Kan NSMs grunnprinsipper for IKT-sikkerhet brukes for prosesskontroll-systemer?

Nasjonal sikkerhetsmyndighet har gitt ut en samling tiltak for IKT-sikkerhet i I(K)T-systemer. På oppdrag fra Ptil har vi gjennomført en evaluering av disse tiltakene, og finner at med noen få unntak er de relevante også for prosesskontrollsystemer i petroleumsindustrien, men at en del tiltak krever noen ekstra tillempninger.

I illustrasjonen har vi angitt på et overordnet nivå i hvilken grad de enkelte prinsippene er direkte relevante for prosesskontrollsystemer (også kjent som OT-systemer) (merket med [v]), om de inneholder ett eller flere tiltak som krever ytterligere vurdering/tillempning (merket med [!]), eller om de ikke er relevant for OT (merket med [x]). Av totalt 118 tiltak fra NSMs grunnprinsipper er 96 [v], 18 [!] og 4 [x].

Grovt sagt har vi merket oss følgende:

  • OT-systemer har gjennomgående mye lenger levetid enn hva man opplever i IT, og derfor kan man i mindre grad forvente at operativsystemer og programvare til enhver tid er oppdatert med siste tilgjengelige versjoner (ei heller alltid sikkerhetsoppdateringer)
  • NSM vil gjerne at alle forbindelser (trådløse som trådbundne) skal krypteres, men dette lar seg ikke alltid gjør ei OT, spesielt på de lavere lagene.
  • OT nettverk kan være sårbare for “uvanlig” trafikk, så bruk at “Intrusion Prevention System” og forskjellige former for penetrasjonstesting må gjøres med forsiktighet.
  • Når sikkerhetshendelser oppdages, må man vise forsiktighet ved f.eks. terminering av prosesser som ser ut til å være berørt, ettersom dette kan konsekvenser for HMS/trygghet og krav til oppetid.

Som en del av oppdraget har vi også vurdert om det finnes elementer i NIST Cybersecurity Framework som ikke dekkes av NSMs grunnprinsipper, og vi kommer med konkrete anbefalinger til mulige tillegg i denne forbindelse. Hele rapporten kan leses her: https://www.ptil.no/globalassets/fagstoff/prosjektrapporter/ikt-sikkerhet/id4-grunnprinsipper-for-ikt-sikkerhet_sintef-rapportnr-2021-00055-feb—signert.pdf