Nyttigt för alla på Energisäkerhetsportalen
Under sektionen ”Advenica tipsar” fanns i vårt förra nyhetsbrev en länk till Energisäkerhetsportalen. Denna sajt är ett samarbete mellan Svenska Kraftnät, Svensk Energi och Energimyndigheten. Denna gång tittar vi närmre på den samling dokument som finns tillgängliga på portalen och framför allt på ett av dokumenten: en hotkatalog för elbranschen.
Dokumenten på portalen är uppdelade mellan styrande och stödjande dokument.
Styrdokumentskategorin samlar på ett bra sätt lagar, förordningar och föreskrifter, det vill säga de dokument som utgör regelverket för hur skydd av system som används vid produktion och distribution av el i Sverige skall ske.
Något som ofta kan vara en utmaning när man arbetar på en myndighet eller inom en bransch som är reglerad av lagar och föreskrifter är att hitta stöd i ens arbete med att uppfylla reglerna. Lagar och föreskrifter skrivs för att kunna appliceras på många olika situationer och är i stort sett alltid oberoende av teknik och metod. Detta ger i och för sig frihet, men även osäkerhet.
Dokumenten på portalen hjälper till i en sådan situation genom att under stöddokumentskategorin presentera ett antal dokument som tagits fram både för att undervisa men även mer praktiskt påvisa vad som behöver göras för att uppfylla reglerna.
Hotkatalog, en guldklimp
Bland dessa guider och material kring IT-säkerhetsarkitektur och riskanalyser gömmer sig även en guldklimp med det ganska diskreta namnet Hotkatalog för Elbranschen.
Detta är ett 364 sidor långt dokument som beskriver 100 hot mot IT miljön uppdelade på tolv kategorier.
Vad är då så bra med det här? Jo, att fundera kring vad man vill skydda (tillgångar) och vilka hot som finns är början på allt systematiskt säkerhetsarbete. Att definiera sina tillgångar brukar ge med sig efter lite arbete men att komma på vilka hot som finns är inte alltid helt enkelt. Det kan behövas hjälp och inspiration för att komma på lämpliga hot för just din verksamhet.
I hotkatalogen delges 100 tips om saker som det är värt att skydda sina tillgångar mot. Hoten är klassificerade och beskrivna med en kortare beskrivning samt innehåller information kring orsaker och exempel. Det finns också en användbar referenslista till varje hot som visar på kopplingen till de kontroller som beskrivs i bland annat IT-säkerhets standarden ISO 27002.
Nytta för alla!
Även om hoten sammanställda i hotkatalogen har en koppling till elbranschen är de relevanta för i stort sett alla som har behov att skydda sin miljö. Även om vissa hot innehåller referenser till något väldigt el-specifikt kan man ofta byta ut det ordet mot något som passar bättre i ens egen kontext, t.ex. ”Attack mot system som styr och kontrollerar eldistribution”.
Ofta när man börjar tänka på hot dyker hot upp som är triggade av någon illasinnad, alltså olika typer av attacker så som ”Spearphishing” och ”Rootkits”. Men hotkatalogen tar även upp administrativa hot som risken med ”Delade ansvarsförhållanden” och ”Systemförändringar utanför planerade underhållsfönster”.
Så, ifall du arbetar med säkerhet, riskanalyser eller är allmänt intresserad av att förstå mer av varför IT och informationssäkerhet är viktigt, ta en titt på Elbranschens hotkatalog!
Go deeper!
Vill man hitta ännu fler hot så kan man följa förslaget i dokumentet och leta upp den IT-hotkatalog som tyska BSI har tagit fram. Strax över 4400 sidor IT-hot att ”njuta av”.
