Informasjon til øvingsleder

Innledende om scenarioet

Et kjent malware med navn «Crash Override» forårsaket et strømbrudd i Kiev, hovedstaden i Ukraina. Det er den første malwaren som har angrepet et elektrisk rutenett og gir oss et hint av de katastrofale konsekvensene som kan følge. Scenariet i denne diskusjonsøvelsen er et fiktivt tilsvarende malwareangrep, som i første omgang er rettet mot SCADA-systemene (som beskrevet) og retter søkelyset mot hva som kan skje i din organisasjon ved en slik hendelse. Både selve situasjonen i systemene og foreløpige konsekvenser er beskrevet, og man bør diskutere hva som skjer hvis situasjonen utvikler seg til det verre og påvirker din organisasjon.

Fra Store Norske leksikon: Antitrustlovgivning, lovgivning som tar sikte på å ivareta den frie markedskonkurransen ved å forhindre dannelsen av såkalte truster og karteller, det vil si grupper av foretak som dominerer markedet eller på annen måte utøver markedsmakt.

Innenfor norsk rett har antitrustlovgivningen sin bakgrunn i et omfattende prisreguleringssystem som ble utviklet i Norge under den første verdenskrig med etablering av Statens prisdirektorat (nå Konkurransetilsynet) i 1917. Etter krigen ble prisregulering gradvis erstattet av tiltak for å sikre konkurranse. Tenkningen bak endringene knyttes gjerne til Wilhelm Lauritz Thagaard. I begynnelsen av 1920-årene ble det fastsatt midlertidige bestemmelser om registrering av monopol- og storbedrifter og om konkurranseregulerende sammenslutninger med videre. Den norske trustloven ble vedtatt i 1926 og førte til ytterligere innskrenkning av prisreguleringen. Formålene med den norske trustlovgivningen ivaretas i dag gjennom konkurranseloven og Konkurransetilsynet.

Spørsmål for å drive diskusjonsøvelsen fremover

  • Har organisasjonen en overordnet sikkerhetspolicy med tilhørende prosedyrer/manualer i henhold til industristandard for å sikre virksomhetens verdier og kontinuerlige drift?
  • Har organisasjonen innarbeidet sikkerhetskrav i sine leverandøravtaler, og hvordan følges disse opp, i dette tilfelle med ansvar og operative aktiviteter i forbindelse med uønskede hendelser?
  • Er det gjort risikovurderinger der man kan hente konsekvensvurderinger og forslag til å unngå skader og for å kunne reparere skader?
  • Er det satt opp tilgangsstyring i henhold til roller og rettigheter etter behovsprøving, der spesielt fjernoppkopling er kontrollert?
  • Er fjernoppkopling sikret og overvåket?
  • Er intern dataflyt (netflow) overvåket for å avdekke unormal aktivitet (informasjonslekkasje og utilsiktet adgang).
  • Har organisasjonen utarbeidet en strategi for hvordan den skal håndtere slike hendelser?
  • Hva er viktig ekstern informasjon for nettopp din organisasjon ved en slik hendelse?
  • Hvem er de viktige samarbeidspartnerne for din organisasjon ved en slik hendelse?
  • Vil du si det er en god kultur for hvordan organisasjonen løser slike hendelser?
  • Hvilke risikovurderinger har din organisasjon gjort i forhold til slike hendelser?
  • Har dere beredskapsplaner for denne type hendelser?
  • Er det utarbeidet tiltakskort for hvordan beredskapsplanene skal fungere?
  • Hvordan informerer dere ansatte i et slikt tilfelle («plakat på veggen», møter, tiltakskort for informering)?
  • Hvilken intern informasjon i din organisasjon er vital å beholde i en slik hendelse, og hvordan klarer dere dette?
  • Vil det være nødvendig for din organisasjon å ha dialog med media i en slik hendelse?
  • Er det tilgjengelighet, konfidensialitet eller integritet som er viktig for informasjonshåndteringen i din organisasjon, eller er det en kombinasjon?
  • Hvilke metoder benytter din organisasjon for å sikre viktig informasjon?
  • Kan dere benytte andre metoder?
  • Hvordan har dere sikret informasjonen deres (redundans, lokale servere, adgangs/tilgangs-systemer)?
  • Kan dere benytte annen form for informasjonssikring av systemene?
  • Hvilke nasjonale policyer innenfor informasjonssikkerhet kan ha betydning for din organisasjon når det gjelder en slik hendelse?