Energi-, Forsynings- og Klimaudvalget 2014-15 (2. samling)
EFK Alm.del Bilag 22
Offentligt
1540241_0001.png
Forundersøgelse af modenheds-
og sikkerhedsniveauet inden for
cyber- og informationssikkerhed
blandt danske el- og
naturgasselskaber
Rapport
20. maj 2015
Revision. Skat. Rådgivning.
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0002.png
Indhold
Slide
Indledning
Om spørgeskemaundersøgelsen
Svarprocenter - respondenter
Forklaring af resultater og evalueringsmodel
Samlet resultat og konklusion
A. Ledelsesforankring
B. Medarbejdersikkerhed
C. Beskyttelse af data
D. Beredskab
E. Processer
F. Fysisk sikkerhed
G. Teknologi
Delkonklusioner - virksomhedstyper
3
4
5
7
8
9
11
13
15
17
19
21
24
Bilag 1: modenhedsskala
31
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
2
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0003.png
Indledning
Som led i den nationale strategi for cyber- og
informationssikkerhed har Energistyrelsen (ENS), i
samarbejde med Energinet.dk (ENDK), ønsket at skabe et
overblik over det nuværende modenhedsniveau og
sikkerhedsniveau af informationssikkerhed i
energisektoren.
Et sådant overblik skal bidrage med empiri og fakta i den
aktuelle debat om, hvorvidt branchen er tilstrækkeligt
beskyttet i forhold til de skærpede trusler mod
virksomheder, der er en del af Danmarks kritiske
infrastruktur.
ENS og ENDK har ønsket at få en indledende vurdering af,
om virksomheder i sektoren har implementeret
sikkerhedsprocesser, der medvirker til at opnå og
vedligeholde et passende sikkerhedsniveau.
Denne vurdering angiver desuden, hvorvidt tilstrækkelige
kontroller er implementeret og forankret i de
organisationer, der medvirker.
PwC har i foråret 2015 assisteret ENS og ENDK med at
gennemføre en spørgeskemaundersøgelse af
virksomhederne i el- og naturgassektoren samt med at
evaluere de individuelle besvarelser og resultater, der er
sammenfattet i denne rapport.
Sektorundersøgelse informationssikkerhed
PwC
It- og informationssikkerhed er sensitivt, og der er derfor
taget særlige forbehold for at beskytte fortroligheden og
anonymiteten af de enkelte virksomheders besvarelser. De
medvirkende myndigheder har ikke haft adgang til
individuelle virksomheders besvarelser i forbindelse med
undersøgelsen eller afrapportering, men udelukkende til
de aggregerede resultater.
Forbehold
Denne rapport er resultatet af en spørgeskema-
undersøgelse og de besvarelser, der danner grundlag for
resultaterne, er respondenternes egen vurdering af
modenhed og sikkerhedsniveau. Resultaterne afspejler
dermed ikke en revision eller anden dybdegående
vurdering af sikkerheden foretaget af en uvildig tredjepart.
Ligeledes bør det pointeres, at der i denne rapport ikke er
taget udgangspunkt i virksomhedernes kritikalitet i forhold
til den samlede forsyningssikkerhed: Besvarelser fra et
mindre selskab med få kunder er vægtet på samme måde
som svarene fra et større selskab, som dækker en større
region.
Maj 2015
3
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0004.png
Om spørgeskemaundersøgelsen
Denne undersøgelse er blevet gennemført i perioden 26. februar
2015 - 20. marts 2015.
Der er blevet udsendt spørgeskemaer til 77 organisationer
fordelt på følgende virksomhedstyper:
-
El-netselskaber
-
El-produktionsselskaber
-
Naturgasdistributionsselskaber
-
Naturgastransportselskaber
-
Produktionsbalanceansvarlige
-
Systemansvarlige transmissionsvirksomheder
Undersøgelsen har overordnet set afdækket, hvorvidt de
medvirkende virksomheder:
1.
Har en tilstrækkelig styring af informationssikkerhed ved
at stille spørgsmål til modenheden af de processer, der
skal medvirke til at opbygge og vedligeholde et passende
sikkerhedsniveau over tid
Har implementeret sikkerhedskontroller, der i
tilstrækkelig grad beskytter virksomhederne mod
relevante it-risici ved at stille spørgsmål til de konkrete
tiltag, der er implementeret.
Maj 2015
4
De involverede virksomheder er blevet stillet 29 spørgsmål
inden for syv kategorier:
A.
B.
C.
D.
E.
F.
G.
Ledelsesforankring af informationssikkerheden
Informationssikkerhed i forhold til medarbejdere
Beskyttelse af data
It-beredskab
Processer for styring af informationssikkerhed
Fysisk sikring
Teknologianvendelse til sikring af it- og
informationsaktiver
Spørgsmålene og svarmulighederne er udarbejdet af PwC i
samarbejde med Dansk Energi, Energistyrelsen, Energinet.dk
såvel som repræsentanter fra branchen.
Kategorierne og de enkelte spørgsmål er beskrevet senere i
rapporten.
2.
Sektorundersøgelse informationssikkerhed
PwC
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0005.png
Svarprocenter - respondenter
Antal virksomheder -
udsendelser
38
19
4
9
6
1
77
Besvarelser
antal (%)
30 (79%)
15 (79%)
3 (75%)
4 (44%)
4 (67%)
1 (100%)
57 (74%)
Virksomhedstype
El-netselskaber
El-produktionsselskaber
Naturgasdistributionsselskab
Naturgastransportselskab
Produktionsbalanceansvarlige
Systemansvarlig transmissionsvirksomhed
Samlet
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
5
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0006.png
Resultater for el- og
naturgassektorerne
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
6
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0007.png
Forklaring af resultater og evalueringsmodel
Som nævnt, så afdækker denne forundersøgelse henholdsvis modenhedsniveauet såvel som det aktuelle sikkerhedsniveau af de
medvirkende virksomheder.
Modenhedsniveau
En række af de stillede spørgsmål har fokus på at afdække modenhedsniveauet for de interne processer, der medvirker til, at en
virksomhed kan opbygge og vedligeholde et tilstrækkeligt sikkerhedsprogram.
Modenhedsniveauet er angivet på en 5-trins CMMI-modenhedsskala. Niveauerne 1-5 angiver, i hvilken grad virksomheden har
formaliseret og optimeret sikkerhedsprocesser og -procedurer, så ensartede resultater kan opnås over tid. Et anbefalet minimums-
niveau for styring af sikkerhed på tværs af brancher er på 3, hvilket angiver, at processer er veldokumenterede og kommunikerede i
virksomheden. For særligt kritiske processer bør virksomheder have et modenhedsmål på 4, hvilket afspejler, at virksomheden kan
måle effekten af de implementerede sikkerhedskontroller og gribe ind, hvis de ikke fungerer effektivt. I en organisation er det
naturligvis ikke alle processer, der har samme kritikalitet, og den enkelte virksomhed bør prioritere indsatsen på basis af en
risikobetragtning.
Skalaens niveauer er beskrevet i Bilag 1.
Sikkerhedsniveau
Vi har i denne undersøgelse også undersøgt, hvilke konkrete sikkerhedstiltag de medvirkende virksomheder har implementeret for
at beskytte deres informationsaktiver.
I modsætning til måling af modenhed, så findes der ikke en entydig vurderingsskala for en virksomheds sikkerhedsniveau.
Vi har i denne undersøgelse anvendt en 5-trins skala, hvor
1
afspejler, at virksomheden ikke har implementeret selv de mest
grundlæggende kontroller, og at der dermed er et meget lavt sikkerhedsniveau inden for det pågældende område, og
5
afspejler, at
virksomheden har implementeret tiltag, der i høj grad afspejler sikkerhedsmæssig best practice og bør udgøre en meget høj
beskyttelse af virksomheden i forhold til det aktuelle trusselsbillede.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
7
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0008.png
Samlet resultat og konklusion
Resultaterne af denne undersøgelse har vist, at branchen
samlet set har et sikkerhedsniveau, der ligger på 2,8.
Vores vurdering af energisektorens modenhedsniveau og
de implementerede sikkerhedskontroller er et udtryk for et
relativt højt sikkerhedsniveau sammenholdt med
virksomheder i andre brancher.
Energibranchen har et naturligt fokus på sikkerhed. Det er
virksomhedernes primære opgave at opretholde
forsyningssikkerheden. Derudover er driftsstabilitet og
beredskab såvel som fysisk sikring af faciliteter naturlige
opgaver, der varetages.
Dette reflekteres i den måde, hvorpå it- og
informationssikkerheden er grebet an. Resultaterne af
denne undersøgelse afspejler, at der er implementeret
mange gode tiltag, herunder både administrative og
tekniske kontroller, der medvirker til at beskytte
informationssikkerheden.
Implementering af disse tiltag er dog ikke nødvendigvis
foretaget med udgangspunkt i en formaliseret tilgang, hvor
alle sikkerhedstiltag er lavet på basis af en aktiv
stillingtagen til forretningens risiko. Det er vores
vurdering, at i størstedelen af de medvirkende
virksomheder er de implementerede tiltag og det høje
sikkerhedsniveau et udtryk for en intuitiv tilgang, der er
resultat af dygtige medarbejderes erfaring samt
traditionelt omfattende beredskabskrav til sektoren.
En sådan tilgang medfører en vis risiko for, at
virksomhederne over tid ikke opretholder et
sikkerhedsniveau, der i passende grad beskytter
virksomheden mod nye komplekse trusler fra organiserede
cyberkriminelle og fremmede statslige aktører, der
målretter den kritiske infrastruktur.
Resultaterne af undersøgelsen viser, at der er
sammenhæng mellem virksomhedernes modenhed og
deres størrelse. De større selskaber med regionalt ansvar
har etableret formaliserede procedurer for styring af
informationssikkerhed.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
8
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0009.png
A. Ledelsesforankring
Kontrolmål
For at sikre, at it- og informationssikkerhed styres og implementeres med udgangspunkt i virksomhedens
forretningsrisiko, bør der være implementeret processer, der 1) sikrer, at ledelsen kan forholde sig til risikobilledet, 2)
sikrer, at ledelsens forventninger til sikkerhed er dokumenteret og kommunikeret entydigt til organisationen, og 3)
sikrer, at roller og ansvar er defineret og forankret i organisationen.
Der er stillet spørgsmål relateret til:
1.
It-risikovurdering – Er der foretaget en it-risikovurdering, og har ledelsen accepteret den aktuelle risiko? En it-
risikovurdering indebærer en evaluering af sandsynligheden for, at en it-relateret trussel indtræffer, samt af hvilken
forretningsmæssig konsekvens den kan have ift. brud på fortrolighed, integritet og tilgængelighed af data, systemer
og processer. It-risikovurderingen bør anvendes til at prioritere sikkerhedsmæssige tiltag på både administrative
systemer og produktionssystemer.
Retningslinjer for informationssikkerhed – Findes der retningslinjer for informationssikkerhed inden for relevante
områder? Retningslinjer udtrykker den overordnede politik for informationssikkerhed inden for specifikke
områder, evt. struktureret i henhold til en accepteret standard (fx ISO27000).
Ledelse af informationssikkerhed – Påser ledelsen styringen af informationssikkerhed i organisationen?
2.
3.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
9
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0010.png
Resultater - ledelsesforankring
Resultaterne af undersøgelsen viser, at ledelsesforankring af
informationssikkerhed i energibranchen ligger på et gennemsnitligt
niveau på 2,6.
I tre fjerdedele af de adspurgte virksomheder er ledelsen bevidst om,
at informationssikkerheden er ledelsens ansvar, og i over halvdelen af
de adspurgte virksomheder overvåger ledelsen området i passende
omfang.
Der anvendes it-risikovurderinger i over halvdelen af de adspurgte
virksomheder, især til vurdering af nye projekter, men det er kun i en
tredjedel, at der er etableret en ensartet, formaliseret proces for it-
risikovurdering, der muliggør det for den øverste ledelse at vurdere
den overordnede it-risiko og godkende risikobilledet såvel som tiltag,
der skal medvirke til at bringe it- og informationssikkerhedsrisici til
et acceptabelt niveau.
Der er i tre fjerdedele af de adspurgte virksomheder etableret
retningslinjer og skriftlige procedurer for, hvordan
informationssikkerheden skal styres på de mest kritiske aktiver. Det
er dog kun i få virksomheder, at der er etableret kontrolmål
(succeskriterier) og processer, der gør det muligt at måle, i hvilken
grad de enkelte kontrolmål er opfyldt.
Ledelsesforankring
5,0
4,0
3,0
2,0
1,0
0,0
Total
It-risikovurdering
Retningslinjer for informationssikkerhed
Ledelse af informationssikkerhed
2,5
2,6
2,6
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
10
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0011.png
B. Medarbejdere
Etablerede procedurer for personalesikkerhed medvirker til minimering af risici forbundet med medarbejdere, herunder
at alle medarbejdere har kendskab til og efterlever deres ansvar i forbindelse med deres arbejde med virksomhedens
systemer og data.
Der er stillet spørgsmål relateret til:
4.
Efterprøvning af jobkandidaters baggrund – Foretages der en passende efterprøvning af jobkandidaters baggrund
med udgangspunkt i kritikaliteten af den jobfunktion, som kandidaten er tiltænkt at bestride? Jobfunktioner, hvor
der eksempelvis er adgang til fortrolige data eller til systemer, der er kritiske for forsyningssikkerheden.
Information til medarbejderne om informationssikkerhed – Bliver medarbejderne løbende gjort bekendt med
deres rolle og ansvar i relation til beskyttelse af informationssikkerhed?
Beskyttelse af informationssikkerhed ved afskedigelse/fratrædelse af medarbejdere – Er der etableret en passende
procedure til beskyttelse af informationssikkerheden ved afskedigelse/fratrædelse af medarbejdere?
5.
6.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
11
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0012.png
Resultater - medarbejdere
Resultaterne af undersøgelsen viser, at de kontroller, der er relateret
til medarbejderens rolle i forhold til informationssikkerhed i
energibranchen, ligger på et gennemsnitligt niveau på 2,4.
I ca. halvdelen af de adspurgte virksomheder tages der stilling til, om
en jobkandidat skal baggrundstjekkes inden ansættelse, ligesom der i
rekrutteringsprocessen er krav til, at referencer og evt. straffeattest
skal afgives. Der er i meget få tilfælde krav om, at medarbejdere skal
sikkerhedsgodkendes inden ansættelse i kritiske jobfunktioner.
Størsteparten af de adspurgte virksomheder har formelle procedurer
såvel som tjeklister, der tager højde for inddragelse af it-aktiver og
adgangsrettigheder ved fratrædelse eller afskedigelse af
medarbejdere. Ca. en tredjedel af virksomhederne har en procedure
for at implementere ekstraordinær overvågning for at påse, om der er
forekommet uregelmæssigheder, når en medarbejder fratræder en
kritisk jobfunktion.
Størsteparten af de adspurgte virksomheder gør medarbejderne
formelt bekendt med deres rolle og ansvar i relation til
informationssikkerhed ved ansættelse, og ligeledes kommunikerer
størstedelen af virksomhederne de relevante dele af
informationssikkerhedspolitikken regelmæssigt til medarbejderne.
Medarbejdere
5,0
4,0
3,0
2,0
1,0
0,0
Total
Efterprøvning af
jobkandidaters baggrund
Information til medarbejderne
om informationssikkerhed
Beskyttelse af informationssikkerheden
ved afskedigelse/fratrædelse
2,3
2,4
2,6
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
12
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0013.png
C. Beskyttelse af data
Der bør være etableret procedurer, der sikrer beskyttelse af data og informationer i virksomheden såvel som hos
tredjepartsleverandører.
Der er stillet spørgsmål relateret til:
7.
8.
Kategorisering/klassifikation og beskyttelse af data – Er data kategoriseret/klassificeret, og beskyttes data i
henhold til denne kategorisering?
Beskyttelse af personhenførbare oplysninger – Hvordan er personhenførbare oplysninger beskyttet?
Personhenførbare oplysninger kan henføre til eksempelvis både medarbejderes løn-, ansættelses- og
helbredsoplysninger såvel som kunders stamdata, målerdata eller betalingsoplysninger.
Krav til databeskyttelse over for eksterne leverandører – Er virksomhedens it-sikkerhedspolitik, herunder krav til
databeskyttelse, gjort gældende over for relevante eksterne leverandører?
9.
10. Overblik over vigtige informationsaktiver – Er der et tilstrækkeligt overblik med de vigtigste informationsaktiver
(de it-systemer og databærende medier, der er kritiske for at understøtte virksomhedens forretning)?
11.
Kryptering – Hvordan anvendes kryptering i virksomheden til at beskytte datas fortrolighed og integritet?
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
13
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0014.png
Resultater – beskyttelse af data
Resultaterne af undersøgelsen viser, at niveauet for beskyttelse af
data i energibranchen gennemsnitligt ligger på 2,2.
Der er i størsteparten af de adspurgte virksomheder etableret en
overordnet politik for, hvordan data skal beskyttes, og hvordan man
skal arbejde med beskyttelse af data i henhold til deres kritikalitet.
Næsten alle adspurgte virksomheder har afgrænset adgangen til
personhenførbare data til personer med et arbejdsbetinget behov.
Det er under hver tredje virksomhed, der overvåger og logger
aktiviteter, der vedrører fortrolige eller personhenførbare data, og
kun få virksomheder gennemgår disse logs for uregelmæssigheder.
Over halvdelen af de adspurgte virksomheder har gjort
virksomhedens sikkerhedspolitik gældende over for leverandører,
men kun en fjerdedel har defineret servicemål for overholdelse af
politikken, og kun få har mekanismer etableret, der gør det muligt at
vurdere, om leverandøren overholder politikken.
Næsten alle virksomhederne har et overblik med de vigtigste
informationsaktiver og har tilknyttet et formelt ejerskab af disse. I en
tredjedel af de adspurgte virksomheder er der etableret en procedure
for, at aktivejeren etablerer passende sikkerhedsforanstaltninger,
herunder kryptering i forhold til aktivets kritikalitet.
Sektorundersøgelse informationssikkerhed
PwC
Beskyttelse af data
5,0
4,5
4,0
3,5
3,0
2,5
2,0
1,5
1,0
0,5
0,0
Total
Kategorisering/klassifikation
og beskyttelse af data
Beskyttelse af
personhenførbare oplysninger
Krav til databeskyttelse
overfor eksterne leverandører
Overblik over
vigtige informationsaktiver
Kryptering
2,3
2,4
2,5
2,1
1,8
Maj 2015
14
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0015.png
D. Beredskab
Beredskabsstyring implementeres som en kontinuerlig proces med det formål at begrænse konsekvenserne ved tab af
informationsaktiver forårsaget af katastrofer og sikkerhedsbrister til et acceptabelt niveau samt med det formål at kunne
genoprette driften gennem en kombination af forebyggende og udbedrende foranstaltninger.
Der er stillet spørgsmål relateret til:
12.
It-beredskabsplan – Er der en godkendt it-beredskabsplan, der beskriver roller, ansvar og operationelle tiltag samt
handlinger, der effektivt håndterer it-beredskabssituationer, hvor data eller systemers fortrolighed, integritet eller
tilgængelighed er blevet kompromitteret?
Håndtering af it-sikkerhedshændelser – Er der en dokumenteret proces for håndtering af it-sikkerhedshændelser?
Genetablering af kritisk produktions-it – Har virksomheden implementeret et it-beredskab, der muliggør, at
kritiske it-installationer og systemer kan genetableres med minimal konsekvens for driften?
13.
14.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
15
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0016.png
Resultater – it-beredskab
Beredskab
Resultaterne af undersøgelsen viser, at niveauet for it-beredskab i
energibranchen gennemsnitligt ligger på 2,6.
I branchen er der et meget højt fokus på, at den kritiske produktions-
it, der understøtter forsyningen, kan genetableres effektivt. Tre ud af
fire adspurgte har etableret procedurer for manuel genetablering og
har de nødvendige værktøjer, reservedele, vagtplaner mv. Disse
procedurer testes regelmæssigt.
Det er kendetegnende for branchen, at der er fokus på
forsyningssikkerhed og tilgængelighed af systemer. Under halvdelen
af de adspurgte har etableret en it-beredskabsplan, der håndterer
brud på fortrolighed og integritet af data, ud over tilgængelighed af
systemerne.
En tredjedel af de adspurgte har implementeret automatiske værtøjer
til at understøtte opdagelsen af hændelser. Størsteparten af de
adspurgte rapporterer større it-sikkerhedshændelser til relevante
eksterne parter.
5,0
4,5
4,0
3,5
3,0
2,5
2,0
1,5
1,0
0,5
0,0
Total
It-beredskabsplan
Håndtering af it-sikkerhedshændelser
Genetablering af kritisk produktions-it
2,2
2,3
3,4
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
16
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0017.png
E. Processer
Er der implementeret centrale processer, der medvirker til at opbygge og over tid vedligeholde et passende
sikkerhedsniveau?
Der er stillet spørgsmål relateret til:
15.
16.
Proces for identifikation af og overholdelse af eksterne krav – Er der etableret en proces eller samarbejde, der
medvirker til, at alle eksterne krav fra myndigheder og eksterne aftaleparter identificeres og overholdes?
Logisk adgang til kritiske it-systemer – Er logisk adgang til kritiske it-systemer og data tildelt efter et
arbejdsbetinget behov, og følges der løbende op på, hvorvidt adgangsrettigheder er aktuelle? Adgangsrettigheder
bestemmer, hvem der skal have adgang til specifikke data, og hvad de skal kunne med disse data (fx læse- eller
skriveadgang)
It-driftsprocedurer – Dokumenteres og vedligeholdes it-driftsprocedurer, såsom ændringshåndtering,
adgangsstyring, kapacitetsstyring, backup af data, hændelseshåndtering, sårbarhedsstyring mv.?
17.
18. Anskaffelse, udvikling og vedligehold af systemer – Er der implementeret kontroller ved anskaffelse, udvikling og
vedligehold af systemer?
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
17
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0018.png
Resultater – processer
Resultaterne af undersøgelsen viser, at de processer, der medvirker til
at opretholde et passende sikkerhedsniveau over tid, gennemsnitligt
ligger på 2,9.
Størsteparten af de adspurgte har udpeget en ansvarlig, der skal
identificere og indrapportere nye krav til it-sikkerhed, og/eller man
har etableret et samarbejde med eksempelvis en brancheforening, der
kan holde virksomheden orienteret.
Der er meget højt fokus på at sikre, at kun medarbejdere, der har et
arbejdsbetinget behov, tildeles adgang til kritiske it-systemer, og der
følges regelmæssigt og proaktivt op på disse adgangsrettigheder.
It-driftsprocedurer er dokumenteret hos mere end tre fjerdedele af de
adspurgte virksomheder og vedligeholdes som del af det daglige
arbejde. Det er kun i en tredjedel af virksomhederne, at it-
driftsprocedurer er dokumenteret i henhold til en standard (fx ITIL),
og procedurernes effektivitet vurderes ligeledes årligt i en tredjedel af
virksomhederne.
Ca. halvdelen af virksomhederne stiller mindstekrav til sikkerheden i
nye systemer, hvorimod mere end tre fjerdedele af virksomhederne
stiller specifikt krav til test og godkendelse af it-systemer, der er
kritiske for forsyningen inden idriftsættelse.
Processer
5,0
4,5
4,0
3,5
3,5
3,0
2,5
2,0
1,5
1,0
0,5
0,0
Total
Proces for ident. af og overholdelse af eksterne krav
Logisk adgang til kritiske it-systemer
It-driftsprocedurer
Anskaffelse, udvikling og vedligehold af systemer
2,3
2,9
3,0
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
18
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0019.png
F. Fysisk sikring
Etablerede procedurer på området sikrer mod uautoriseret fysisk adgang, skader og forstyrrelser mod virksomheden via
fysisk adgang både på og uden for virksomhedens lokationer.
Der er stillet spørgsmål relateret til:
1.
Fysisk perimetersikring og overvågning af lokationer, der huser kritiske it-installationer – Har virksomheden
etableret passende fysisk sikring og overvågning af kritiske it-installationer, herunder hovedstationer,
produktionsenheder, anlæg mv., der er koblet op til det centrale netværk?
Fysisk adgangskontrol – Er områder/lokaler i virksomheden, både centralt og decentralt, beskyttet med passende
fysisk adgangskontrol for at sikre, at kun autoriseret personale kan få adgang?
2.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
19
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0020.png
Resultater – fysisk sikring
Resultaterne af undersøgelsen viser, at det fysiske sikringsniveau i
branchen gennemsnitligt ligger på 3,1.
To ud af tre af de adspurgte virksomheder har implementeret
perimetersikring såvel som alarmovervågning af kritiske it-
installationer. Ca. en tredjedel af de adspurgte foretager regelmæssig
manuel inspektion af alle kontroller med henblik på at opdage fejl,
uønsket indtrængen eller manipulation.
Næsten alle de adspurgte virksomheder har en politik for tildeling af
adgange til fysiske rum og lokationer, baseret på et arbejdsbetinget
behov. To ud af tre overvåger og logger adgangen til fysiske områder,
og ca. halvdelen af de adspurgte har ydermere implementeret
funktionalitet, hvor uautoriseret adgang eller uregelmæssigheder
udløser alarmer.
Fysisk sikring
5,0
4,5
4,0
3,5
3,0
2,5
2,0
1,5
1,0
0,5
0,0
Total
Fysisk perimetersikring og overvågning af
lokationer,
der huser kritiske it-installationer
Fysisk adgangskontrol
3,3
3,1
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
20
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0021.png
G. Teknologi
Virksomheden bør have implementeret passende tekniske kontroller til at beskytte de mest kritiske dele af forretningen mod de
aktuelle trusler.
Der er stillet spørgsmål relateret til:
21.
22.
23.
24.
Beskyttelse mod elektroniske angreb – Er der implementeret kontroller til beskyttelse mod elektroniske angreb?
Opdatering af it-systemer – Er der implementeret kontroller til at holde it-systemer opdaterede?
Sikring af administrative arbejdsstationer – Der skal være implementeret sikkerhedsmekanismer, der beskytter den enkelte
arbejdsstation i henhold til den risiko, den udgør ved eksempelvis at have fjernadgang til lukkede netværk eller kritiske data.
Sikring af arbejdsstationer, der har adgang til produktionen – Der skal være implementeret sikkerhedsmekanismer, der
beskytter den enkelte arbejdsstation i henhold til den risiko, den udgør ved eksempelvis at have fjernadgang til lukkede
netværk eller kritiske data.
Sikring af mobile enheder – Der skal være implementeret sikkerhedsmekanismer, der beskytter den enkelte mobile enhed i
henhold til den risiko, den udgør ved eksempelvis at have fjernadgang til kritiske systemer eller data.
Tilgængelighed af produktions-it – Har virksomheden implementeret tekniske kontroller, der afspejler forretningens krav til
tilgængelighed for SCADA og styringssystemerne?
Pålidelighed af netværksforbindelser – Er der etableret netværksforbindelser, der sikrer en robust tilgængelighed?
Beskyttelse af netforbindelse mellem internet og produktionsdatanet – Hvordan er netforbindelsen mellem internet og
produktionsdatanet beskyttet?
Beskyttelse af netforbindelse mellem kontrolrum og serverrum – Hvordan er netforbindelsen mellem kontrolrum og
serverrum beskyttet?
Maj 2015
21
25.
26.
27.
28.
29.
Sektorundersøgelse informationssikkerhed
PwC
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0022.png
Resultater – teknologi
Teknologi
5,0
4,5
4,0
3,5
3,0
2,5
2,0
1,5
1,0
0,5
0,0
Beskyttelse mod
elektroniske angreb
Sikring af arbejdsstationer,
der har adgang til produktionen
Pålidelighed af
netværksforbindelser
Opdatering af
it-systemer
3,4
3,3
3,4
3,1
3,1
3,5
3,2
3,7
1,8
Total
Sikring af administrative
arbejdsstationer
Tilgængelighed af
produktions-it
Beskyttelse af netforbindelse
mellem kontrolrum og serverrum
Sikring af
mobile enheder
Beskyttelse af netforbindelse
mellem internet og
produktions-datanet
Se næste side for beskrivelse
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
22
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0023.png
Resultater – teknologi
Resultaterne af undersøgelsen viser, at anvendelsen af
teknologi til sikring af branchen gennemsnitligt ligger på
3,1.
Alle de adspurgte virksomheder har implementeret de
mest grundlæggende tekniske kontroller til beskyttelse
mod ondsindet angreb, herunder antivirussoftware og
firewalls mod internettet. Størsteparten af de adspurgte
har ligeledes procedurer, der medvirker til at holde disse
kontroller sikre over tid. Halvdelen har mere avanceret
beskyttelse implementeret, i form af fx
intrusion detection,
eller et abonnement på eksterne tjenester, der medvirker
til at identificere komplekse trusler eller angreb.
To tredjedele af de adspurgte har procedurer for at holde
operativsystemer opdaterede eller implementere
kompenserende kontroller i de tilfælde, hvor fx
produktions-it ikke kan opdateres uden at påvirke
produktionen negativt.
Næsten alle de adspurgte har standardiserede enheder og
opsætninger for de administrative arbejdsstationer, og tre
fjerdedele har det på arbejdsstationer, der har adgang til
produktionen. På disse er der ydermere implementeret
kontroller, fx overvågning/scanning med henblik på at
sikre, at et passende sikkerhedsniveau opretholdes.
Der er ikke megen fokus på sikring af mobile enheder. Der
er primært adgang til mail og kalender via disse typer
enheder – ikke til produktionen.
De kritiske it-systemer er enten delvist dublerede eller
fuldt redundante, og typiske udfald forventes at have
minimal konsekvens for driften.
I næsten alle de adspurgte virksomheder kan
produktionssystemer administreres fra mindst to fysisk
adskilte kontrolrum eller terminaladgang via
fjernarbejdspladser.
I næsten alle de adspurgte virksomheder er
kommunikationslinjer til kritiske it-installationer baseret
på dedikerede og dublerede forbindelser.
Produktionsnetværk er typisk adskilt fra internettet via
firewalls, der er konfigureret restriktivt. Det er dog kun
under halvdelen af respondenterne, der har implementeret
tekniske begrænsninger i firewallen for at modvirke web-
surfing fra produktionsnettet. Sådanne begrænsninger skal
modvirke, at medarbejdere fra produktionsnettet tilgår
internettet og potentielt er medvirkende til at introducere
ondsindet kode.
Maj 2015
23
Sektorundersøgelse informationssikkerhed
PwC
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0024.png
Delkonklusioner - virksomhedstyper
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
24
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0025.png
Delkonklusion – elnetselskaber
Gennemsnitligt niveau: 2,7
Der er 30 besvarelser fra elnetselskaber, hvilket udgør 52
% af det totale antal respondenter, og derfor er besvarelser
fra denne virksomhedstype i høj grad afspejlet i de
resultater, der er beskrevet i de samlede resultater for
branchen.
Der er dog i denne virksomhedstype et noget højere fokus
på beskyttelse af data, da elnetselskaberne typisk er tættere
på slutbrugeren end de øvrige selskabstyper i branchen.
Elnetselskaber opbevarer og behandler i stigende grad
personhenførbare informationer om kunderne, herunder
deres forbrug. Det antages, at der er et erkendt behov for
beskyttelse af disse informationer, hvilket afspejles i et
gennemsnitligt højere sikkerhedsniveau.
Dette har også medført, at elnetselskaberne har
implementeret bedre processer til at identificere
ændringer i lovkrav og sikre overholdelsen af disse.
Elnetselskaberne er ligeledes med til at løfte
branchegennemsnittet på beredskabsområdet, hvor der i
denne virksomhedstype er højt fokus på genetablering af
den kritiske produktions-it.
Det skal herudover nævnes, at resultaterne viser, at
selskaber med et regionalt forsyningsansvar har et højere
modenhedsniveau end gennemsnittet.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
25
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0026.png
Delkonklusion – elproduktionsselskaber
Gennemsnitligt niveau: 2,6
Der er 15 besvarelser fra elproduktionsselskaber, hvilket
udgør 26 % af det totale antal respondenter, og ligesom
elnetselskaberne er besvarelser fra denne virksomhedstype
også afspejlet i de resultater, der er beskrevet i de samlede
resultater for branchen.
Elproduktionsselskaberne har ifølge undersøgelsen et
marginalt lavere niveau end de øvrige selskabstyper. Dette
skal dog ikke ses som værende kritisk, da det samlet set er
0,2 under det samlede gennemsnit. Desuden skal det
nævnes, at de større selskaber med regionalt ansvar har et
højere modenhedsniveau.
Elproduktionsselskaberne har ifølge undersøgelsen et
lavere niveau af ledelsesforankring for
informationssikkerhed end de øvrige selskaber i branchen,
især udtrykt i manglende retningslinjer såvel som
ansvarsplacering af opgaven.
Resultaterne viser ligeledes et lavere niveau for beskyttelse
af personhenførbare oplysninger. Dette er givetvis udtryk
for, at denne virksomhedstype typisk ikke behandler
personhenførbare kundeoplysninger. Andre
personhenførbare oplysninger, som fx medarbejderdata,
herunder data relateret til ansættelse, sygefravær mv., bør
selvfølgelig sikres tilstrækkeligt.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
26
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0027.png
Delkonklusion – naturgasdistributionsselskaber
Gennemsnitligt niveau: 3,4
Der er tre besvarelser fra
naturgasdistributionsselskaberne, hvilket udgør kun 5 % af
det totale antal respondenter. De enkelte besvarelser har
derfor en høj indflydelse på gennemsnittet for denne
virksomhedstype.
Gasdistributionsselskaberne har ifølge undersøgelsen det
højeste sikkerhedsniveau i branchen.
Denne virksomhedstype har ifølge undersøgelsen høj fokus
på sikkerhed, herunder især kommunikation til
medarbejdere om deres rolle og ansvar i forhold til
informationssikkerheden; kravstilling til databeskyttelse
over for eksterne leverandører; overblik med vigtige
informationsaktiver; it-beredskab; styring af logisk adgang
til kritiske systemer; og beskyttelse mod ondsindede
angreb.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
27
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0028.png
Delkonklusion – naturgastransportselskaber
Gennemsnitligt niveau: 3,0
Der er tre besvarelser fra naturgastransportselskaberne,
hvilket udgør kun 7 % af det totale antal respondenter.
Ligesom for gasdistributionsselskaberne har de enkelte
besvarelser derfor en høj indflydelse på gennemsnittet for
denne virksomhedstype.
Gastransportselskaberne har et marginalt højere
gennemsnitligt niveau end det samlede
branchegennemsnit.
Denne virksomhedstype har ifølge undersøgelsen højt
fokus på sikkerhed og har etableret formelle retningslinjer
for styring af sikkerheden; har stærke procedurer ved
ansættelse såvel som afskedigelse/fratrædelse af
medarbejdere; it-driftsprocedurer er veldokumenterede og
formaliserede, og der er fokus på fysisk sikkerhed; såvel
som sikring af arbejdsstationer, der har adgang til
produktionen.
Der, hvor denne virksomhedstype ifølge undersøgelsen har
et relativt lavere niveau end branchegennemsnittet, er i
forhold til at have en formaliseret it-beredskabsplan.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
28
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0029.png
Delkonklusion – produktionsbalanceansvarlige
Gennemsnitligt niveau: 3,2
Respondenter fra de produktionsbalanceansvarlige
virksomheder udgør kun 7 % af det totale antal
respondenter, og ligesom de foregående virksomhedstyper
inden for naturgas, så har de enkelte besvarelser en høj
indflydelse på gennemsnittet for denne virksomhedstype.
De produktionsbalanceansvarlige virksomheder har et
marginalt højere gennemsnitligt niveau end det samlede
branchegennemsnit.
Denne virksomhedstype har ifølge undersøgelsen højt
fokus på sikkerhed og har stærke procedurer ved
ansættelse såvel som afskedigelse/fratrædelse af
medarbejdere; it-driftsprocedurer er veldokumenterede og
formaliserede, og der stilles høje krav til leverandører om
overholdelse af procedurer; man har formaliseret it-
hændelseshåndtering og har fokus på at beskytte
produktionsnetværket.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
29
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0030.png
Delkonklusion – systemansvarlig
transmissionsvirksomhed
Gennemsnitligt niveau: 2,8
Der er kun én systemansvarlig transmissionsvirksomhed i
Danmark, nemlig Energinet.dk.
Energinet.dk har ifølge undersøgelsen højt fokus på
sikkerhed, hvilket afspejles i en høj grad af
ledelsesforankring. Der er et højt niveau for risikostyring;
krav til eksterne leverandører; beredskab, herunder
genetablering af kritisk produktions-it; opdatering af
systemer; sikring af arbejdsstationer med adgang til
produktionen; tilgængelighed af produktions-it; og sikring
af netværksforbindelser.
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
30
 EFK, Alm.del - 2014-15 (2. samling) - Bilag 22: Rapport om Forundersøgelse af modenheds- og sikkerhedsniveauet inden for cyber- og informationssikkerhed blandt danske el- og naturgasselskaber, fra energi-, forsynings- og klimaministeren
1540241_0031.png
Bilag 1: Modenhedsniveau
Modenhedsniveauet er vurderet ved anvendelse af Capability Maturity Model (CMMI).
Modenhedsniveau
X
0
1
Ikke relevant
Ikke-eksisterende
Ad hoc
Aktiviteterne er ikke relevante.
Virksomheden har ikke identificeret og adresseret problemstillingerne.
Virksomheden har identificeret problemstillinger, som bør adresseres. Der findes ingen
standardiserede processer, som tager hånd om problemstillingerne – dette sker typisk på en
medarbejders eget initiativ.
De samme procedurer følges af forskellige personer, der udfører en opgave. Der er ingen formel
træning eller kommunikation omkring standardprocedurer. Udførelse sker på medarbejderens
eget initiativ.
Procedurer er standardiserede, dokumenterede og kommunikerede. Medarbejderne bør følge
procedurer. Procedurerne er typisk en simpel formalisering af guidelines.
Ledelsen overvåger og måler anvendelse af procedurer og griber ind, hvis processer ikke fungerer
effektivt. Aktiviteter forbedres konstant og sikrer effektivitet. Automatisering anvendes i
begrænset omfang.
Aktiviteter er blevet optimeret, baseret på resultater fra integrationen og sammenligning med
andre virksomheder. It anvendes som et integreret værktøj til at automatisere processer og
støtter op omkring forbedring af kvalitet og effektivitet. Dette gør virksomheden agil.
2
Intuitiv
3
4
Defineret
Styret og målbar
5
Optimeret
Sektorundersøgelse informationssikkerhed
PwC
Maj 2015
31