NKSB Hvordan beskytte kritisk infrastruktur
Transcription
NKSB Hvordan beskytte kritisk infrastruktur
FOR ET TRYGGERE NORGE Nasjonalt kompetansesenter for sikring av bygg EN DEL AV FORSVARSBYGG FUTURA Hvordan beskytte kritisk infrastruktur Yngve Slagnes [email protected] 48103052 Agenda Hva er kritisk infrastruktur? Hvordan finne rett sikringsnivå Trusselaktør metoder og kapasiteter Hvordan beskytte kritisk infrastruktur (organisatorisk, fysisk og elektronisk) Standarder og tester Bestiller-kompetanse Definisjoner – kritisk infrastruktur Strategisk nivå ”Kritisk infrastruktur er de anlegg og systemer som er helt nødvendige for å opprettholde samfunnets kritiske funksjoner som igjen dekker samfunnets grunnleggende behov og befolkningens trygghetsfølelse.” (NOU 6:2006, s. 31) DSB Rapport – Sikkerheti kritisk infrastruktur og kritiske samfunnsfunksjoner Hendelser Definisjoner – kritisk infrastruktur Virksomhetsnivå Kritisk infrastruktur er det nett av faste anlegg, systemer eller tjenester som er grunnlaget for en virksomhet skal kunne: Beholde sin operative evne Levere de tjenester som andre virksomheter er kritiske avhengige av Motta de tjenester som andre virksomheter leverer. Kombinasjon av overnevnte Grunnsikring – Sikringstiltak som ivaretar en entitets sikringsbehov ved normaltilstand. NSMs veileder for objektsikkerhetsforskriften:2012 Risikovurdering - Security Planlegging av risikovurderingen En risikovurdering vil være et godt verktøy for å kartlegge: Objektkartlegging Verdivurdering Trusselvurdering Sårbarhetsvurdering Kontroll av tiltak Objektet Verdiene Trussel Sårbarhet Risiko Akseptabelt risikonivå Ulike sikringstiltak Risikoanalyse Fastsettelse av risikonivå Forslag til sikringstiltak Utarbeide tiltaksplan NKSB modell for gjennomføring av risikovurdering Trusselaktør – metoder og kapasiteter Alfa Bravo Charlie Delta Terror Etterretning Sabotasje Annen kriminalitet Hvordan beskytte kritisk infrastruktur Barrierer Avskrekke, forhindre eller redusere muligheten for uautorisert passering/anslag Deteksjon Oppdage forsøk på anslag Verifikasjon Etablere situasjonsforståelse Reaksjon Stoppe anslaget, redusere skadepotensialet Helhetlig sikring av kritisk infrastruktur For å sikre kritisk infrastruktur vil det ikke være godt nok å kun fokusere på isolerte elementer. Man må ha en helhetlig tankegang for sikringen. Ved å planlegge godt og utforme sikringstiltakene slik at man får en kombinasjon av administrative, organisatoriske, fysiske og elektroniske sikringstiltak vil man få en bedre grunnsikring. Sikring i soner Vi skal presentere ulike måter/metoder man kan benytte for å beskytte den kritiske infrastrukturen en virksomhet har. Ytre Barriere (Perimeter) Evt. deteksjon Deteksjon og tidshindrende tiltak Verifisere Mellombarriere 2 (Indre skall) Deteksjon og tidshindrende tiltak Indre barriere (Verdisikring) Deteksjon og tidshindrende tiltak Tidsregnskap Mellombarriere 1 (Ytre skall) Hvordan sikrer den enkelte virksomhet sin kritiske infrastruktur? UPS Aggregat OPS rom Antenne Serverrom Koblings pkt. Hull i den «helhetlige sikringen» Ofte kan ulike leverandører «sitt» fag godt, men dette betyr ikke at de kan utarbeide konsepter om helhetlig sikring. En trusselaktør vil være i stand til å omgå sikringstiltak. Typiske sårbarheter Administrative og organisatoriske sårbarheter Tilgang Autorisasjon Deling av arealer Fysisk sårbarheter Det benyttes vanlige ståldører og ikke godkjente sikkerhetsdører. Luker – Ventilasjon og aggregat Elektroniske sårbarheter Eierskap Praktiske eksempler Kritisk infrastruktur VS. økonomi Dimensjonering av fremtidig behov Sensur Praktisk eksempler - avhengigheter Kritisk infrastruktur har svært ofte avhengigheter. Disse bør komme frem i en verdivurdering med prioritetsnivå og kritikalitet. Det er få tekniske installasjoner som fungerer uten: Kraftforsyning (primær og sekundær) Kommunikasjon Nettforsyning Strøm UPS Aggregat Batteri Kritisk infrastruktur Praktiske eksempler Ikke plasser avhengighetene dine lett tilgjengelig Sensur Praktiske eksempler 200 mm dobbelarmert betongvegg Adgangskontroll Tredør (papp) Ikke FG-godkjent lås Sensur Praktiske eksempler Mangel på soneinndeling. Flere leietakere har tilgang til samme arealer. Den enkelte leietaker har ikke oversikt over andre som har tilgang. Sensur Praktiske eksempler Ventilasjonsluker Tekniske føringer Sensur Praktiske eksempler Elektroniske sikringssystemer lokalisert i fellesarealer Sensur Praktiske eksempler Elektroniske sikringssystemer mangel på eierskap og forankring Sensur Praktiske eksempler Ståldør (branndør) brukt som sikringsdør Sensur Praktiske eksempler Brann og rømningsveier VS. Sikkerhet Disse to kan være vanskelig å kombinere, men flere av dørleverandørene som leverer komplett løsning med dør og lås har nå begynt å få øynene opp for dette, og har løsninger som kan benyttes, dersom forholdene er lagt til rette. Standarder Det er en mengde med standarder som sikringsprodukter kan klassifiseres EN 1627 NS EN 1321 NS EN 1522 NEK EN 50131-50133 NEK EN 50518 FG-regelverket for innbrudd M.fl. Standard EN1627 metoder for testing Standard NS-EN 356 metoder for testing Standard NS-EN 1522 metoder for testing 8. Hva motstår egentlig sikringsproduktene Nasjonalt kompetansesenter for sikring av bygg (NKSB) gjennomfører ulike realistiske tester av sikringsprodukter og løsninger. Vinduer Dører Vegger Elektroniske sikringssystemer HPM/EMP våpen Dette gjør at NKSB har kompetanse til å vurdere ulike sikringsløsninger Hva slags utstyr kan og vil trusselaktøren benytte? Innbruddstester - vinduer Sensur Innbruddstester - dører Sensur Innbruddstester - dører Sensur Test – Innbrudd med termisk lanse Sensur Hvordan lage termisk lanse Innbruddstester - vegger Sensur Sensur Innbruddstider sikringsklasser (2015) SK A B C D1 D2* 0 ** ** ** ** ** 1 ** ** ** ** ** 2 ** ** ** ** ** 3 ** ** ** ** ** 4 ** ** ** ** ** 5 ** ** ** ** ** 6 ** ** ** ** ** 7 ** ** ** ** ** 8 ** ** ** ** ** 9. Bestiller-kompetanse Når man skal etablere sikringstiltak er det viktig at man som bestiller har et forhold til hva er det man faktisk har behov for. Hvilke krav til sikring er det. Uavhengig av løsningsvalg bør produktet være: A: Testet og sertifisert etter en «god» standard. Alternativt B: En løsning som er testet i praksis av kompetent personell. C: En kombinasjon av overnevnte. Det bør ikke overlates til leverandøren å både utarbeide kravene og prosjektere løsningen.