Risikovurdering av informasjon og informasjons- og kommunikasjonssystemer på jernbanen

Veilederen handler om krav og viktige forhold knyttet til risikovurderinger av informasjon og informasjons- og kommunikasjonssystemer.

Målgruppe for veilederen:

Alle jernbanevirksomheter som er underlagt jernbanelovgivningen. For enkelhets skyld er disse omtalt som «virksomheter» i veilederen. 

Veilederen handler om å:

  • klargjøre hvilke krav til risikovurderinger av informasjon og informasjons- og kommunikasjonssystemer som ligger i jernbanelovgivningen
  • peke på de viktigste forholdene som det bør tas høyde for i risikovurderingene

Innhold

Introduksjon
Begreper i veilederen
Relevante krav i jernbanelovgivningen
Identifisere kritiske verdier
Fastsette risikoaksept og sikringsmål
Kartlegge og vurdere farer og trusler
Eksempel på angrep på informasjons- og kommunikasjonssystemer
Vurdere sårbarheter, sannsynlighet og konsekvenser
Beskrivelse av usikkerheten i risikovurderingen og risiko
Evaluere og håndtere risiko
Redusere eller fjerne risikoen gjennom tiltak
Akseptere og overvåke risikoen

Introduksjon

En risikovurdering består av ulike trinn og aktiviteter (ref. NS5814:2021+AC:2023 Krav om risikovurderinger).

NS 5814 stiller krav til elementene som kan inngå i en risikovurderingsprosess. Den beskriver også risikovurderingens plass i risikostyring, samt faktorene som påvirker planlegging og gjennomføring av risikovurderinger, for eksempel rammebetingelser og etablering av risikoakseptkriterier.

Videre eksemplifiserer vi noen av trinnene og aktivitetene som er hensiktsmessig å gjennomføre i forbindelse med en risikovurdering av informasjon og informasjons- og kommunikasjonssystemer i virksomheten.

Begreper i veilederen

OT – operasjonell teknologi Systemer og teknologier som brukes i industrielle miljøer og produksjonsmiljøer. Dette inkluderer styringssystemer, industrielle kontrollsystemer (ICS), maskinvare, programvare og nettverk som brukes til å overvåke og kontrollere produksjonsprosesser. 
Noder Enheter i et nettverk, som PC, router/switch, server. 

Relevante krav i jernbanelovgivningen

Sikringsforskriften

§ 3-3. Beskyttelse av informasjon

Jernbanevirksomheten skal identifisere alle typer informasjon som kan utnyttes til tilsiktede uønskede handlinger. Jernbanevirksomheten skal sikre at informasjonen

  • ikke blir kjent for uvedkommende (konfidensialitet)
  • ikke uautorisert endres eller går tapt (integritet)
  • er tilgjengelig for den som trenger den i tjenesten (tilgjengelighet).

§ 3-4. Informasjons- og kommunikasjonssystemer

Jernbanevirksomheten skal identifisere informasjonssystemer og kommunikasjonssystemer som kan utnyttes til tilsiktede uønskede handlinger og gjennomføre egnede tiltak for å sikre systemene.

§ 6-1. Aksept av risiko

Jernbanevirksomheten skal ta stilling til hvilket risikonivå den aksepterer og sikre at virksomheten drives innenfor dette nivået.

§ 6-2. Risikovurderinger

Jernbanevirksomheten skal planlegge og gjennomføre nødvendige risikovurderinger for å fastslå om driften av virksomheten er innenfor den risikoen jernbanevirksomheten aksepterer.

Det skal fremgå hva som er formålet med de enkelte risikovurderingene samt hvilke forutsetninger og avgrensninger som er lagt til grunn.

Risikovurderingene skal gjennomføres etter anerkjente og hensiktsmessige metoder.

§ 6-3. Oppfølging og oppdatering av risikovurderinger

Jernbanevirksomheten skal systematisk følge opp forutsetningene for, avgrensningene og resultatene av risikovurderingene. Jernbanevirksomheten skal gjennomføre nødvendige sikringstiltak for å håndtere identifiserte risikoer, og skal i nødvendig grad samarbeide med andre jernbanevirksomheter og tredjeparter om dette. Tiltakene, og hvilke funksjoner de skal ivareta, skal være kjent for relevant personell.

Risikovurderingene skal oppdateres hvis avgrensningene eller forutsetningene for risikovurderingene endrer seg, eller hvis det foreligger annen ny kunnskap av betydning for vurderingene.

§ 6-4. Sikringstiltak

Sikringstiltakene skal hindre eller forsinke uønsket adgang til verdier og være dimensjonert i forhold til trusselbildet.

Der det er nødvendig med flere sikringstiltak, skal det være tilstrekkelig uavhengighet mellom dem. 

Identifisere kritiske verdier

Identifiser og begrunn de overordnede verdiene som skal beskyttes, og interessene som skal ivaretas i virksomheten. Verdier kan være både informasjon (digital og fysisk) og informasjons- og kommunikasjonssystemer.

  • Informasjon
    • som kan utnyttes til å utføre tilsiktede uønskede handlinge
    • som er viktig for sikker togframføring

Med «viktig for sikker togfremføring» menes eksempelvis tap av informasjonen, utilgjengelig informasjon eller endring av informasjonen som kan føre til en jernbanehendelse, redusert trafikk eller stans i trafikken.

  • Informasjons- og kommunikasjonssystemer
    • som kan utnyttes til å utføre tilsiktede, uønskede handlinger
    • som ved bortfall eller funksjonsfeil kan resultere i stans i togfremføringen eller påvirke sikkerheten ved selve togfremføringen

Felles for verdiene informasjon og informasjons- og kommunikasjonssystemer er at dere skal ivareta verdienes konfidensialitet, integritet og tilgjengelighet.

Noen eksempler:

  • Beskytte et dokument mot uautorisert innsyn dersom dokumentet inneholder informasjon om sårbarheter i et system (konfidensialitet).
  • Sikre at et signalsystem er tilgjengelig og fungerer etter hensikten, for å sikre at signalene sendes til tog (tilgjengelighet).
  • Påse at ingen endrer viktige data i systemet for vedlikehold (integritet), eller gjør det utilgjengelig.

Eksempler på verdier kan være:

  • informasjon
    • rapporter fra risikovurderinger, kritikalitetsvurderinger
    • beredskapsanalyser og beredskapsplaner
    • beskrivelser av IT/IKT/OT-systemer
    • beskrivelser av kritisk jernbaneinfrastruktur
    • informasjon om arbeid på infrastrukturen
    • avviks- og hendelseslogger
    • vedlikeholdsdokumentasjon
    • informasjon om arbeid på/langs banestrekningen 
  • informasjons- og kommunikasjonssystemer
    • systemer for informasjon til publikum
    • styrings- og kontrollsystemer (OT-systemer), for eksempel signalsystem
    • systemer til ruteplanlegging
    • administrative IT-/IKT-systemer
    • systemer for å dokumentere planlagt og utført vedlikehold

Når dere har kartlagt hvilke verdier dere eier, forvalter eller drar fordel av, bør dere rangere verdiene etter kritikalitet. Kritikaliteten vil avgjøre hvilke verdier som bør analyseres videre i en vurdering av trussel og sårbarhet. Da er det enklere å identifisere om dere er innenfor virksomhetens risikoaksept og sikkerhets- og sikringsmål.

Fastsette risikoaksept og sikringsmål

Ledelsen i jernbanevirksomheten skal fastsette en risikoaksept og sikringsmål. Risikoaksepten og målene bør indikere hva dere aksepterer av skader og bortfall av verdiene. Ofte er det vanskelig å oppfylle konfidensialitet, integritet og tilgjengelighet fullt ut med overkommelige kostnader. Den fastsatte risikoaksepten og de definerte sikringsmålene vil hjelpe ledelsen med å prioritere behovene for å beskytte de kritiske verdiene.

Eksempel:

Hvis dere prioriterer å øke konfidensialiteten og integriteten i et signalsystem, kan det redusere tilgjengeligheten. Det er fordi dataene krever mer kapasitet for overføring og kompleksitet i infrastrukturen, for eksempel ved kryptering eller dekryptering av data i noder.

Kartlegge og vurdere farer og trusler

Trusler om digitale hendelser og cyberangrep kan komme fra statlige aktører, organisasjoner, grupperinger og individer med ulike hensikter. Hensiktene kan være å:

  • forårsake mindre avbrudd og forstyrrelser
  • forårsake skade på omdømme
  • få økonomisk vinning
  • drive industrispionasje
  • forårsake ulykker og hendelser som kan føre til skade på og tap av menneskeliv

Trussel om cyberangrep kan komme fra både eksterne aktører og egne ansatte som handler bevisst eller ubevisst. Kanskje er det misfornøyde ansatte som ønsker å skade virksomheten og med viten og vilje utfører uønskede handlinger (en tilsiktet handling).

Eksempler:

  • En ansatt deler konfidensiell informasjon med uvedkommende, noe som kan skade virksomhetens omdømme.
  • En ansatt kan bli økonomisk påvirket eller presset til å drive industrispionasje eller utføre andre uønskede handlinger mot virksomheten.

Eksempel på angrep på informasjons- og kommunikasjonssystemer

Trusselaktøren kan angripe et informasjons- og kommunikasjonssystem på forskjellige måter, for eksempel gjennom:

  • fjerntilgang via internett
  • usikrede nettverk, der aktøren kan utnytte kjente sårbarheter i applikasjoner eller systemer
  • sosial manipulering, som phishing, for å tilegne seg brukernavn og passord fra ansatte
  • direkte, uautorisert tilgang til fysisk IT/IKT-infrastruktur, for eksempel å stjele PC-er eller andre bærbare maskiner

Når dere vurderer trusler mot informasjons- og kommunikasjonssystemer, bør dere analysere følgende:

  • Hvem er trusselaktørene?
  • Hvilke motiver kan aktørene ha?
  • Hvilke metoder (modus operandi) kan aktørene bruke?

Dere kan finne informasjon om årlige vurderinger av trusler og sårbarhet utført av myndigheter som for eksempel NSM, PST, nasjonale CERT, etc. I tillegg utarbeider flere private aktører årlige trusselvurderinger. Disse vurderingene av trussel og sårbarhet kan dere benytte som grunnlagsinformasjon for egne vurderinger. Spørsmålet dere bør stille er hvor relevante disse vurderingene er for jernbanebransjen og deres egen virksomhet.

Fra et sikkerhets- og sikringsperspektiv bør dere identifisere og vurdere mulige farer og trusler som kan svekke informasjonssikkerhet og funksjonalitet av informasjons- og kommunikasjonssystemer.

Eksempler på farer og trusler:

  • Egne ansatte som ubevisst og uten vilje handler av uaktsomhet, manglende kunnskap eller forståelse.
  • Feil i program- eller maskinvare.
  • Et lagringsmedium som går i stykker og det ikke finnes back-up.
  • Naturhendelser som påvirker infrastrukturen, som brudd i kabler.

Vurdere sårbarheter, sannsynlighet og konsekvenser

Sårbarheter vil indikere i hvilken grad verdienes konfidensialitet, integritet og tilgjengelighet er ivaretatt. Dere kan anslå hvilket potensial for tap eller skade en kompromittering av konfidensialitet, integritet og tilgjengelighet kan ha for informasjonen og informasjons- og kommunikasjonssystemene dere er avhengig av.

Potensialet for tap og skade kan for eksempel defineres som potensial for skade på:

  • passasjerer
  • personell
  • jernbaneinfrastruktur
  • rullende materiell og annet utstyr
  • tjenestetilbud
  • omdømme
  • økonomi
  • miljø

Hvor alvorlig en kompromittering av konfidensialitet, integritet og tilgjengelighet kan være, er avhengig av ulike faktorer:

  • konfidensialitet – hvor høy verdi har informasjonen eller informasjons-/kommunikasjonssystemet for drift av virksomheten?
  • integritet – er sporbarheten i informasjonssystemet sikret?
  • tilgjengelighet – hvor lenge er informasjons-/kommunikasjonssystemet utilgjengelig eller ute av drift, og finnes det redundante løsninger?

I en risikovurdering bør dere vurdere hvilke farer eller trusler og hvilke tilsiktede handlinger som kan forårsake uønskede hendelser. Så må dere se på hvilke konsekvenser de uønskede hendelsene kan ha for informasjonssikkerhet og digital sikkerhet.

Verdienes sårbarheter knyttet til trusler om tilsiktede handlinger kan skyldes mange ulike forhold, og de kan ha ulike årsaker. Disse kan for eksempel være:

  • menneskelige faktorer, som manglende kompetanse eller menneskelige feil
  • teknologiske faktorer, som feilkonfigureringer i applikasjoner og systemer
  • nettverksinfrastruktur, datakommunikasjon, perimetersikring, etc.
  • organisatoriske faktorer, som manglende interne rutiner, manglende leverandørstyring, etc.

Beskrivelse av usikkerheten i risikovurderingen og risiko

Usikkerhet

Man vurderer styrker og svakheter ved kunnskapsgrunnlaget for alle delene i risikovurderingen. Kunnskapsgrunnlaget beskrives i tilknytning til resultatene av risikovurderingen.

Eksempel:

  • Har analysegruppen forstått hvilke beslutninger denne risikovurderingen skal understøtte?
    • Formuler beslutningene som skal tas på grunnlag av risikovurderingen eksplisitt.
  • Har analysegruppen tilstrekkelig oversikt over og kunnskap om informasjonssikkerhet og digital sikkerhet, inkludert om farer og aktuelle trusler?
    • Hvem deltar, og hvilken kompetanse har deltakerne på det som skal risiko vurderes? 
  • I hvilken grad bygger risikovurderingen på tilgjengelig informasjon på området?
    • Beskriv aktivitetene som er utført for å innhente informasjon (informasjonskilder som intervjuer og befaringer, nettsteder og informasjonssystemer) og dokumentasjon fra tidligere risikovurderinger, tegninger, registreringer av hendelser og åpne trusselvurderinger. 

Risiko

Resultatene fra risikovurderingen evalueres opp mot de fastsatte sikringsmålene. Når risiko presenteres for ledelsen bør det framkomme at risikoen er en sammensatt størrelse som rommer mye informasjon.  
 
Risiko kan beskrives gjennom:

  • sannsynligheten for at de vurderte tilsiktede handlingene utføres, og at de uønskede hendelsene kan inntreffe, og konsekvensene hendelsene kan få
  • hvordan verdienes sårbarheter påvirker sannsynligheten og konsekvensene
  • hva som bidrar til usikkerhet

Eksempel:

  • Risikovurderingen har identifisert flere kategorier av informasjon, men bare den mest kritiske informasjonsverdien er analysert i detalj med tanke på konfidensialitet, integritet og tilgjengelighet.
  • Informasjonsverdien vurderes å ha høy risiko, særlig på grunn av den høye sannsynligheten og konsekvensene ved tap av den.

Evaluere og håndtere risiko

Evaluer og beskriv i hvilken grad fastlagte sikringsmål er nådd. Evalueringen bør ta stilling til hva resultatene av risikovurderingen sier i henhold til fastsett risikoaksept.

Det bør gis en anbefaling om hvordan ledelsen bør håndtere risiko og følge opp risikovurderingen.

Eventuelle risikoreduserende tiltak bør knyttes til avdekkede sårbarheter og risikoaksept. Det bør avklares hvilken effekt de risikoreduserende tiltakene skal ha. Risikoer kan håndteres ulikt. Eksempelvis gjennom å:

  • redusere eller fjerne risikoen gjennom sikringstiltak
  • akseptere og overvåke risikoen
  • overføre risiko til leverandøren av IKT-tjenester ved å stille krav til håndtering av risikoen i avtalen

Redusere eller fjerne risikoen gjennom tiltak

Tiltak kan sorteres i tre kategorier:

  • menneskelige
  • tekniske
  • organisatoriske

I de fleste tilfellene vil det være behov for å kombinere tiltakene innen de tre kategoriene, for å være innenfor virksomhetens risikoaksept.

Det finnes mange nasjonale og internasjonalt anerkjente standarder og veiledninger som kan være til hjelp for å velge tiltak, for eksempel:

  • NSMs grunnprinsipper for IKT-sikkerhet
  • ISO/IEC 27000-serien
  • CIS Top 20 Critical Controls

Eksempel på menneskelig tiltak:

  • Gjentagende opplæring av brukerne av informasjons-/kommunikasjonssystemene vil sikre at de har riktig kompetanse til å anvende systemene.

Eksempel på teknisk tiltak:

  • Bruk av multifaktor-autentisering ved pålogging til systemene, for å bekrefte at brukeren er den som den utgir seg for å være.

Eksempel på organisatorisk tiltak:

  • Utpeke en systemansvarlig som skal påse at systemet kontinuerlig er oppdatert og fungerer som det skal.

Akseptere og overvåke risikoen

I visse tilfeller vil den vurderte risikoen ligge innenfor den etablerte risikoaksepten. Da kan dere velge å akseptere risikoen uten å iverksette ytterligere tiltak. Husk at dere fortsatt må overvåke hvordan risikoen utvikler seg. Det innebærer at dere kontinuerlig bør holde oversikt over verdier, trusler og sårbarheter. 
 
Hvis verdiene og trusselbildet endrer seg, må dere igjen vurdere verdienes sårbarheter, om det er behov for å iverksette nye tiltak, eller om det er akseptabelt å fjerne eksisterende tiltak.