Risikovurdering av informasjons- og cybersikkerhet

Vi klargjør kravene til risikovurderinger av informasjons- og cybersikkerhet i jernbanelovgivningen og peker på de viktigste forholdene som det bør tas høyde for i risikovurderingene.

Publisert: 12.11.2021   Endret: 01.12.2021

Digitalisering i jernbanesektoren gjør at styring av informasjons- og cybersikkerhet blir stadig viktigere. Flere og flere IT-systemer tas i bruk ved framføring av tog, T-bane og trikk. Dette fører med seg nye sårbarheter som kan føre til både tilsiktede og utilsiktede hendelser.

I denne veilederen ønsker vi å:

  • klargjøre hvilke krav til risikovurderinger av informasjons- og cybersikkerhet som ligger i jernbanelovgivningen
  • peke på de viktigste forholdene som det bør tas høyde for i risikovurderingene

Gå til kapitler:

1. Identifisere kritiske verdier

2. Fastsette risikoaksept og sikkerhetsmål

3. Vurdere trusler og farer

4. Vurdere sårbarheter og konsekvenser

5. Håndtere risiko

Hvilke krav stilles til informasjons- og cybersikkerhet i jernbanelovgivningen?

Jernbanelovgivningen stiller krav til styring av informasjons- og cybersikkerhet med hjemler både i sikkerhetsstyringsforskriften (forskrift om sikkerhetsstyring) og sikringsforskriften (forskrift om sikring på jernbanen) for jernbanevirksomheter på det nasjonale jernbanenettet.

Begge forskrifter stiller krav til at styringssystemet skal ta hensyn til relevante risikoer forbundet med virksomheten (sikkerhetsstyringsforskriften § 3-1) og risikoer som følge av tilsiktede uønskede handlinger (sikringsforskriften § 3-1 Krav til styringssystem for sikring).

Videre stilles det krav i begge forskrifter (sikringsforskriften § 6-1 Risikovurderinger) om at jernbanevirksomheten skal planlegge og gjennomføre risikovurderingene som er nødvendige for å fastslå om driften av virksomheten er innenfor akseptabel risiko. 

Risikobildet for informasjons- og cybersikkerhet endrer seg fortløpende. Derfor bør dere i jernbanevirksomheten kontinuerlig følge med på endringene, jamfør § 6-2 Oppfølging og oppdatering av risikovurderinger i begge forskriftene. Det finnes flere anerkjente rammeverk for informasjons- og cybersikkerhet som dere kan ta utgangspunkt i når dere arbeider med å styre informasjons- og cybersikkerheten, for eksempel:

  • NS EN ISO/IEC 27001, som er en anerkjent standard for ledelsessystemer for informasjonssikkerhet
  • NEK IEC 62443 Industrial communication networks – Network and system security, som er anerkjent innen informasjons- og cybersikkerhet i styrings- og kontrollsystemer

Hvis dere anvender NEK IEC 62443, vil det være nyttig å se til TS 50701 Railway applications – Cybersecurity.  Den tilpasser standarden til jernbaneforhold.

Dere bør vurdere om standardene nevnt over eller andre standarder er best egnet med hensyn til risikovurderingenes formål og omfang. 

Dere har ansvar for å styre risiko som kan oppstå, når leverandørene deres utfører oppgaver som har betydning for sikkerhet og sikring, jamfør sikkerhetsstyringsforskriften § 2-2 Krav om sikkerhetsstyring og sikringsforskriften § 2-2 Krav om styring av sikring. Se veilederen for leverandørstyring.

Risikovurdering av informasjons- og cybersikkerhet

1. Identifisere kritiske verdier

Verdier, jamfør sikringsforskriften § 1-3 Definisjoner bokstav n) verdi, innen informasjons- og cybersikkerhet kan omfatte både informasjon (digital og fysisk) og informasjonssystemer.

  • Informasjon – som kan utnyttes til å utføre tilsiktede uønskede handlinger, eller informasjon som er viktig for togframføringen, jamfør sikringsforskriften § 1-3 Definisjoner bokstav j) tilsiktet uønsket handling. Dette kan være informasjon som også er viktig for sikker togfremføring. Med «viktig for sikker togfremføring» menes eksempelvis tap av informasjonen, utilgjengelig informasjon eller endring av informasjonen som kan føre til en jernbanehendelse, redusert trafikk eller stans i trafikken.
  • Informasjonssystemer
    • Informasjonssystemer som kan utnyttes til å utføre tilsiktede, uønskede handlinger
    • Informasjonssystemer som ved bortfall eller funksjonsfeil kan resultere i stans i togfremføringen eller påvirke sikkerheten ved selve togfremføringen.

Eksempler på verdier kan være:

Informasjon

  • rapporter fra risikovurderinger
  • beredskapsplaner
  • beskrivelser av IT-systemer og jernbaneinfrastruktur
  • avvikslogger

Informasjonssystemer

  • kommunikasjonssystemer, for eksempel for informasjon til publikum
  • styrings- og kontrollsystemer, for eksempel signalsystem
  • systemer til ruteplanlegging
  • administrative IT-systemer

Felles for verdiene informasjon og informasjonssystemer er at dere skal ivareta verdienes konfidensialitet, integritet og/eller tilgjengelighet. Se begrepsliste for informasjonssikkerhet hos Difi.

For eksempel skal dere beskytte et dokument mot uautorisert innsyn dersom dokumentet inneholder informasjon om sårbarheter i et system. Et annet eksempel er at dere skal sikre at et signalsystem er tilgjengelig og fungerer etter hensikten, for å sikre at signalene sendes til tog.

Når dere har kartlagt hvilke verdier dere eier, forvalter eller drar fordel av, bør dere rangere verdiene etter kritikalitet. Kritikaliteten vil avgjøre hvilke verdier som bør analyseres videre i en vurdering av trussel og sårbarhet. Da er det enklere å identifisere om dere er innenfor virksomhetens risikoaksept og sikringsmål.

2. Fastsette risikoaksept og sikkerhetsmål

Ledelsen i jernbanevirksomheten skal fastsette en risikoaksept og sikkerhets- og sikringsmål. Risikoaksepten og målene bør indikere hva dere aksepterer av skader og bortfall av verdiene. Ofte er det vanskelig å oppfylle konfidensialitet, integritet og tilgjengelighet fullt ut med overkommelige kostnader. Den fastsatte risikoaksepten og de definerte sikkerhetsmålene vil hjelpe ledelsen med å prioritere de ulike behovene for å beskytte de kritiske verdiene.

Et eksempel: Hvis dere prioriterer å øke konfidensialiteten og integriteten i et signalsystem, kan dette potensielt føre til redusert tilgjengelighet. Det er fordi dataene krever mer kapasitet for overføring og kompleksitet i infrastrukturen, for eksempel ved kryptering eller dekryptering av data i noder.

3. Vurdere trusler og farer

Trusler om cyberangrep kan komme fra statlige aktører, organisasjoner, grupperinger og individer med ulike intensjoner. Intensjonene kan blant annet være å:

  • forårsake mindre avbrudd og forstyrrelser
  • forårsake skade på omdømme
  • få økonomisk vinning
  • drive industrispionasje
  • forårsake ulykker og hendelser som kan føre til skade på og tap av menneskeliv

Trussel om cyberangrep kan komme fra både eksterne aktører og egne ansatte som handler bevisst eller ubevisst. Kanskje er det misfornøyde ansatte som ønsker å skade virksomheten og med viten og vilje utfører uønskede handlinger. Et eksempel kan være en ansatt som deler konfidensiell informasjon med uvedkommende, noe som kan skade virksomhetens omdømme. Et annet eksempel er at en ansatt kan bli økonomisk påvirket eller presset til å drive industrispionasje eller utføre andre uønskede handlinger mot virksomheten.

Trusselaktørene kan angripe informasjonssystemene på forskjellige måter, for eksempel gjennom:

  • fjerntilgang via internett
  • usikrede nettverk, der aktøren kan utnytte kjente sårbarheter i applikasjoner eller systemer
  • sosial manipulering, som phishing, for å tilegne seg brukernavn og passord fra ansatte
  • direkte, uautorisert tilgang til fysisk IKT-infrastruktur, for eksempel å stjele PC-er eller andre bærbare maskiner

Når dere vurderer trusler mot informasjons- og cybersikkerhet, skal dere analysere følgende:

  • Hvem er trusselaktørene?
  • Hvilke motiver kan de ulike aktørene ha?
  • Hvilke metoder (modus operandi) kan aktørene bruke?

Dere kan finne informasjon om trussel- og sårbarhetsvurderinger utført av myndigheter som for eksempel NSM, PST, nasjonale CERT, etc. I tillegg utarbeider flere private aktører årlige trusselvurderinger. Disse vurderingene av trussel og sårbarhet kan dere benytte som grunnlagsinformasjon for egne vurderinger. Spørsmålet dere bør stille er hvor relevante disse vurderingene er for jernbanebransjen og deres egen virksomhet.

Fra et sikkerhetsperspektiv skal dere identifisere og vurdere mulige farer som kan svekke informasjons- og cybersikkerheten. Slike farer kan for eksempel være:

  • egne ansatte som ubevisst og uten vilje handler av uaktsomhet, manglende kunnskap eller forståelse
  • feil i program- eller maskinvare
  • et lagringsmedium som går i stykker og det ikke finnes back-up
  • naturhendelser som påvirker infrastrukturen, som brudd i kabler

4. Vurdere sårbarheter og konsekvenser

For informasjons- og cybersikkerhet vil sårbarhetene indikere i hvilken grad verdienes konfidensialitet, integritet og tilgjengelighet er ivaretatt. Dere kan anslå hvilket potensial for tap eller skade en kompromittering av konfidensialitet, integritet og tilgjengelighet kan ha for informasjonen og informasjonssystemene dere er avhengige av.

Taps- og skadepotensialet kan for eksempel defineres som potensial for å skade

  • passasjerer
  • personell
  • jernbaneinfrastruktur og annet materiell
  • tjenestetilbud
  • omdømme
  • økonomi 
  • miljø

Hvor alvorlig en kompromittering av konfidensialitet, integritet og tilgjengelighet kan være, avhenger av ulike faktorer:

  • konfidensialitet – hvor kritisk er informasjonen eller informasjonssystemet, og kan hendelsen tilbakestilles til opprinnelig tilstand?
  • integritet – er sporbarheten i informasjonssystemene sikret, og hvor høy verdi har informasjonen?
  • tilgjengelighet – hvor lenge er informasjonen eller informasjonssystemet utilgjengelig, og finnes det redundante løsninger?

I en risikoanalyse av sikkerheten skal dere vurdere hvilke farer som kan forårsake uønskede hendelser, jamfør sikkerhetsstyringsforskriften § 6-1 Risikovurderinger fjerde ledd. Så må dere se på hvilke konsekvenser de uønskede hendelsene kan ha for informasjons- og cybersikkerheten.

Verdienes sårbarheter og farer for uønskede hendelser innen informasjons- og cybersikkerhet kan skyldes mange ulike forhold, og de kan ha ulike årsaker. Disse kan for eksempel være:

  • menneskelige faktorer, som manglende kompetanse eller menneskelige feil
  • teknologiske faktorer, som feilkonfigureringer i applikasjoner og systemer nettverksinfrastruktur, datakommunikasjon, perimetersikring, etc.
  • organisatoriske faktorer, som manglende interne rutiner, manglende leverandørstyring, etc.

5. Håndtere risiko

Når dere har vurdert risikoen for informasjons- og cybersikkerhet kan dere håndtere den på ulike måter. Mest aktuelt vil det være å:

  • redusere eller fjerne risikoen gjennom tiltak
  • akseptere og overvåke risikoen

5.1. Redusere eller fjerne risikoen gjennom tiltak

Tiltak kan sorteres i tre kategorier: menneskelige, tekniske og organisatoriske. I de fleste tilfellene vil det være behov for å kombinere tiltakene innen de tre kategoriene, for å være innenfor virksomhetens risikoaksept.

Det finnes mange nasjonale og internasjonalt anerkjente standarder og veiledninger som kan være til hjelp for å velge tiltak, for eksempel:

  • NSMs grunnprinsipper for IKT-sikkerhet
  • ISO/IEC 27000-serien
  • CIS Top 20 Critical Controls

Eksempel på menneskelig tiltak

Gjentagende opplæring av brukerne av et informasjonssystem vil sikre at de har riktig kunnskap til å anvende informasjonssystemet.

Eksempel på teknisk tiltak

Et mulig tiltak er å bruke multifaktor-autentisering ved pålogging til et informasjonssystem, for å bekrefte at brukeren er den som den utgir seg for å være.

Eksempel på organisatorisk tiltak

Det kan være behov for å utpeke en systemansvarlig for informasjonssystemet. Systemansvarlig kan være ansvarlig for at systemet kontinuerlig er oppdatert og fungerer som det skal.

5.2 Akseptere og overvåke risikoen

I visse tilfeller vil den vurderte risikoen ligge innenfor den etablerte risikoaksepten. Da kan dere velge å akseptere risikoen uten å iverksette ytterligere tiltak. Husk at dere fortsatt må overvåke hvordan risikoen utvikler seg. Det innebærer at dere kontinuerlig bør holde oversikt over verdier, trusler og sårbarheter (se punktene 1 til 4). Hvis risikobildet endrer seg, må dere vurdere om det er behov for å iverksette nye tiltak eller fjerne eksisterende tiltak.