Terskelverdi vannforsyning
I drikkevannsforskriften §3, bokstav k er vannforsyningssystemer definert som følger;
Det er foreslått en terskelverdi for vannforsyningssystemer på minst 2000 m3 pr. døgn. Dette tilsvarer ca 10 000 personer ved 200 liter/person og døgn. For enkelte vannverk som leverer til en storforbruker, for eksempel et settefiskanlegg eller tilsvarende, hvor denne virksomheten oppleves som lite samfunnskritisk, bør det vurderes mulighet for å gi unntak for terskelverdien. Antall personer forsynt vil i et slikt tilfelle kunne være langt under 10 000. Følgelig bør det også åpnes for at vannverk som produserer mer enn 2000 m3 døgn, kan unntas fra kravene i forskriften. Et slikt unntak gis av Helse- og omsorgsdepartementet (HOD), på tilsvarende måte som at HOD gis anledning til å utpeke enkeltvirksomheter under terskelverdien som loven skal gjelde helt eller delvis for.
Norsk Vann støtter bruk av en terskelverdi og nivået på denne. Det er viktig å merke seg at vannforsyningssystemene som kommer under terskelverdien fortsatt vil være omfattet av drikkevannsforskriften. Drikkevannsforskriften setter krav til digital sikkerhet (§10), interkontrollsystemer, farekartlegging og farehåndtering, og beredskapsplaner. Hvis vannforsyningssystemet leverer vann til en samfunnskritisk virksomhet, vil HOD kunne gjøre egne vurderinger knyttet til dette. Følgelig anses bruk av terskelverdi som en god måte å avpasse virkeområdet til digitalsikkerhetsforskriften til det som er hensiktsmessig.
Hensiktsmessig varsling
Vannforsyning og håndtering av avløpsvann er basert på kontroll av store prosessanlegg og et omfattende ledningsnett. Til dette benyttes operativ teknologi (OT), også kalt scada systemer eller driftskontrollsystemer. Tilsvarende systemer benyttes i kraftsektoren og i industri. Operativ teknologi (OT) styrer utstyr, informasjonsteknologi (IT) kontrollerer data.
IT fokuserer nærmere bestemt på å sikre konfidensialitet, integritet og tilgjengelighet av data. Tradisjonelt har ikke OT-cybersikkerhet vært nødvendig i samme grad fordi OT-systemer ikke har vært koblet til internett. Dette er under rask endring og setter større krav til sikkerhet for driftskontrollsystemene (OT) for prosessanlegg og ledningsnettet. Dermed stilles det stadig økende krav til kompetanse for å sikre driftssystemene.
Kompetanse på OT og sikkerhet knyttet til slike systemer, er forskjellig fra IT-systemer. Følgelig må kommunene og vannforsyningssystemene ha tilgang til eget personell som har slik kompetanse.
En svakhet i en komponent i et OT-system kan bli avdekket for eksempel i Australia. Kunnskapen om denne svakheten må nå alle norske brukere av den samme komponenten innen svakheten blir utnyttet av en trusselaktør. For å sikre dette er det opprettet et system av CERTer som skal varsle. Flere vannverk i Norge er tilknyttet InfraCERT som har denne oppgaven for flere infrastruktursektorer. InfraCERT samarbeider med KommuneCERT for å koordinere sine aktiviteter mot kommunene og vann- og avløpssektoren.
Varsling av hendelser innen vannforsyning vil følgelig ha to hensikter;
Varsling av Mattilsynet og kommunelege er regulert i drikkevannsforskriften, og er således en plikt som vannforsyningssystemene forholder seg til for alle mulige typer hendelser som kan påvirke leveringssikkerheten og kvalitet.
Det vil ikke nødvendigvis være sammenfall mellom punkt 1 og 2 ovenfor. Sårbarheter som avdekkes ved en digital hendelse vil ikke nødvendigvis påvirke driften av vannforsynings-systemene, siden det er bygget inn mange barrierer og redundans i systemene. Videre har ikke Mattilsynet nødvendig kompetanse eller systemer til å ivareta informasjonshåndtering og deling av informasjon etter punkt 1. Dette er spesialkompetanse som i dag ivaretas av CERTene.
Utfra dette må varsling av hendelser innen digital sikkerhet i OT-systemer varsles til en enhet som har kompetanse og forståelse for OT, og har evnen til å vurdere, håndtere og videredistribuere informasjonen på sikkert vis. Denne enheten må også formidle informasjon som innhentes fra andre CERTer ut til kommunene/vannforsyningssystemene på en svært rask og presis måte, slik at sårbarheter kan lukkes før de blir utnyttet. Videre vil det kunne være andre infrastrukturbransjer som benytter samme komponenter. Disse må også varsles raskt. Et av målene med NIS direktivet er å ivareta rask respons og styrking av motstandsdyktighet mot hendelser. Følgelig må det etableres hensiktsmessige rutiner som ivaretar formålet med NIS.
I dag er det etablert to CERTer som i samspill kan ivareta dette, InfraCERT og Helse- og KommuneCERT. Helse- og KommuneCERT må ha kompetanse på OT og forståelse for at kommunene er ansvarlig for å drifte slik systemer på et samfunnskritisk område. Hvis de ikke har denne forståelsen, vil de ikke kunne støtte kommunene og se helheten i trusselbildet. InfraCERT har denne kompetansen. Imidlertid har ikke InfraCERT ansvar for kommunenes helhetlige IT-system. Erfaringer fra Østre-Toten hendelsen viser at en svikt i IT-systemet også kan ha svært stor påvirkning på drift av vannforsyning og kommunal infrastruktur.
Norsk Vann foreslår følgelig at Helse- og KommuneCERT blir responsmiljø for vannforsyningssystemene, i et tett og forpliktende samarbeid med InfraCERT. Sammen vil disse miljøene kunne ivareta den nødvendige helheten og samtidig ha spisskompetanse på OT.
Utfra begrunnelsen ovenfor vil det også være hensiktsmessig og naturlig at varsling etter digitalsikkerhetsforskriften §17, for vannforsyningssystemer, går direkte til Helse- og KommuneCERT.
Varsling av hendelser som berører leveransesikkerhet og kvalitet på drikkevannet, skal varsles Mattilsynet på ordinær måte etter kravene i drikkevannsforskriften.
HOD bør vudere om det skal være obligatorisk for kommunene å være medlem i Helse- og KommuneCERT. NIS 2 vil forsterke varslingsplikten, og det er fornuftig allerede nå å etablere gode rutiner og systemer for å ivareta dette. Også de få private vannforsyningssystemene over terskelverdien må kunne bli medlem for å sikre gode rutiner for varsling og informasjonsflyt.
Når NIS 2 tas inn i norsk lovverk, vil også avløpsanlegg få et plikt om varsling. Tilsynsmyndighet for disse vil (trolig) være statsforvalter. Hvis tilsynsmyndighet skal være mottaker av varsling, vil i så fall samme avdeling i kommunen få ulike varslingsrutiner å forholde seg til for hendelser i sine digitale systemer innen vann og avløp. Dette er uhensiktsmessig, siden det i mange kommuner vil være de samme personer og systemer som er involvert. Videre vil de samme hensyn som er påpekt over for vannforsyningsområdet også gjelde på avløpsområdet. Følgelig anbefales det sterkt at Helse- og KommuneCERT også blir sektorvis responsmiljø for avløpsområdet og mottar varslinger.
Det er foreslått en terskelverdi for vannforsyningssystemer på minst 2000 m3 pr. døgn. Dette tilsvarer ca 10 000 personer ved 200 liter/person og døgn. For enkelte vannverk som leverer til en storforbruker, for eksempel et settefiskanlegg eller tilsvarende, hvor denne virksomheten oppleves som lite samfunnskritisk, bør det vurderes mulighet for å gi unntak for terskelverdien. Antall personer forsynt vil i et slikt tilfelle kunne være langt under 10 000. Følgelig bør det også åpnes for at vannverk som produserer mer enn 2000 m3 døgn, kan unntas fra kravene i forskriften. Et slikt unntak gis av Helse- og omsorgsdepartementet (HOD), på tilsvarende måte som at HOD gis anledning til å utpeke enkeltvirksomheter under terskelverdien som loven skal gjelde helt eller delvis for.
Norsk Vann støtter bruk av en terskelverdi og nivået på denne. Det er viktig å merke seg at vannforsyningssystemene som kommer under terskelverdien fortsatt vil være omfattet av drikkevannsforskriften. Drikkevannsforskriften setter krav til digital sikkerhet (§10), interkontrollsystemer, farekartlegging og farehåndtering, og beredskapsplaner. Hvis vannforsyningssystemet leverer vann til en samfunnskritisk virksomhet, vil HOD kunne gjøre egne vurderinger knyttet til dette. Følgelig anses bruk av terskelverdi som en god måte å avpasse virkeområdet til digitalsikkerhetsforskriften til det som er hensiktsmessig.
Hensiktsmessig varsling
Vannforsyning og håndtering av avløpsvann er basert på kontroll av store prosessanlegg og et omfattende ledningsnett. Til dette benyttes operativ teknologi (OT), også kalt scada systemer eller driftskontrollsystemer. Tilsvarende systemer benyttes i kraftsektoren og i industri. Operativ teknologi (OT) styrer utstyr, informasjonsteknologi (IT) kontrollerer data.
IT fokuserer nærmere bestemt på å sikre konfidensialitet, integritet og tilgjengelighet av data. Tradisjonelt har ikke OT-cybersikkerhet vært nødvendig i samme grad fordi OT-systemer ikke har vært koblet til internett. Dette er under rask endring og setter større krav til sikkerhet for driftskontrollsystemene (OT) for prosessanlegg og ledningsnettet. Dermed stilles det stadig økende krav til kompetanse for å sikre driftssystemene.
Kompetanse på OT og sikkerhet knyttet til slike systemer, er forskjellig fra IT-systemer. Følgelig må kommunene og vannforsyningssystemene ha tilgang til eget personell som har slik kompetanse.
En svakhet i en komponent i et OT-system kan bli avdekket for eksempel i Australia. Kunnskapen om denne svakheten må nå alle norske brukere av den samme komponenten innen svakheten blir utnyttet av en trusselaktør. For å sikre dette er det opprettet et system av CERTer som skal varsle. Flere vannverk i Norge er tilknyttet InfraCERT som har denne oppgaven for flere infrastruktursektorer. InfraCERT samarbeider med KommuneCERT for å koordinere sine aktiviteter mot kommunene og vann- og avløpssektoren.
Varsling av hendelser innen vannforsyning vil følgelig ha to hensikter;
Varsling av Mattilsynet og kommunelege er regulert i drikkevannsforskriften, og er således en plikt som vannforsyningssystemene forholder seg til for alle mulige typer hendelser som kan påvirke leveringssikkerheten og kvalitet.
Det vil ikke nødvendigvis være sammenfall mellom punkt 1 og 2 ovenfor. Sårbarheter som avdekkes ved en digital hendelse vil ikke nødvendigvis påvirke driften av vannforsynings-systemene, siden det er bygget inn mange barrierer og redundans i systemene. Videre har ikke Mattilsynet nødvendig kompetanse eller systemer til å ivareta informasjonshåndtering og deling av informasjon etter punkt 1. Dette er spesialkompetanse som i dag ivaretas av CERTene.
Utfra dette må varsling av hendelser innen digital sikkerhet i OT-systemer varsles til en enhet som har kompetanse og forståelse for OT, og har evnen til å vurdere, håndtere og videredistribuere informasjonen på sikkert vis. Denne enheten må også formidle informasjon som innhentes fra andre CERTer ut til kommunene/vannforsyningssystemene på en svært rask og presis måte, slik at sårbarheter kan lukkes før de blir utnyttet. Videre vil det kunne være andre infrastrukturbransjer som benytter samme komponenter. Disse må også varsles raskt. Et av målene med NIS direktivet er å ivareta rask respons og styrking av motstandsdyktighet mot hendelser. Følgelig må det etableres hensiktsmessige rutiner som ivaretar formålet med NIS.
I dag er det etablert to CERTer som i samspill kan ivareta dette, InfraCERT og Helse- og KommuneCERT. Helse- og KommuneCERT må ha kompetanse på OT og forståelse for at kommunene er ansvarlig for å drifte slik systemer på et samfunnskritisk område. Hvis de ikke har denne forståelsen, vil de ikke kunne støtte kommunene og se helheten i trusselbildet. InfraCERT har denne kompetansen. Imidlertid har ikke InfraCERT ansvar for kommunenes helhetlige IT-system. Erfaringer fra Østre-Toten hendelsen viser at en svikt i IT-systemet også kan ha svært stor påvirkning på drift av vannforsyning og kommunal infrastruktur.
Norsk Vann foreslår følgelig at Helse- og KommuneCERT blir responsmiljø for vannforsyningssystemene, i et tett og forpliktende samarbeid med InfraCERT. Sammen vil disse miljøene kunne ivareta den nødvendige helheten og samtidig ha spisskompetanse på OT.
Utfra begrunnelsen ovenfor vil det også være hensiktsmessig og naturlig at varsling etter digitalsikkerhetsforskriften §17, for vannforsyningssystemer, går direkte til Helse- og KommuneCERT.
Varsling av hendelser som berører leveransesikkerhet og kvalitet på drikkevannet, skal varsles Mattilsynet på ordinær måte etter kravene i drikkevannsforskriften.
HOD bør vudere om det skal være obligatorisk for kommunene å være medlem i Helse- og KommuneCERT. NIS 2 vil forsterke varslingsplikten, og det er fornuftig allerede nå å etablere gode rutiner og systemer for å ivareta dette. Også de få private vannforsyningssystemene over terskelverdien må kunne bli medlem for å sikre gode rutiner for varsling og informasjonsflyt.
Når NIS 2 tas inn i norsk lovverk, vil også avløpsanlegg få et plikt om varsling. Tilsynsmyndighet for disse vil (trolig) være statsforvalter. Hvis tilsynsmyndighet skal være mottaker av varsling, vil i så fall samme avdeling i kommunen få ulike varslingsrutiner å forholde seg til for hendelser i sine digitale systemer innen vann og avløp. Dette er uhensiktsmessig, siden det i mange kommuner vil være de samme personer og systemer som er involvert. Videre vil de samme hensyn som er påpekt over for vannforsyningsområdet også gjelde på avløpsområdet. Følgelig anbefales det sterkt at Helse- og KommuneCERT også blir sektorvis responsmiljø for avløpsområdet og mottar varslinger.