På oppdrag fra NVE har vi skrevet rapporten «Sikkerhet for skybasert OT i kritisk infrastruktur«. Her har vi undersøkt hvordan man kan ivareta sikkerheten til driftskontrollsystemer i klasse 1 og 2 når kritiske funksjoner er avhengige av eller plassert i skyen. Rapporten er basert på en litteraturstudie og gjennomgang av «grålitteratur».
Vi fant sparsomt med akademisk litteratur om emnet. Vi identifiserte fire case som illustrerer både muligheter og utfordringer:
- Skykontroll av produksjonsprosess: To artikler fra 2022 og 2023 beskriver hele kjeden fra produksjonsmiljø til overvåking og kontroll fra skyen. Artiklene tar for seg cybersikkerhet, men er ikke særlig industrinære.
- Skykontroll av sementproduksjon: En artikkel fra 2019 viser hvordan en IoT Gateway knytter sammen kontrollsystem, sky og drone. Artikkelen påpeker behovet for cybersikkerhet, men gir ingen detaljer. Den valideres imidlertid i et faktisk produksjonsmiljø.
- Skykontroll av jernbane: Et whitepaper fra Siemens Mobility beskriver en teknisk løsning for å plassere kontrollfunksjoner for et kommunikasjonsbasert togkontrollsystem i en skyløsning. Løsningen er basert på Siemens’ DS3-plattform, som er sertifisert til SIL 4 (IEC 61508). Kommunikasjonen mellom tog og sky, samt sky og feltutstyr, skal foregå over 5G.
- Kraftsektoren utenfor Norge: Her fant vi kun teoretiske studier og tester; sistnevnte indikerer at forsinkelsen mellom skyen og «on-premises» delen er svært lav og ikke påvirker sanntidsfunksjoner negativt.
Vi har også gjennomgått relevante sikkerhetskrav, med fokus på Kraftberedskapsforskriften (KBF). Kapittel 6 i KBF, som omhandler informasjonssikkerhet, er godt dekket av veilederen fra FSK. Kravene i dette kapittelet vil være mulige å oppfylle ved bruk av skytjenester, gitt at FSKs krav oppfylles.
Kapittel 7 i KBF, som omhandler beskyttelse av driftskontrollsystemer, er mer utfordrende. Mange av formuleringene er basert på behovet for å beskytte fysiske komponenter, noe som gjør det vanskelig å vurdere kravene i en kontekst hvor funksjoner er virtualiserte. Vi identifiserte flere «showstoppers» som kan hindre bruk av skybaserte løsninger for klasse 1 og 2 driftskontrollsystemer, blant annet:
- Kravet om komplett dokumentasjon av fysiske komponenter
- Kravet om kontroll over fysisk tilgang til systemet
- Kravet om å teste alle endringer før de trer i kraft
Vi foreslår flere forbedringer av lovverket for å muliggjøre bruk av skybaserte OT-systemer, blant annet:
- Bedre skille mellom fysiske og logiske sikkerhetsmekanismer
- Aksept av alternativer til fysiske sikkerhetstiltak som virtualisering og redundans
Vi konkluderer med at det ikke nødvendigvis er sikkerhetsmessige forhold ved skyløsninger i seg selv som hindrer bruk i driftskontrollsystemer. Ordlyden i KBF kapittel 7 gjør det imidlertid umulig for norske nettselskaper å flytte driftskontrollsystemer av klasse 1 eller 2 til en offentlig skyløsning.
Veien videre må inkludere en revisjon av KBF kapittel 7 og etablering av en godkjenningsordning for skyleverandører, og i lys av dagens utfordrende geopolitiske situasjon mener vi at de godkjente leverandørene bør være norske – norsk kritisk infrastruktur bør kjøres i Norge!