempel manipulasjon av kurser og aksjer, eller industrispionasje.

Dette betyr at alle ansatte hele tiden må være oppmerksomme og arbeide bevisst for å ivareta sikkerheten i virksomheten.

Travle hverdager for folk flest kan være med å påvirke bevissthetsnivået til den enkelte av oss. Dette kan føre til at uønskede handlinger oppstår etter en ubevisst handling. Eller det kan være naturpåvirkninger som fører til skade på infrastruktur (kabler, tekniske hus, etc.).

Videre i denne veilederen er det beskrevet ulike eksempler.

Definisjoner

Cyber-
sikkerhet
En utvidelse av fagområdet datasikkerhet, som også tar for seg IKT-baserte enheter og infrastruktur. Cybersikkerhet fokuserer på internett-relaterte trusler.
Data-
sikkerhet
Samlebetegnelse for metoder, tjenester og verktøy som sikrer at digital informasjon og digitale systemer ikke uten eiernes ønske eller forutgående handling, blir utilgjengelig, går tapt, blir lest eller endret.
Informasjons-
sikkerhet
Dette har med sikring av informasjon å gjøre, uavhengig av om den er lagret digitalt eller på papir. Dette gjelder også for eksempel avlytting av samtaler og lesing av dokumentasjon over skuldre.
IKT-
sikkerhet
Dette har å gjøre med sikring av Informasjons- og kommunikasjonsteknologi, som maskinvare og programvare.
Innsider
(bevisst)
En person som med forsett utnytter egne legitime tilganger for ondsinnede formål, på vegne av seg selv eller andre. Ulike årsaker kan ligge bak, drevet av egne motiv som misnøye, hevn, ideologi, økonomi eller annet.
Eller det kan være en person som blir rekruttert eller utpresset av en statlig eller ikke-statlig trusselaktør.
Innsider
(ubevisst) 
En som uvitende videreformidler informasjon som ikke skulle vært videreformidlet uten å forstå det. Dette skjer gjennom handlinger i en stresset hverdag som resulterer i økt sårbarhet, skade eller tap for virksomheten. Vedkommende kan ha blitt manipulert eller forledet, eller personen har ikke kompetanse til å forstå konsekvensene av handlingen sin.
IT-sikkerhet  Til en viss grad kan IT-sikkerhet sees på som en samlebetegnelse for disse begrepene.
Nettverks-
sikkerhet
Sikkerhetstiltak og sikkerhetsmekanismer som gjør at et datanettverk med tilhørende kommunikasjon utgjør minst mulig sikkerhetsrisiko.
OT Operasjonell teknologi-sikkerhet er tiltak og metoder som er utformet for å beskytte og sikre systemer og teknologier som brukes i industrielle miljøer og produksjonsmiljøer. Dette inkluderer styringssystemer, industrielle kontrollsystemer (ICS), maskinvare, programvare og nettverk som brukes til å overvåke og kontrollere produksjonsprosesser.
Sammensatte
trusler
Bruk av ulike angrepsmetoder for å oppnå ønsket effekt for en trusselaktør, inkludert digitale, påvirkning av beslutninger og fysiske.

Krav fra myndighetene

Jernbanelovgivningen stiller krav til styring av sikkerhet og sikring med hjemler både i sikkerhetsforskriften og CMS SMS, samt sikringsforskriften for jernbanevirksomheter på det nasjonale jernbanenettet. Tilsvarende gjelder sikringsforskriften og kravforskriften for jernbanevirksomheter som driver tunnelbane, trikk og forstadsbane.

Lover og forskrifter stiller krav til at styringssystemet skal ta hensyn til relevante risikoer forbundet med virksomheten og risikoer som følge av uønskede hendelser og tilsiktede uønskede handlinger.

Lover og forskrifter stiller også krav om at dere skal planlegge og gjennomføre risikovurderingene som er nødvendige for å fastslå om driften er innenfor akseptabel risiko, inkludert for digital sikkerhet.

Relevante krav i jernbanelovgivningen

Merk at for noen av myndighetskravene er kravteksten avkuttet for å fremheve de mest relevante delene.

Sikkerhetsforskriften

§ 4-4. Tilpasning av sikkerhetsstyringssystemet

  1. Sikkerhetsstyringssystemet skal være tilpasset arten og omfanget av driften, samt andre forhold ved den aktuelle virksomheten. Det skal sikre kontroll med alle risikoer knyttet til jernbanevirksomheten, inkludertlevering av vedlikeholdstjenester og materiell, samt bruk av underleverandører. Levering av vedlikeholdstjenester gjelder med forbehold om kapittel 8.
CMS SMS

1.1. Organisasjonen skal

b) identifisere alvorlige sikkerhetsrisikoer som er forbundet med jernbanedriften, enten den utøves av organisasjonen selv eller av kontraktører, partnere eller leverandører som er underlagt dens kontroll

3.1.1.1. Organisasjonen skal

a) identifisere og analysere alle driftsmessige, organisatoriske og tekniske risikoer som er relevante for arten og omfanget av driften som organisasjonen utfører.

Sikringsforskriften

§ 3-3. Beskyttelse av informasjon

Jernbanevirksomheten skal identifisere alle typer informasjon som kan utnyttes til tilsiktede uønskede handlinger.

Jernbanevirksomheten skal sikre at informasjonen

  1. ikke blir kjent for uvedkommende (konfidensialitet)
  2. ikke uautorisert endres eller går tapt (integritet)
  3. er tilgjengelig for den som trenger den i tjenesten (tilgjengelighet).

§ 3-4. Informasjons- og kommunikasjonssystemer

Jernbanevirksomheten skal identifisere informasjonssystemer og kommunikasjonssystemer som kan utnyttes til tilsiktede uønskede handlinger og gjennomføre egnede tiltak for å sikre systemene.

§ 3-5. Taushetsplikt

Alle som får eller har hatt tilgang til informasjon som skal beskyttes etter § 3-3, har taushetsplikt.

Informasjon som skal beskyttes etter § 3-3 kan likevel gis til andre når det er nødvendig for driften eller for samarbeid og samordning av tiltak for å sikre trygg drift. Den som gir informasjonen, skal samtidig gjøreoppmerksom på taushetsplikten.

Kravforskriften

Kapittel 5. Ressursstyring

§ 5-1.Kompetansekrav

Jernbanevirksomheten skal ha kompetansekrav som angir nødvendig minimumskompetanse for utførelse av alle oppgaver og funksjoner av betydning for jernbanevirksomhetens arbeid med sikkerheten. Jernbanevirksomheten skal videre sørge for at kompetansekrav for oppgaver som utføres av leverandører sikrer den kompetanse som jernbanevirksomheten anser som nødvendig.

§ 5-2.Kompetanse

Jernbanevirksomheten skal ha tilgjengelig den kompetanse som er nødvendig for at virksomheten skal drives innenfor akseptabel risiko.

Dersom oppgavene av sikkerhetsmessig betydning utføres av leverandør skal jernbanevirksomheten ha nødvendig kompetanse blant annet til å kunne spesifisere krav til leveranser, følge opp leverandøren og ta stilling til leveransen.

Egne ansatte og ansatte hos leverandører, som utfører oppgaver av betydning for jernbanevirksomhetens arbeid med sikkerhet, skal ha tilstrekkelig kompetanse i forhold til oppgavene.

§ 5-3.Opplæring

Jernbanevirksomheten skal ha opplæringsprogrammer for egne ansatte, samt krav og systemer som sikrer at deres kompetanse opprettholdes slik at arbeid av betydning for sikkerheten kan utføres på en tilfredsstillende måte.

Jernbanevirksomheten skal stille krav til at leverandører har systemer for å sikre at deres ansattes kompetanse opprettholdes i forhold til arbeid av betydning for sikkerheten som vedkommende skal utføre.

§ 5-4.Sikkerhetsmessig tilrettelegging av arbeidsmiljøet

Jernbanevirksomheten skal tilrettelegge arbeidsmiljøet for mestring av arbeidsoppgaver av betydning for sikkerheten.

Standarder, rammeverk og veiledere

Det finnes flere anerkjente rammeverk for å ivareta digital sikkerhet som dere kan ta utgangspunkt i for å styre digital sikkerhet. Noen av disse er:

  • NS EN ISO/IEC 27000-serien (anerkjente standarder for ledelsessystemer for informasjonssikkerhet)
  • NEK IEC 62443 Industrial communication networks – Network and system security (anerkjent innen informasjons- og cybersikkerhet i styrings- og kontrollsystemer (OT-systemer))
  • EN 50126-2:2017 Jernbaneapplikasjoner Spesifikasjon og demonstrasjon av pålitelighet, tilgjengelighet, vedlikehold og sikkerhet (RAMS) Del 2: Systemtilnærming til sikkerhet
    11.3 Hazard identification
  • NSMs grunnprinsipper for IKT-sikkerhet
  • CIS Top 20 Critical Controls

Hvis dere bruker NEK IEC 62443 er det nyttig å se til TS 50701 Railway applications – Cybersecurity. Den tilpasser standarden til jernbaneforhold.

Dere bør vurdere om standardene nevnt over eller andre standarder er best egnet med hensyn til formål og omfang for styring.

Dere har ansvar for å styre risiko som kan oppstå når leverandørene utfører oppgaver med betydning for sikkerhet og sikring.

Digital sikkerhet

Utfordringer

Digitaliseringen er viktig for samfunnsutviklingen, men er også utfordrende. Samfunnets sårbarhet for digitale trusler blir stadig større, og en god forståelse av samfunnets digitale avhengigheter blir viktigere. Infrastrukturer og IKT-systemer blir mer komplekse, globale og integrerte. Flere enheter kobles til internett, og bruk av skyløsninger øker. Behovet for å redusere kostnader og øke tilgangen til kompetanse gjør at flere IKT-funksjoner settes ut til tredjeparter, særlig i lavkostland. Sammensatte (hybride) trusler visker ut det tradisjonelle skillet mellom fred og væpnet konflikt. Truslene utfordrer tradisjonell ansvarsplassering mellom sivil og militær sektor.

Den raske utviklingen gjør det krevende å forutse hvilke trusler som vil prege risikobildet.

Tyv med ransutbytte i pose.

Trolig vil enkelte trusler fortsette å prege risikobildet de neste årene:

  • løsepengevirus
  • industrispionasje
  • sabotasje
  • personutpressing
  • krenkelser på nett
  • ID-tyveri

Dette er trusler mot privatpersoner og virksomheter. Konsekvensene kan være svært alvorlige for de som rammes.

Mange aktører i jernbanesektoren

Jernbanesektoren består av

  • jernbaneforetak
  • infrastrukturforvaltere
  • leasingselskap
  • leverandører av jernbanekjøretøy
  • systemer om bord
  • vedlikeholdstjenester
  • konsulenter, etc.

Dette er også utfordrende for digitaliseringen og fordeling av ansvar for digitaliseringen.

I tillegg finnes leverandører av skytjenester, andre digitale løsninger og verktøy som løser utfordringene med kommunikasjon og informasjonsdeling mellom alle aktørene i jernbanesektoren.

Ofte vil leverandører av jernbanekjøretøy tilby digitale verktøy og dokumentasjon til jernbaneforetakene og vedlikeholdsleverandørene. Da er det viktig å ha kontroll på at verktøyene administreres og holdes oppdatert i tråd med den digitale sikkerheten.

Ansvaret skal være tydelig fordelt mellom partene. Det kan for eksempel være USB-minnepinner eller en bærbar datamaskin som brukes til å oppdatere utstyr om bord i jernbanekjøretøy. Disse må ivaretas på samme måte som annet IKT-utstyr.

Innsidetrussel

Den sikkerhetspolitiske situasjonen har endret seg de siste årene. Innsiderisikoen er enda mer aktuell. En innsider omtales gjerne også som utro tjener.

Innsidevirksomhet handler om personer som kan komme til å utnytte sine legitime tilganger til jernbanevirksomhetens verdier for uautoriserte formål. En innsider kan være en nåværende eller tidligere ansatt, konsulent eller innleid, som har eller har hatt en legitim tilgang til jernbanevirksomhetens systemer, prosedyrer, objekter og informasjon. Så misbruker vedkommende tilgangen slik at jernbanevirksomheten påføres tap eller skade.

Eksempel på utro tjener:

E24, 19. februar 2024:

Flere utro tjenere avslørt i DNB

DNB har avslørt ansatte som stjeler kundelister, lekker interninformasjon og har forsøkt å manipulere datasystemene i oppsigelsestiden.
Banken har vært vitne til flere straffesaker som handler om korrupsjon, bedrageri og tilrettelegging for kriminell aktivitet, ikke bare blant kunder og eksterne aktører, men også hos bankens egne ansatte.
DNB følger i større grad med på trusler på innsiden av selskapet enn tidligere, skriver Dagens Næringsliv.

– Vi tenker ikke lenger bare på en ekstern hacker. Vi tenker også på en som kan være betrodd, og har lov å logge inn på systemet. Det er en ny måte å tenke på, sier DNBs sikkerhetsdirektør til DN.

Han sier DNB jevnlig observerer innsideaktivitet, særlig informasjonstyveri i oppsigelsesperioden til ansatte på vei inn i ny jobb, og storbanken opplyser at har valgt å anmelde flere av sakene til politiet. DNB følger i større grad med på trusler på innsiden av selskapet enn tidligere, skriver Dagens Næringsliv.

Strategi for risikostyring

Strategien deres bør legge vekt på at dere, leverandører og samarbeidspartnere sammen utvikler tiltakene som kan styrke den digitale sikkerheten. Med bakgrunn i sikkerhetsutfordringene, legges følgende overordnede mål til grunn:

  1. Dere digitaliserer på en sikker og tillitsvekkende måte, og har bedre evne til egen beskyttelse mot uønskede digitale hendelser.
  2. Kritiske samfunnsfunksjoner blir understøttet av en robust og pålitelig digital infrastruktur.
  3. Digital sikkerhetskompetanse styrkes i tråd med deres og samfunnets behov.
  4. Dere har en bedre evne til å avdekke og håndtere digitale angrep.

Gjennomfør risikovurdering av digital sikkerhet

Å ivareta digital sikkerhet er først og fremst et virksomhetsansvar. Ledelsen hos dere er ansvarlig for at det utføres risikovurderinger. På bakgrunn av vurderingene besluttes nødvendige tiltak. Det kan være menneskelige, tekniske og organisatoriske tiltak.

Myndighetene ønsker å legge til rette for at virksomheter kan beskytte seg mot uønskede digitale hendelser, både for å ivareta egen sikkerhet og for å øke samfunnets samlede robusthet.

Myndighetene forventer at dere arbeider risiko- og kunnskapsbasert. Dere skal drive med kontinuerlig forbedring gjennom læring fra analyser, utredningsprosjekter, uønskede hendelser og øvelser. Med en god risikobasert tilnærming til digital sikkerhet vil dere kunne styrke det forebyggende arbeidet. En systematisk tilnærming til håndtering av risiko vil redusere muligheten for at uønskede digitale hendelser får konsekvenser for egen og andres virksomhet. Dere bør ha mål, etablere akseptkriterier og iverksette tiltak for å oppnå et forsvarlig sikkerhetsnivå.

Eksempel: Forebyggende arbeid omfatter at jernbanevirksomheten har følgende på plass:
  • Den har en risikobasert tilnærming til uønskede digitale hendelser, og bruker anerkjente rammeverk, standarder og styringssystemer for digital sikkerhet.
    • Inkluder digital sikkerhet i virksomhetens risikostyring.
  • Styringssystemet, som omfatter digital sikkerhet, understøtter virksomhetenes hovedfunksjon, og bidrar til at sikkerhetshendelser i virksomheten ikke medfører alvorlig skade hos seg selv eller andre med å bygge robusthet og redundans i de digitale tjenestene, slik at de til enhver tid er sikre og pålitelige.
    • Etabler tilstrekkelig systematikk for styring av sikkerhet og sikring, og sørg for at en fagperson innen IKT støtter ledelsen i arbeidet.
    • Etabler tydelig ansvar i virksomheten, og effektive rapporteringslinjer til toppledelse og styre.
    • Lag en oversikt over virksomhetens sentrale mål, hvilke verdier og verdikjeder som inngår, hvor viktige data og informasjon lagres og hvem som har tilgang til disse dataene og informasjonen.
  • Informasjon om trusler, sårbarheter, hendelser og effektive tiltak deles med relevante myndigheter og andre jernbanevirksomheter for å øke robusthet mot uønskede digitale hendelser.
  • Den følger råd, anbefalinger og veiledninger om digital sikkerhet fra relevante myndigheter eller andre aktører for å øke eget kunnskapsgrunnlag for sikkerhetsarbeid.
  • Den har god digital dømmekraft og god sikkerhetskultur.
    • Kartlegg virksomhetens sikkerhetskultur innen IKT og identifiser hva som kan forbedres.
    • Fastsett ønsket kultur og gjennomfør tilpasset, årlige treningsprogram for å fremme god sikkerhetskultur.
  • Den eier digital infrastruktur og gjennomfører risikovurderinger for å identifisere sårbarheter og gjensidige avhengigheter mellom infrastrukturer for å sikre en helhetlig sikring av digitale verdikjeder.
  • Den eier digital infrastruktur og gjennomfører tiltak som sørger for forsvarlig sikkerhet i disse.
    • Benytt barrieretankegangen innen digital sikkerhet og enkeltfeilprinsippet: Om en ansatt skulle klare å klikke på en skadelig lenke, bør etablerte tiltak hindre videre skade.
      «Ett hull i båten bør ikke kunne senke den, enten om hullet er tilsiktet eller utilsiktet. Videre bør man ha flere mindre båter på vannet i stedet for en stor slik at om en båt får skader så blir ikke de andre berørt, jamfør oppdeling (segmentering) av nettverket i jernbanevirksomheten og ha kontroll på alle ledd mellom segmentene.»
      Oppdelingen bør også gjelde om bord i jernbanekjøretøy ved at publikumsnett, tekniske nett og nett med sikkerhetsfunksjoner er adskilt fra hverandre.
    • Oppgrader program- og maskinvare, fjern unødvendig kompleksitet og ubrukt funksjonalitet.
    • Blokker kjøring av ikke-autoriserte programmer.
    • Installer sikkerhetsoppdateringer så raskt som mulig.
    • Beskytt trådløse nettverk med sterke sikkerhetsmekanismer.
    • Planlegg og dokumenter endringer.
    • Slå på logging og gjennomgå viktige logger jevnlig.
    • Bruk kun siste versjon av nettlesere.
    • Beskytt e-post med DMARC (Domain-based Message Authentication, Reporting and Conformance).
    • Krypter viktig informasjon når den lagres på bærbare medier og når den sendes over nettet.
    • Endre standard passord og ikke tildel sluttbrukere administratorrettigheter.
    • Bruk multifaktorautentisering, eller, som et minimum, sterke passord.
  • Den gjennomfører egne og deltar i andres beredskapsøvelser knyttet til digital infrastruktur, som kan være i regi av myndigheter, samarbeidspartnere, eller jernbanevirksomheter.
    • Etabler en beredskapsplan for ulike typer hendelser og gjennomfør øvelser som tester planverket.

Kompetanse innen digital sikkerhet

Dere må ha kompetanse og kunnskap om trusler, sårbarheter og effektive tiltak for å kunne beskytte verdier mot uønskede digitale hendelser. Dette forutsetter at alle ansatte har god kompetanse og kunnskap om informasjon om digitale sikkerhetsutfordringer som er tilpasset den enkeltes ansvarsområde og arbeidsoppgaver. De ansatte bør kjenne til hvilke risikoreduserende tiltak som er innført.

Dere må legge til rette for å bygge opp langsiktig kompetanse. Alle ansatte skal ha god bevissthet og årvåkenhet (god sikkerhetskultur).

Eksempel: kompetanse
  • Jernbanevirksomheten bør ha egne spesialister innenfor digital sikkerhet som dekker behovet og ivaretar hensynet til digital sikkerhet i jernbanevirksomheten.
    • Om jernbanevirksomheten ikke har egne spesialister, må den sikre seg god kompetanse og kunnskap ved bruk av leverandører eller andre samarbeidspartnere.
    • Ha god bestillerkompetanse og gjør en risikovurdering som forankres hos ledelsen.
  • Digital sikkerhetskompetanse må være tilstrekkelig inkludert i interne operative og administrative prosesser.
  • Jernbanevirksomhetens ansatte bør ha grunnleggende digital kompetanse, inkludert digitale ferdigheter i og kunnskap om trygg bruk.
  • Jernbanevirksomhetens ansatte har kunnskap og ferdigheter som gir dem god digital dømmekraft og som bidrar til å beskytte jernbanevirksomhetens verdier og sitt eget personvern.

Beredskap mot/ved digitale uønskede hendelser

Digitale angrep kan utgjøre en trussel mot dere, nasjonale kritiske funksjoner og samfunnssikkerheten generelt. Da er det viktig å ha evnen til å motstå digitale angrep for å sikre handlefrihet.

Trusselaktørene kan være andre stater, ikke-statlige grupperinger eller andre som utfører en kriminell handling. Angrepene spenner vidt, fra vinningskriminalitet til statlig spionasje, sabotasje og bruk av sammensatte trusler.

Digitale angrep kan forstyrre, påvirke og hindre prosesser for sikker togfremføring. Dette være seg for beslutninger, kompromittering av systemer for sikker togfremføring, endring av vedlikeholdsdata m.m.

Et digitalt angrep kan utgjøre en økt trussel mot dere og jernbanesektoren. Dette er avhengig av omstendigheter som angrepets formål og legitimitet, styrke og konsekvenser.

Ansvarsprinsippet ligger til grunn for arbeidet med digital sikkerhet. Dere som har ansvaret i en normalsituasjon, har også ansvaret for nødvendige beredskapsforberedelser og for å håndtere farer og (ekstraordinære) uønskede hendelser.

Dere bør styrke beredskapen og evnen til å avdekke og håndtere digitale angrep. Da må roller og ansvar være avklart.

Dere må sikre

  • god forståelse for situasjonen og konsekvensene
  • tilstrekkelig koordinering, samarbeid og deling av informasjon med relevante myndigheter og andre jernbanevirksomheter
Eksempel: Jernbanevirksomheten må gjøre følgende for å avdekke og håndtere:
  • Ta ansvar for å hindre og håndtere digitale angrep i egen virksomhet, og for å dele informasjon om disse med relevante myndigheter og andre jernbanevirksomheter.
  • Videreutvikle eget styringssystem og rammeverk som definerer roller, ansvar og organisering for håndtering av (alvorlige) digitale angrep.
  • Sikre kapasitet til å bistå og koordinere håndtering av digitale angrep gjennom avtale med leverandør eller samarbeidspartner.
  • Legge til rette for informasjonsdeling og erfaringsoverføring med leverandør/samarbeidspartner og Samarbeidsforum for sikring og nasjonal beredskap for å hindre og håndtere (alvorlige) digitale angrep.
  • Sikre sin evne til å forebygge, ved å legge til rette tiltak for å kunne avdekke, varsle, håndtere og normalisere (alvorlige) digitale angrep alene eller i samarbeid med andre relevante aktører.
  • Legge til rette for at det gjennomføres øvelser i egen organisasjon og delta i øvelser i regi av andre aktører.