Trinn for trinn

Bakgrunnsteppe og innledende scenario

Du blir nå ledet inn i scenarioet. Les gjerne opp teksten for hele gruppen, slik at alle har samme situasjonsforståelse før dere går i gang med diskusjonen.

Bakgrunnsteppe

Lightning Power er et stort statlig strøm-, energiproduksjons- og distribusjonsselskap med hovedkontor i hovedstaden i et av Norges naboland. Selv om strømselskapet er heleid av dette landet, fungerer det som et privat selskap i en rekke andre nordiske land, blant annet Norge. Lightning Power har også kjøpt opp et betydelig antall private energiselskaper i hele EU. Disse datterselskapene driver også kraftverk, inkludert fornybar energi-, gass- og kullkraftverk og kjernefysiske anlegg.

Lightning Power planla å oppgradere og oppdatere SCADA-systemene over hele nettverket – både i hjemlandet og i en rekke av de utenlandske datterselskapene. En rekke av disse datterselskapene opererte med flere tiår gamle datasystemer og nettverk som hadde et presserende behov for oppgradering, ikke bare for å være i samsvar med EUs regelverk om energisystemer, men også for å unngå muligheten for katastrofal svikt.

Målet med oppdateringen var:

  • å oppgradere de eldre systemene for å sikre overholdelse av EU-regelverk. En rekke systemer, inkludert sikkerhetskopierings- og redundansnettverk, hadde ikke blitt vedlikeholdt eller oppdatert på flere år;
  • å skape et mer spenstig system av SCADA-nettverk for å unngå kaskaderende feil, og opprettholde energiproduksjon og distribusjon i alle land
  • effektivisere datanettverket og SCADA-tilsynet
  • redusere risiko
  • øke nettverkseffektiviteten
  • å skape et enkelt globalt nettverk og konsolidere SCADA-systemene og nettverksovervåkningsprosesser for å skape en sentral kommersiell enhet basert i morselskapet i nevnte naboland.

Oppgraderingen og nettverkskonsolideringen ble nøye planlagt over en periode på flere måneder med god involvering av CISO (informasjonssikkerhetsleder) og CEO (administrerende direktør). Oppgraderingen fant sted natt til mandag forrige uke.
Klokken 15.00 mandag ettermiddag oppdaget systemteknikere som hadde tilsyn med konsolideringen flere feil i hjemmenettverket, samt at satellittanskaffede og noen eldre systemer gikk offline.

Klokka 18.00 samme dag var det klart at en stor katastrofal svikt hadde skjedd:

  • forbindelser til tre av de fem atomkraftverkene i Frankrike hadde gått tapt og faste backup-systemer var midlertidig ute av drift i 72 timer.
  • forbindelser til gassforsyninger som bringer drivstoff fra Øst-Europa inkludert distribusjonssentraler for rørledninger samt strategiske noder, var gått tapt
  • telefonlinjer fungerte ikke på grunn av skiftet fra kobberledninger til VOIP i de fleste europeiske landene som er berørt.
  • kommandoer fra det sentrale knutepunktet for Lightning Power ble ikke mottatt i de gamle systemene.

Lightning Powers systemingeniører prøvde å gjenopprette nettverket i flere dager uten å lykkes. Da kontakten med satellittsystemene endelig ble gjenopprettet, informerte lokale ingeniører fra Lightning Power om at systemene ikke bare var koblet fra foreldrenettverket, men i noen tilfeller hadde blitt totalt ødelagt.

Konsekvensen av dette var at noen energidistribusjonsanlegg opererte på backup-systemer som ikke hadde blitt oppgradert på flere år og var på kritisk nivå. SCADA-systemene i polske, franske og belgiske datterselskaper måtte stenges, og har deretter ikke startet på nytt. I andre tilfeller klarte ikke redundanssystemene å starte, eller de primære nettverkene klarte ikke å bytte til de alternative systemene. Datateknikere fra Lightning Power har ikke klart å identifisere en logisk årsak til dette.

Innledende scenario

En norsk ekspertgruppe har identifisert en malware-familie, BityDixie, i Lightning Powers nettverk (hjemme og satellitt). Ekspertgruppen oppdaget malwaren etter en omfattende etterretning i Lightning Powers nettverk. Denne skadelige programvaren fra BityDixie-familien er designet med datalastinger. Den første datalasten ødelegger SCADA-systemer, noe som gjør dem ikke-operasjonelle. Den andre datalasten stenger kontakten med redundante systemer, og forhindrer oppstart av backup-systemer eller en tilbakevending til status quo slik det var før hendelsen.

BityDixie er i familie med velkjent skadelig programvare benyttet i penetrasjon (PEN) -testing samfunnet. Sofistikerte internasjonale kriminelle organisasjoner med motivasjon om økonomisk gevinst satt inn BityDixie mot finansinstitusjoner og statlige økonomiske organisasjoner. Såkalte "øko-krigere" har også rettet seg mot enheter for å forstyrre produksjon av fossilt brensel og energiforsyning.

Selv om den skadelige programvaren er kommersielt tilgjengelig på dark-web, er den sofistikert. Det tyder på at gjerningspersonene har ressurser. På tross av hastigheten som den skadelige programvaren ble spredt med, ser det likevel ut til at den første infeksjonen var ved Lightning Powers sitt hovedkontor. Den skadelige programvaren er tilpasset for å ha størst effekt på energidistribusjon og kontrollsystemer, men den kan også ha effekt på andre systemer.

Din organisasjon har fått informasjon fra Fylkesmannen i ditt fylke om at det er fare for at det er utenlandske aktører som står bak angrepet, og at organisasjonen må forberede seg på tilsvarende angrep, og sikre sensitiv informasjon.

På neste trinn kommer noen spørsmål som kan hjelpe dere i gang med diskusjonen. Forsøk likevel å komme opp med noen tanker om hvordan organisasjonen har, eller ville ha løst dette scenarioet før dere går videre til neste trinn.

Diskusjonsspørsmål - del 1

Her er noen aktuelle spørsmål for å få i gang diskusjonen.

  • Har organisasjonen gjort vurderinger i forhold til et slikt scenario tidligere?
  • Hvilke andre vinklinger av senarioet kan det være aktuelt å diskutere?
  • Hvordan kan dere benytte organisasjonens beredskapsplan?
  • Hvordan kan dere benytte tidligere risikovurderinger organisasjonen har gjort?
  • Hvordan leverer organisasjonen sine avtaleforpliktelser under disse omstendighetene?
  • Hvordan leverer organisasjonens systemleverandører sine avtaleforpliktelser under disse omstendighetene?

Ytterligere relevante spørsmål for nettopp dette senarioet ligger under informasjon til øvingsleder.

På neste trinn vil dere finne noen gode råd å ta med seg i det videre arbeidet, men vi anbefaler å vente med å gå videre til neste trinn til alle har fått tatt del i diskusjonen.

Gode råd - del 1

Her foreslår vi noen råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er ikke uttømmende, men er i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

  • Gjør en god risikoanalyse av organisasjonens behov for beskyttelse av informasjon.
  • Ta utgangspunkt i scenarioet, og vurder både konsekvenser og årsaker til at scenarioet oppsto. Bruk gjerne tilgjengelige veiledere på hvordan man utarbeider slike risikoanalyser, både for scenarier generelt og for informasjonssikkerhet spesielt.
  • Lag en god beredskapsplan basert på risikoanalysen. Lag en plan for hvordan organisasjonen ønsker å håndtere et slikt scenario, og for hvem som får ansvar for å gjøre hva.
  • Gå igjennom avtaler med samarbeidspartnere man utveksler informasjon med, for å sjekke ut samarbeidspartneres rutiner for sikring av informasjon.
  • Gå igjennom avtaler med systemleverandør (intern eller ekstern), for å sjekke ut hvordan systemleverandør håndterer slike scenarier, og hvordan de eventuelt eskalerer hendelser dere ønsker å være involvert i.

På neste trinn blir dere nå ledet inn i andre del av senarioet. Start gjerne med en åpen diskusjon før dere finner frem diskusjonsspørsmålene.

Scenario - del 2

Her blir dere ledet inn i noen nye momenter i scenarioet.

IT-avdelingen har det siste døgnet jobbet hektisk med tiltakene dere besluttet i den innledende fasen. Dere får ny informasjon fra Fylkesmannen om at strømmen har gått i to nabofylker, og at energiselskapet enn så lenge har koblet seg på redundant strømnett. Fylkesmannen ber imidlertid alle organisasjoner i fylket om å forberede seg på bortfall av strøm.

Også denne gangen finner dere noen spørsmål som kan hjelpe dere litt i gang med diskusjonen på neste trinn.

Diskusjonsspørsmål - del 2

Bruk disse spørsmålene for å komme videre i diskusjonen.

  • Hva ville utviklingen i scenarioet ha betydd i organisasjonen deres?
  • Ville det blitt noen endringer i forhold til det som ble diskutert under Bakgrunnsteppe og innledende scenario?
  • Hvordan kunne konfidensielle opplysninger i organisasjonen kommet på avveie i dette tilfellet?
  • Hvordan kunne organisasjons integritet blitt påvirket i dette tilfellet?
  • Hvordan ville mangel på tilgjengelighet av disse opplysningene påvirket organisasjonen?
  • Hvordan ville GDPR og personvern bli overholdt i din organisasjon i dette scenarioet?

Når dere har diskutert andre del av scenarioet, så kommer det også denne gangen noen råd for videre arbeid med informasjonssikkerhet. Disse er presentert på neste trinn.

 

Gode råd - del 2

Her presenterer vi noen nye råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er heller ikke uttømmende, men er også i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

  • Vurder hvilken informasjon som er av konfidensiell art i organisasjonen. Planlegg hvordan organisasjonen kan sikre den konfidensielle informasjonen.
  • Vurder hvordan organisasjons integritet kan bli påvirket i dette tilfellet. Planlegg hvordan organisasjonen kan beholde sin integritet etter en slik hendelse.
  • Vurder hvordan mangel på tilgjengelighet av informasjon kan påvirke organisasjonen.
  • Planlegg hvilken informasjon som bør være tilgjengelig til enhver tid, og hvordan organisasjonen bør jobbe med dette.
  • Vurder hvordan GDPR og personvern overholdes i din organisasjon i forhold til dette senarioet.

På neste trinn blir dere nå ledet inn i siste del av scenarioet. Start gjerne med en åpen diskusjon også denne gangen, og benytt rådene dere allerede har fått.

Scenario - del 3

Nå blir du ledet inn i siste del av scenarioet. Denne gangen anbefaler vi at dere benytter de råd dere hittil har fått for å diskutere utviklingen i scenarioet.

EU-kommisjonen har åpnet en formell antitrustundersøkelse for å vurdere om Lightning Powers kjøp av flere europeiske energiselskaper er i strid med EUs konkurranseregler.

Lederen for Landsdelspartiet i Norge har uttalt at: «Norske forbrukere blir stadig mer opptatt av hvor energien deres kommer fra, og ønsker en trygghet for tilførsel av strøm i Norge. Vi må sørge for at store utenlandske private energiselskaper ikke får monopol, og dermed kan stenge ned norsk strømforsyning. Partiet vil derfor kreve en gjennomgang av hendelsen i Stortinget.»

Din organisasjon er løpende avhengig av strøm, og diskuterer hvilken betydning antitrust (konkurranseregulerende) tiltak kan ha for dere.

På neste og siste trinn gjøres en oppsummering av diskusjonsøvelsen og dere får også presentert anledning til å delta på evalueringsundersøkelsen.

Avslutning og evaluering

Vi håper dere nå har hatt noen spennende og oppklarende diskusjoner, og at øvelsen var nyttig for din virksomhet. Ta gjerne en titt på de øvingsmålene dere definerte og se om dere fikk diskutert disse. 

Nå er det lurt å notere seg "funn" og erfaringer sett opp mot virksomhetens beredskapsplaner og se om noe skal justeres. 

Fyll gjerne ut evalueringsundersøkelsen. Dette vil gi oss verdifullt underlag for å gjøre øvelsene enda bedre. 

Gå til spørreundersøkelse

Vel gjennomført, og lykke til med nye øvelser!