Er det kjedelig med sikkerhet?

På oppdrag fra NVE har vi skrevet en rapport med anbefalinger til krav som norske nettselskaper med fordel kan stille til sine leverandører.

NVE ønsket en rapport som kunne identifisere god praksis for krav relatert til IKT-sikkerhet i anbudsdokumenter på anskaffelse av IT og OT, og hvordan dette skal kunne følges opp i drift. Hovedmålet var å identifisere krav som små og mellomstore nettselskap kan stille til sine leverandører.

Metode

Vi foretok en gjennomgang av tre tidligere rapporter fra NVE:

  • Elisabeth Kirkebø, Mathias Ljøsne, IKT-sikkerhet ved anskaffelser og tjenesteutsetting i energibransjen, NVE Rapport 90:2018.
  • Maren Maal, Katrine Krogedal og Arthur Gjengstø, IKT-sikkerhet i anskaffelser og tjenesteutsetting i kraftbransjen – sjekkliste, NVE- Rapport nr. 1/2020
  • Sigrid Haug Selnes, Sina Rebekka Moen, Siyang Emily Ji og Ove Njå, Kraftbransjens leverandørkjeder – digital sikkerhet og sårbarhet i globaliseringens tidsalder, NVE-Eksternrapport 18:2021

Vi har også vurdert veiledningen for Kraftberedskapsforskriften for å se om det var noen konkrete krav til leverandører som kunne identifiseres her, og vi har gjort et søk i nyere akademisk litteratur (dvs. publisert etter Selnes et al.). I løpet av høsten 2022 har vi også gjennomført noen uformelle samtaler med aktører i bransjen, delvis for å innhente god praksis, og delvis for å validere foreløpige resultater.

(Systematisk) litteratursøk

Vi foretok et litteratursøk i akademisk litteratur via Scopus (etter 2021) som ga 119 resultater. Vi var primært på utkikk etter artikler som kan bidra med konkrete krav som nettselskaper kan stille til sine underleverandører. Bare 4 av de 119 artiklene ble vurdert som relevante basert på abstract, og av de 4 var det 3 som bidro med relevante krav:

  • J. Viega and J. B. Michael, ‘Struggling with Supply-Chain Security’, Computer, vol. 54, no. 7, pp. 98–104, 2021
  • A. R. Nygård and S. Katsikas, ‘SoK: Combating threats in the digital supply chain’, presented at the 2022 ARES conference
  • J. Yang, Y. Lee, and A. P. McDonald, SolarWinds Software Supply Chain Security: Better Protection with Enforced Policies and Technologies, presented at SNPD 2021: Software Engineering, Artificial Intelligence, Networking and Parallel/Distributed Computing, SCI vol. 1012, 2022, p. 58.

Kravene

Vi prøvde oss først på en tredeling av kravene i “Må”, “bør” og “kjekt å ha”, men dette viste seg å være litt vanskelig når noens “kjekt å ha”-krav fort ble et “bør”-krav for andre. Vi landet derfor på “krav og ytterligere anbefalinger”:

Må-krav: Kravene er basert på krav i gjeldende regelverk (forskriftskrav). Vi har tolket dette videre enn kun NVEs myndighetsområde (dvs. vi tar hensyn til også GDPR og annet). Kraftberedskapsforskriftens §6.9 legger for øvrig relativt brede føringer for “sikr[ing] av digitale informasjonssystemer”.

“Ytterligere anbefalinger”: Basert på anbefalinger fra et begrenset antall intervjuer med aktører i kraftbransjen, anbefalinger fra tidligere NVE-rapporter, og anbefalinger fra fagfellevurdert litteratur fra de to siste årene (NSMs grunnprinsipper, …)

En viktig forutsetning for å holde styr på leverandørkjeden er imidlertid bestillerkompetanse! NSM sier noe om dette i sine veiledninger, men vi fant at det var vanskelig å formulere konkrete krav. Store nettselskaper er naturlig bedre på dette enn små, så vår hypotese er at innkjøpsallianser kan være svaret for små aktører. Dette har vi imidlertid ikke studert spesielt.

I det følgende lister vi opp krav og anbefalinger i punktform – for mer detaljer henviser vi til rapporten.

Må-krav

  • Periodisk risikovurdering av leverandører – et krav til nettselskapet, men leverandøren må legge til rette for det
  • Kartlegge hvordan leverandør kan bistå i en akutt situasjon
  • Involver leverandører i øvelser
  • Servere plassert i EU/EØS (GDPR++)
  • Servere som behandler kraftsensitiv informasjon må befinne seg i land som tilfredsstiller kravene til DKS klasse 2
  • Ansatte med tilgang til sensitiv informasjon må befinne seg i EU/EØS (Vurder også nasjonalitet til den konkrete ansatte (“land vi har sikkerhetspolitisk samarbeid med))
  • Nettselskapet må eie data i tjenesten som tilbys

Ytterligere anbefalinger

  • Programvare bør leveres med Software Bill of Materials
  • Leverandør bør bruke NSM grunnprinsipper eller tilsvarende
  • Leverandør bør svare ut VSA sjekkliste
  • Leverandør må ha en prosess for håndtering av sårbarheter
  • Redundans mellom underleverandører (NB: Hva er praktisk mulig? Hvor lang forsinkelse må man regne med?)
  • Overføring av data og konfigurasjon ved terminering av kontrakt (burde kanskje vært et “må”-krav?)
  • Leverandøren bør ha oversikt over sine verdikjeder
  • Automatisert monitorering av tjenester
  • Leverandør bør anvende metode for sikker utvikling
  • Herding av løsninger (NB: Kjører ting lokalt eller hos leverandør?)
  • Separasjon mellom kunder

Konklusjon og videre arbeid

Vi har skrapt litt i overflaten, og vår anbefaling til NVE er at de bør ha en ny runde med diskusjon med flere nettselskaper og leverandører, og gjerne litt grundigere litteraturstudie. Vi kommer til å jobbe videre med temaet leverandørkjedesikkerhet bl.a. i regi av NORCICS-prosjektet.

Les hele rapporten her: https://www.nve.no/nytt-fra-nve/nyheter-sikkerhet-og-energiforsyningsberedskap/krav-til-ikt-sikkerhet-for-kraftforsyningens-leverandoerer/