Veileder om digital sikkerhet

Veilederen handler om å bevisstgjøre jernbanevirksomhetene på digitale avhengigheter og utfordringene disse avhengighetene fører med seg.

Målgruppe for veilederen:

Alle jernbanevirksomheter som er underlagt jernbanelovgivningen. For enkelhets skyld er disse omtalt som «virksomheter» i veilederen.

Innhold

Introduksjon

Illustrasjon av digital sikkerhet, med låsesymbol på PC-skjerm

Denne veilederen omhandler digitale angrep og hendelser, samt hvordan disse påvirker sikkerheten på jernbanen. Veilederen tar mest for seg tilsiktede handlinger, men omfatter også uønskede hendelser.

Digitaliseringen av det norske samfunnet utfordrer alle aktørene i jernbanesektoren. Digitale infrastrukturer og systemer blir stadig mer komplekse, omfattende og integrerte. Digitale verdikjeder kan være lange og uoversiktlige. De kan skape avhengigheter og sårbarheter på tvers av ansvarsområder, sektorer og landegrenser. Geografiske avstander finnes ikke på internett. Det forventes at digitale tjenester skal være tilgjengelige til enhver tid.

Digitaliseringen av jernbanen har pågått en god stund, men i nettverk frakoblet omverdenen. (Merk at dette gjelder operative systemer og prosesser som ikke er koblet til internett.)

Digitalisering og teknologiutvikling i jernbanesektoren gjør at god digital styring blir stadig viktigere. Flere og flere IKT-systemer tas i bruk ved framføring av tog, T-bane og trikk. Dette fører med seg nye typer sårbarheter.

Arbeidet med digital sikkerhet skal ivareta krav til sikkerhet og sikring, og skal dekke både uønskede hendelser og tilsiktede uønskede handlinger. Digitale systemer skal fungere slik at ikke uvedkommende får innsyn i eller mulighet til å endre informasjonen.  

Begreper i veilederen

Cyber-
sikkerhet
En utvidelse av fagområdet datasikkerhet, som også tar for seg IKT-baserte enheter og infrastruktur. Cybersikkerhet fokuserer på internett-relaterte trusler.
Data-
sikkerhet
Samlebetegnelse for metoder, tjenester og verktøy som sikrer at digital informasjon og digitale systemer ikke uten eiernes ønske eller forutgående handling, blir utilgjengelig, går tapt, blir lest eller endret.
Informasjons-
sikkerhet
Dette har med sikring av informasjon å gjøre, uavhengig av om den er lagret digitalt eller på papir. Dette gjelder også for eksempel avlytting av samtaler og lesing av dokumentasjon over skuldre.
IKT-
sikkerhet
Dette har å gjøre med sikring av Informasjons- og kommunikasjonsteknologi, som maskinvare og programvare.
Digital sikkerhet Digital sikkerhet er en samlebetegnelse for begrepene over.
Innsider
(bevisst)
En person som med forsett utnytter egne legitime tilganger for ondsinnede formål, på vegne av seg selv eller andre. Ulike årsaker kan ligge bak, drevet av egne motiv som misnøye, hevn, ideologi, økonomi eller annet.
Eller det kan være en person som blir rekruttert eller utpresset av en statlig eller ikke-statlig trusselaktør.
Innsider
(ubevisst) 
En som uvitende videreformidler informasjon som ikke skulle vært videreformidlet uten å forstå det. Dette skjer gjennom handlinger i en stresset hverdag som resulterer i økt sårbarhet, skade eller tap for virksomheten. Vedkommende kan ha blitt manipulert eller forledet, eller personen har ikke kompetanse til å forstå konsekvensene av handlingen sin.
Nettverks-
sikkerhet
Sikkerhetstiltak og sikkerhetsmekanismer som gjør at et datanettverk med tilhørende kommunikasjon utgjør minst mulig sikkerhetsrisiko.
OT Operasjonell teknologi-sikkerhet er tiltak og metoder som er utformet for å beskytte og sikre systemer og teknologier som brukes i industrielle miljøer og produksjonsmiljøer. Dette inkluderer styringssystemer, industrielle kontrollsystemer (ICS), maskinvare, programvare og nettverk som brukes til å overvåke og kontrollere produksjonsprosesser.
Sammensatte
trusler
Bruk av ulike angrepsmetoder for å oppnå ønsket effekt for en trusselaktør, inkludert digitale, påvirkning av beslutninger og fysiske.

Relevante krav i jernbanelovgivningen

Merk: For noen av myndighetskravene er kravteksten avkuttet for å fremheve de mest relevante delene.

Sikkerhetsforskriften

§ 4-3. Elementer i sikkerhetsstyringssystemet

d. bestemmelser for å sikre at utstyr og operativ virksomhet er i samsvar med standarder og andre forutsetninger i hele utstyrets levetid,

f. opplæringsprogrammer for personalet og systemer for å sikre at personalets kompetanse vedlikeholdes samt at oppgavene utføres i samsvar med dette, inkludert tiltak med hensyn til fysisk og psykisk skikkethet,

g. plan for å sikre tilstrekkelig informasjonsflyt i organisasjonen og om nødvendig mellom organisasjonene i jernbanesystemet,

j. planer for tiltak, varsling og informasjon i nødssituasjoner utarbeidet i samråd med relevante offentlige etater,

§ 4-4. Tilpasning av sikkerhetsstyringssystemet

  1. Sikkerhetsstyringssystemet skal være tilpasset arten og omfanget av driften, samt andre forhold ved den aktuelle virksomheten. Det skal sikre kontroll med alle risikoer knyttet til jernbanevirksomheten, inkludertlevering av vedlikeholdstjenester og materiell, samt bruk av underleverandører. Levering av vedlikeholdstjenester gjelder med forbehold om kapittel 8.
CMS SMS

1.1. Organisasjonen skal

b) identifisere alvorlige sikkerhetsrisikoer som er forbundet med jernbanedriften, enten den utøves av organisasjonen selv eller av kontraktører, partnere eller leverandører som er underlagt dens kontroll

3.1.1.1. Organisasjonen skal

a) identifisere og analysere alle driftsmessige, organisatoriske og tekniske risikoer som er relevante for arten og omfanget av driften som organisasjonen utfører.

Sikringsforskriften

§ 3-1. Krav til styringssystem for sikring

Styringssystemet skal være tilpasset virksomhetens art og omfang. Styringssystemet skal kontinuerlig forbedres og være oppdatert. Styringssystemet skal være dokumentert, og alle endringer skal være sporbare.

Styringssystemet skal ta hensyn til alle relevante risikoer knyttet til tilsiktede uønskede handlinger forbundet med virksomheten. Styringssystemet skal inneholde bestemmelser som er nødvendige for å kunne forebygge og håndtere risikoer som følge av tilsiktede uønskede handlinger.

Jernbanevirksomheten skal gjennom avtale stille de samme styringskravene til oppgaver utført av leverandører, som til oppgaver jernbanevirksomheten utfører selv.

§ 3-3. Beskyttelse av informasjon

Jernbanevirksomheten skal identifisere alle typer informasjon som kan utnyttes til tilsiktede uønskede handlinger.

Jernbanevirksomheten skal sikre at informasjonen

  1. ikke blir kjent for uvedkommende (konfidensialitet)
  2. ikke uautorisert endres eller går tapt (integritet)
  3. er tilgjengelig for den som trenger den i tjenesten (tilgjengelighet).

§ 3-4. Informasjons- og kommunikasjonssystemer

Jernbanevirksomheten skal identifisere informasjonssystemer og kommunikasjonssystemer som kan utnyttes til tilsiktede uønskede handlinger og gjennomføre egnede tiltak for å sikre systemene.

§ 3-5. Taushetsplikt

Alle som får eller har hatt tilgang til informasjon som skal beskyttes etter § 3-3, har taushetsplikt.

Informasjon som skal beskyttes etter § 3-3 kan likevel gis til andre når det er nødvendig for driften eller for samarbeid og samordning av tiltak for å sikre trygg drift. Den som gir informasjonen, skal samtidig gjøreoppmerksom på taushetsplikten.

§ 6-2. Risikovurderinger

Jernbanevirksomheten skal planlegge og gjennomføre nødvendige risikovurderinger for å fastslå om driften av virksomheten er innenfor den risikoen jernbanevirksomheten aksepterer.

Kravforskriften

§ 3-1. Krav til sikkerhetsstyringssystem

Sikkerhetsstyringssystemet skal være tilpasset arten og omfanget av den aktuelle virksomheten og andre forhold ved denne. Sikkerhetsstyringssystemet skal videre sikre håndtering av alle risikoer forbundet med virksomheten.

Sikkerhetsstyringssystemet skal ta hensyn til alle relevante risikoer som oppstår som følge av annen virksomhet. Sikkerhetsstyringssystemet skal vise hvordan kontrollen er sikret fra den øverste ledelsens side på ulike nivåer, hvordan personalet på alle nivåer er involvert og hvordan den kontinuerlige forbedringen av sikkerhetsstyringssystemet sikres.

Sikkerhetsstyringssystemet skal omfatte bruk av leverandører. Jernbanevirksomheten skal stille de samme styrings- og sikkerhetskrav til aktiviteter utført av leverandører som til aktiviteter utført av egen virksomhet.

§ 5-1.Kompetansekrav

Jernbanevirksomheten skal ha kompetansekrav som angir nødvendig minimumskompetanse for utførelse av alle oppgaver og funksjoner av betydning for jernbanevirksomhetens arbeid med sikkerheten. Jernbanevirksomheten skal videre sørge for at kompetansekrav for oppgaver som utføres av leverandører sikrer den kompetanse som jernbanevirksomheten anser som nødvendig.

§ 5-2.Kompetanse

Jernbanevirksomheten skal ha tilgjengelig den kompetanse som er nødvendig for at virksomheten skal drives innenfor akseptabel risiko.

Dersom oppgavene av sikkerhetsmessig betydning utføres av leverandør skal jernbanevirksomheten ha nødvendig kompetanse blant annet til å kunne spesifisere krav til leveranser, følge opp leverandøren og ta stilling til leveransen.

Egne ansatte og ansatte hos leverandører, som utfører oppgaver av betydning for jernbanevirksomhetens arbeid med sikkerhet, skal ha tilstrekkelig kompetanse i forhold til oppgavene.

§ 5-3.Opplæring

Jernbanevirksomheten skal ha opplæringsprogrammer for egne ansatte, samt krav og systemer som sikrer at deres kompetanse opprettholdes slik at arbeid av betydning for sikkerheten kan utføres på en tilfredsstillende måte.

Jernbanevirksomheten skal stille krav til at leverandører har systemer for å sikre at deres ansattes kompetanse opprettholdes i forhold til arbeid av betydning for sikkerheten som vedkommende skal utføre.

§ 5-4.Sikkerhetsmessig tilrettelegging av arbeidsmiljøet

Jernbanevirksomheten skal tilrettelegge arbeidsmiljøet for mestring av arbeidsoppgaver av betydning for sikkerheten.

§ 6-1. Risikovurderinger

Jernbanevirksomheten skal planlegge og gjennomføre de risikovurderinger som er nødvendige for å fastslå om driften av virksomheten er innenfor akseptabel risiko. Risikovurderingene skal planlegges og gjennomføres på en systematisk og koordinert måte gjennom alle virksomhetsfaser.

Sidesporforskriften

§ 4. Krav om sikkerhetsstyringssystem

Jernbanevirksomheten skal ha et sikkerhetsstyringssystem. Formålet med sikkerhetsstyringssystemet skal være å etablere en helhetlig styring av virksomheten for å kunne drive sikkert.

Sikkerhetsstyringssystemet skal være tilpasset arten og omfanget av virksomheten og skal inneholde bestemmelser som er nødvendige for å ha kontroll med alle vesentlige risikoer forbundet med virksomheten.

§ 5.Krav til sikkerhetsstyringssystem

Sikkerhetsstyringssystemet skal minst omfatte:

  1. bestemmelser om hvordan sikkerhetsmessig risiko forbundet med driften av virksomheten skal identifiseres og følges opp,
  2. bestemmelser om drift og vedlikehold som ivaretar tilfredsstillende sikkerhet,
  3. krav til kompetanse for personell som har oppgaver som kan påvirke sikkerheten,
Museumsbaneforskriften

§ 4. Krav om sikkerhetsstyringssystem

Jernbanevirksomheten skal ha et sikkerhetsstyringssystem. Formålet med sikkerhetsstyringssystemet skal være å etablere en helhetlig styring av virksomheten for å kunne drive sikkert.

Sikkerhetsstyringssystemet skal være tilpasset arten og omfanget av virksomheten og skal inneholde bestemmelser som er nødvendige for å ha kontroll med alle vesentlige risikoer forbundet med virksomheten.

§ 5.Krav til sikkerhetsstyringssystem

Sikkerhetsstyringssystemet skal minst omfatte:

  1. bestemmelser om hvordan sikkerhetsmessig risiko forbundet med driften av virksomheten skal identifiseres og følges opp,
  2. bestemmelser om drift og vedlikehold som ivaretar tilfredsstillende sikkerhet,
  3. krav til kompetanse for personell som har oppgaver som kan påvirke sikkerheten,

Hva er digital sikkerhet?

digital-sikkerhet.jpgBegrepet «digital sikkerhet» ble innført av norske myndigheter i 2019 for å være et samlebegrep. Digital sikkerhet omfatter informasjonssikkerhet, cybersikkerhet, datasikkerhet og IKT-sikkerhet.

Digital sikkerhet handler om å styre risikoen i oppgaver og tjenester som er avhengige av digital teknologi og digitale tjenester. Dette gjelder stort sett alle oppgaver og tjenester i en virksomhet.

Digital sikkerhet, cybersikkerhet og IKT-sikkerhet brukes ofte synonymt med informasjonssikkerhet. Det betyr ofte det samme, med ulike perspektiver. Likevel er det verdt å merke seg at informasjonssikkerhet omfatter mer enn informasjonen i den digitale verden, som muntlig eller papirbasert informasjon.

Utfordringer med digital sikkerhet

Digitaliseringen er viktig for samfunnsutviklingen, men er også utfordrende. Jernbanens sårbarhet for digitale trusler blir stadig større. En god forståelse for digitale avhengigheter er viktig. Infrastruktur for styring, kontroll og IKT-systemer blir mer sentralisert, kompleks og integrert, samtidig som jernbaneinfrastrukturen strekker seg over et stort geografisk område. Flere enheter og systemer kobles til internett. Bruken av skyløsninger øker. Tilgang til systemer er i teorien mulig fra hele verden. Behovet for å redusere kostnader og øke tilgangen til kompetanse gjør at flere IKT-funksjoner settes ut til tredjeparter, særlig i lavkostland. 

Sentraliserte systemer kan bety økt sårbarhet og større risiko for at feil får store konsekvenser hvis det ikke finnes redundans i systemene med hensyn til tilgjengelighet og integritet. 

Mange aktører i jernbanesektoren

Jernbanesektoren består blant annet av:

  • jernbaneforetak
  • infrastrukturforvaltere
  • leasingselskap
  • leverandører av 
    • jernbanekjøretøy
    • ombordsystemer
    • vedlikeholdstjenester
    • konsulenttjenester  

I tillegg kommer leverandører av skytjenester og andre digitale verktøy som bidrar til kommunikasjon og informasjonsdeling mellom aktørene.

Ofte vil leverandører av jernbanekjøretøy og ombordsystemer tilby digitale verktøy og dokumentasjon til jernbaneforetak og til leverandører av vedlikeholdstjenester. Det er viktig å ha kontroll på at verktøyene administreres og holdes oppdatert i tråd med den digitale sikkerheten. Ansvaret for dette skal være tydelig avklart mellom partene.

Digitale verktøy kan for eksempel være USB-minnepinner eller bærbare datamaskiner med spesiell programvare som brukes til å oppdatere utstyr om bord i jernbanekjøretøy. 

Farer og trusler

PC-system blir hacket.Bare fantasien setter grenser for hva som kan utgjøre en mulig fare og trussel for digitale systemer innenfor jernbanesektoren. Den raske digitale utviklingen gjør det krevende å holde risikobildet oppdatert. 

Farer og trusler kan også komme fra klima- og naturpåvirkninger (flom, ras og skred), uønskede hendelser ved gravearbeider, som en avrevet kabel, brann og ikke minst tilsiktede uønskede handlinger. 

Klima- og naturpåvirkninger eller uønskede hendelser som fører til skade på infrastruktur (kabler, tekniske hus, etc.), feilprogrammering av forriglinger i signal og sikringsanlegget kan også være trusler for den digitale infrastrukturen.

Trusselaktørene kan være andre stater, ikke-statlige grupperinger eller andre aktører som utfører en kriminell handling. Angrepene spenner vidt, fra vinningskriminalitet til statlig spionasje, sabotasje og bruk av sammensatte trusler.

De neste årene vil risikobildet antakelig bli preget av

  • løsepengevirus
  • industrispionasje
  • sabotasje
  • påvirkning av ansatte til å utføre tilsiktede uønskede handlinger
  • krenkelser på nett
  • ID-tyverier

Digitalisering av jernbanen har pågått en stund ved hjelp av leveranser som påvirker teknisk og operasjonell sikkerhet i nettverk frakoblet omverdenen (OT-systemer). Disse systemene har historisk sett ikke vært designet for å være påkoblet internett og eksponert mot omverdenen. Det kan være installert programvare og maskinvare over flere tiår, uten at det er fulgt opp med nødvendig oppdatering. 

Informasjonstavle på Oslo S. Foto: Rune FossumUtviklingen i samfunnet viser ønske om mer integrering av OT-systemer sammen med IKT-systemer som allerede er koblet til internett, hvilket gir en del nye utfordringer. Dette kan skyldes at kundene ønsker hurtigere sanntids informasjon, ledelsen vil ha bedre beslutningsgrunnlag, samt at leverandører ofte arbeider via fjernstyrte (remote) oppkoblinger, blant annet som følge av kosteffektivitet.

Jernbanevirksomheter ivaretar en samfunnskritisk funksjon, og er et mulig mål for kriminelle, aktivister, terrorister og statlige aktører som vil utnytte eller påvirke virksomheten eller dens leverandører og samarbeidspartnere. Alle ansatte må hele tiden være oppmerksomme og arbeide bevisst for å ivareta sikkerheten i virksomheten.

Gjennom norske sikkerhetsmyndigheters trusselvurderinger vet vi følgende: 

  • Ressurssterke statlige aktører arbeider for å destabilisere og svekke handleevnen og handlekraften til vestlige nasjoner.
  • Ressurssterke statlige aktører arbeider for å samle informasjon om mennesker og teknologi som kan bidra til å utvikle seg til å få en større global anerkjennelse.
  • Kriminelle er godt organisert, besitter høy kompetanse og driver «business» med god lønnsomhet ved å gå målrettet etter virksomheter med mangelfull sikkerhet.

Sikring av IKT- og OT-systemer blir stadig mer krevende og stiller økte krav til kompetanse.

Det er flere årsaker til dette, blant annet følgende:

  • IKT- og OT-systemer blir stadig mer komplekse og sammenvevde, med til dels uoversiktlige leverandørkjeder og avhengigheter til annen infrastruktur som også går igjennom tilsvarende utvikling.
  • Trusselaktørenes «verktøykasse» utvikler seg. Angrepsmetoder og verktøy blir mer avanserte, rimeligere og lettere tilgjengelig.
  • En rivende utvikling av «nye» angrepsvektorer som deepfakes*, kunstig intelligens (KI) og maskinlæring.

*Deepfakes utnytter kunstig intelligens for å lage videoer og lydinnhold som kan være svært vanskelig å avsløre som falskt.

Innsidetrussel

innsidetrussel.jpgEn innsider omtales gjerne som utro tjener, en som utnytter legitime tilganger til virksomhetens verdier for uautoriserte formål, noe som fører til tap eller skade for virksomheten. En innsider kan være en nåværende eller tidligere ansatt eller en innleid konsulent, en som har kunnskap om og tilgang til virksomhetens systemer, prosedyrer, objekter og informasjon. 

I E24 ble det 19. februar 2024 skrevet om en utro tjener i DnB:

Flere utro tjenere avslørt i DNB

DNB har avslørt ansatte som stjeler kundelister, lekker interninformasjon og har forsøkt å manipulere datasystemene i oppsigelsestiden.
Banken har vært vitne til flere straffesaker som handler om korrupsjon, bedrageri og tilrettelegging for kriminell aktivitet, ikke bare blant kunder og eksterne aktører, men også hos bankens egne ansatte.
DNB følger i større grad med på trusler på innsiden av selskapet enn tidligere, skriver Dagens Næringsliv.

– Vi tenker ikke lenger bare på en ekstern hacker. Vi tenker også på en som kan være betrodd, og har lov å logge inn på systemet. Det er en ny måte å tenke på, sier DNBs sikkerhetsdirektør til DN.

Han sier DNB jevnlig observerer innsideaktivitet, særlig informasjonstyveri i oppsigelsesperioden til ansatte på vei inn i ny jobb, og storbanken opplyser at har valgt å anmelde flere av sakene til politiet. DNB følger i større grad med på trusler på innsiden av selskapet enn tidligere, skriver Dagens Næringsliv.

Risikostyring

Fallende dominobrikker stanses av hånd.

Strategien for risikovurdering av digital sikkerhet bør ha som mål at virksomheten, sammen med leverandører og samarbeidspartnere, utvikler tiltak som ivaretar tilstrekkelig digital sikkerhet. En systematisk tilnærming til håndtering av risiko vil redusere muligheten for at uønskede digitale hendelser får konsekvenser for egen eller andres virksomhet, eller for samfunnskritiske funksjoner.

Med bakgrunn i sikkerhetsutfordringene, bør de overordnede målene for risikostyringen være:

  • beskyttelse mot uønskede digitale hendelser
  • opprettholdelse av kritiske samfunnsfunksjoner
  • god digital sikkerhetskompetanse i tråd med virksomhetens og samfunnets behov
  • beredskap for digitale hendelser

Virksomhetens ledelse har ansvar for at det gjennomføres risikovurderinger. Akseptkriterier for risiko skal etableres, følges opp og evalueres. På bakgrunn av vurderingene skal nødvendige tiltak besluttes. Det kan være menneskelige, tekniske og organisatoriske tiltak. Kontinuerlig forbedring av tiltakene sikres gjennom læring fra analyser, utredningsprosjekter, uønskede hendelser og øvelser. 

Følgende bør minst være på plass i et styringssystem for å ivareta digital sikkerhet:

  • risikovurderinger, med utgangspunkt i anerkjente standarder og veiledere
  • robusthet og redundans i de digitale tjenestene, slik at de er sikre og pålitelige og bidrar til at sikkerhetshendelser ikke medfører alvorlig skade i virksomheten eller hos andre
  • digital sikkerhetskompetanse i operative og administrative prosesser
  • fagkompetanse innen IKT som støtter ledelsen
  • tydelig ansvar i virksomheten med effektive rapporteringslinjer til toppledelse og styre
  • en oversikt over virksomhetens sentrale mål
  • hvilke verdier og verdikjeder som inngår
  • hvor viktige data og informasjon lagres
  • hvem som har tilgang til viktige data og informasjon
  • systemer og rutiner for tilgangskontroll, merking, oppbevaring og bruk
  • delt informasjon om trusler, sårbarheter, hendelser og effektive tiltak med relevante myndigheter og andre jernbanevirksomheter
  • styring av kompetanse for å øke eget kunnskapsgrunnlag på bakgrunn av råd, anbefalinger og veiledninger fra relevante myndigheter eller andre aktører
  • sikkerhetskultur hvor ansatte har en god digital dømmekraft
  • beredskapsplan for ulike typer hendelser
  • planer for gjennomføring av egne og deltar i andres beredskapsøvelser knyttet til digital infrastruktur 

Eiere av digital infrastruktur må i tillegg identifisere sårbarheter og gjensidige avhengigheter mellom infrastrukturer og digitale verdikjeder, og gjennomføre tiltak. 
 
Barrieretankegangen og enkeltfeilprinsippet skal brukes i arbeidet med digital sikkerhet. Det betyr for eksempel at om en ansatt skulle klare å klikke på en skadelig lenke, bør etablerte tiltak hindre videre skade.

Et sløyfediagram, på engelsk «bow tie» brukes ofte til å visualisere koblingen mellom årsak og konsekvens av uønskede hendelser. I tillegg illustreres sannsynlighetsreduserende og konsekvensreduserende tiltak som gjennomføres. 

En risikobasert tilnærming

(Klikk på bildet for en større versjon.)

Risikostyring som bowtie-modellEksempler på mulige tiltak for å redusere risiko:

  • skille trådløse nettverk for publikum fra tekniske nett og nett med sikkerhetsfunksjoner
  • oppgradere program- og maskinvare og sikkerhetsoppdateringer så raskt som praktisk mulig
  • fjerne unødvendig kompleksitet og ubrukt funksjonalitet
  • ha back-up av data
  • blokkere kjøring av ikke-autoriserte programmer
  • beskytte trådløse nettverk med sterke sikkerhetsmekanismer
  • planlegge og dokumentere endringer
  • slå på logging og gjennomgå viktige logger jevnlig
  • beskytte e-post med DMARC (Domain-based Message Authentication, Reporting and Conformance)
  • kryptere viktig informasjon når den lagres på bærbare medier og når den sendes over nettet
  • endre standardpassord
  • ikke tildele sluttbrukere administratorrettigheter
  • bruke multifaktorautentisering, eller (som et minimum) sterke passord

Kompetanse 

Feilsøking i førerrom på tog. Foto: Rune FossumVirksomheten må ha kompetanse og kunnskap om trusler, sårbarheter og effektive tiltak for å kunne beskytte seg mot uønskede digitale hendelser. 

Ansatte må kjenne til hvilke risikoreduserende tiltak som er innført. De må ha god informasjon og tilstrekkelig kompetanse om digitale sikkerhetsutfordringer, tilpasset den enkeltes ansvarsområde og arbeidsoppgaver.

Ledelsen må legge til rette for langsiktig oppbygging og vedlikehold av kompetanse og en sikkerhetskultur hvor ansatte har god bevissthet og årvåkenhet.

Travle hverdager for folk flest kan være med å påvirke bevissthetsnivået til den enkelte av oss. Dette kan føre til at uønskede handlinger oppstår etter en ubevisst handling.

Jernbanevirksomheten bør ha egne spesialister innenfor digital sikkerhet tilpasset behovet i virksomheten. Om virksomheten ikke har egne spesialister, må den sikre seg kompetansen gjennom avtaler med leverandører eller andre samarbeidspartnere.

Se også veilederen vår om leverandørstyring.

Beredskap 

Vi viser til veilederen vår om beredskap. Prinsippene i den gjelder også beredskap for digitale angrep og hendelser.

Digitale angrep og hendelser kan utgjøre en trussel, både mot virksomheten, mot nasjonale kritiske funksjoner og mot samfunnssikkerheten generelt. Det er viktig å ha evnen til å motstå digitale trusler, angrep og hendelser for å sikre handlefrihet.

Digitale angrep og hendelser kan forstyrre, påvirke og hindre prosesser for sikker togfremføring. Det kan gjelde for beslutninger, kompromittering av systemer for sikker togfremføring, endring av vedlikeholdsdata m.m. 

Digitale angrep er en økt trussel mot virksomheten og jernbanesektoren. Hvor alvorlig trusselen er, vil være avhengig av angrepets formål, skadepotensial og mulige konsekvenser.

Ansvarsprinsippet ligger til grunn for arbeidet med digital sikkerhet. De som har ansvaret i en normalsituasjon, har også ansvaret for nødvendig beredskap for å håndtere digitale angrep og hendelser.

Beredskapen, det vil si evnen til å avdekke og håndtere digitale angrep og hendelser, bør hele tiden forbedres. Roller og ansvar må være tydelig avklart.

Virksomheten bør sikre god forståelse for situasjoner som kan oppstå, og konsekvensene av dem. Den bør også koordinere, samarbeide og dele informasjon med relevante myndigheter og andre jernbanevirksomheter. 

Standarder og veiledere

Illustrasjon av standarder for digital sikkerhet

Det finnes flere anerkjente rammeverk for å ivareta digital sikkerhet som virksomheten kan ta utgangspunkt i for å styre digital sikkerhet.

Noen av disse er:

  • NS EN ISO/IEC 27000-serien (ledelsessystemer for informasjonssikkerhet)
  • NEK IEC 62443 Industrial communication networks – Network and system security (anerkjent innen informasjons- og cybersikkerhet i styrings- og kontrollsystemer (OT-systemer))
  • EN 50126 2017 Jernbaneapplikasjoner, Spesifikasjon og demonstrasjon av pålitelighet, tilgjengelighet, vedlikehold og sikkerhet (RAMS) 
  • NSMs grunnprinsipper for IKT-sikkerhet
  • CIS Top 20 Critical Controls

NEK IEC 62443 bør ses sammen med TS 50701 Railway applications – Cybersecurity. «Railway» viser at standarden gjelder jernbane.