Styring av sikkerhet i digitale systemer i Nye Veier AS

Samandrag

I Nasjonal strategi for digital sikkerhet framheves viktigheten av forebyggende arbeid ved å foreta risikovurderinger og gjennomføre tilstrekkelige tiltak for å beskytte seg mot uønskede hendelser. Den senere tid har det kommet fram opplysninger fra Politiets sikkerhetstjeneste om at uvedkommende har skaffet seg tilgang til digitale systemer for bl.a. styring av luker i dammer i vassdrag.Formålet med tilsynet var å undersøke om Nye Veier AS har et styringssystem som sikrer digital sikkerhet for veginfrastrukturen.

Nye Veier AS sitt arbeid for å identifisere, vurdere og håndtere risiko synes etter Vegtilsynet sin vurdering å være betryggende og systematiske for de IT-systemer som virksomheten benytter. Samtidig mener Vegtilsynet at Nye Veier AS bør sikre at den systematikken som er etablert for identifisering, vurdering og håndtering av risiko når det gjelder IT, også utvides til å omfatte OT[1]-systemer og OT-sikkerhet. Dette vil særlig være viktig fremover når integrasjonen mellom IT og OT forventes å bli større, og tilgang til og bruk av OT-systemer i større grad digitaliseres, og dermed eksponeres for digitale trusler og sårbarheter.

Vegtilsynet har gitt to observasjoner i saken:

•  Nye Veier AS bør gjennomføre systematiske risikovurderinger knyttet til digital sikkerhet som også dekker OT-systemer og OT sikkerhet. Dette for å sikre et oppdatert og helhetlig bilde av trusler, sårbarheter og sikkerhetsmessige konsekvenser av uønskede hendelser.

• Nye Veier AS bør sikre helhetlig systematisk for vurdering av risiko, iverksettelse av risikoreduserende tiltak og evaluering av tiltakenes effekt som også dekker OT-systemer og OT-sikkerhet.

[1] OT – Operasjonell teknologi, refererer gjerne til maskinvare- og programvaresystemer som benyttes til å overvåke, kontrollere og administrere fysiske prosesser.