Enhver organisasjon må gjøre et svært grunnleggende valg når det gjelder sikkerhetsarbeidet: hvilket sikkerhetsnivå er riktig for oss? En må altså finne en riktig balanse mellom investering i forebyggende (gjerne tekniske) sikkerhetsmekanismer kontra evnen til å håndtere det som måtte inntreffe av hendelser. En viss risiko må aksepteres, og det er dermed viktig å føle seg trygg på at det som kan skje, det greier vi å håndtere.
PhD-prosjektet mitt handler om hendelseshåndtering blant nettselskaper i kraftbransjen, og jeg har tidligere beskrevet både planene og intervjustudien min. Jeg er nå godt i gang med analyse av intervjumaterialet og det er allerede noen funn som utmerker seg.
Det er vesentlige forskjeller mellom IT-miljøene og drifts-/SCADA-miljøene. IT-sjefen og IT-sikkerhetsansvarlig har gjerne ansvar for begge deler, men i praksis konsentrerer de seg om de administrative IT-systemene, mens ansvar og myndighet for driftsmiljøet typisk er delegert til en egen leder for kontrollrommet. Driften av administrative IT-systemer er ofte satt ut til andre, mens driftssystemene opereres av nettselskapet selv.
Alle som er underlagt Beredskapsforskriften er pålagt å ha følgende tre roller: Beredskapsleder, beredskapskoordinator, IT-sikkerhetskoordinator. En IT-sikkerhetskoordinator jeg har snakket med anslår at ca 5% av arbeidshverdagen kan brukes på slike oppgaver, mens resten fylles av andre typer oppgaver som vedkommende også er ansvarlig for.
På spørsmål om hvordan de vil definere et IKT-sikkerhetsbrudd, er de fra IT-siden rimelig omforente og bruker helst begrepene konfidensialitet, integritet og tilgjengelighet, som vi er godt kjent med. På kontrollromsiden bruker de ikke disse begrepene, og har en noe mer diffus oppfatning av hva et sikkerhetsbrudd er. De nevner heller eksempler som “noe som forstyrrer funksjonalitet”, “noen som bryter seg inn” og “brudd på policy”. Slike svar er på ingen måte feil, men de illustrerer at begrepsapparatet er ulikt i de to miljøene. For å kunne samarbeide om IKT-sikkerhet, vil jeg påstå at det er sentralt å kunne forstå hverandre, snakke samme språk, bruke samme terminologi. Her er det litt å gå på.
Planer for hendelseshåndtering finnes i svært ulik grad. Noen fra IT-siden henviser til driftsleverandøren og håper at de har det der. Andre er i ferd med å utarbeide det selv, men har ikke hatt noe til nå. På driftssiden er de gode på generelle beredskapsplaner. Slike planer behøver ikke nødvendigvis å inneholde IKT-sikkerhetsbrudd spesielt. Ingen nevner ISO/IEC 27035-standarden om Incident management, hvilket kan indikere at den ikke er særlig utbredt ennå.
Trening på hendelseshåndtering er en mangelvare. De som ikke har planer, har et dårlig utgangspunkt for å trene. Igjen er det noen som peker på driftsleverandøren og mener det er de som bør gjennomføre øvelsene. Generelle beredskapsøvelser gjennomføres jevnlig, og iblant er det IKT-sikkerhetsbrudd som står på agendaen, men det tilhører foreløpig sjeldenhetene. Det er åpenbart et behov for å få øvelser høyere opp på prioriteringslista, og ikke minst er det behov for at slike øvelser inkluderer både IT-miljøet og driftsmiljøet. Årsaken til at det øves for lite er ikke helt klar, det sies at det ikke er tid i hverdagen. Jeg tror imidlertid at øvelser kan føles uoverkommelige; det er ikke en enkel sak å lage et øvelsesopplegg som vil funke, og derfor er det lett å heller prioritere andre oppgaver som man har bedre forutsetninger for å løse raskt.
Analysearbeidet er altså ikke ferdig, og jeg vil komme til å presentere flere funn her på bloggen om en stund. Det er ikke nødvendigvis store overraskelser jeg har kommet over ennå, men det er svært nyttig å få dokumentert dagens praksis slik at ikke videre forskning og utvikling må baseres på antakelser.
Jeg vil også minne om case-studien som ble gjennomført i vår av mine to master-studenter ved NTNU om hendelseshåndtering i store organisasjoner.