Energistyrelsen: Tjek jeres IT-sikkerhed

Center for Cybersikkerhed har netop udsendt en liste over tiltag, der skal styrke samtlige danske myndighederne IT-sikkerhed og samtidig sikre, at det generelle beredskabs- og sikkerhedsniveau kan modsvare den meget høje trussel mod cyber- og informationssikkerheden i Danmark.

Det er den højspændte situation i Østeuropa, der har fået alarmklokkerne til at ringe hos de danske myndigheder, og Energistyrelsen opfordrer nu til, at også fjernvarmeselskaber får gennemgået deres IT-sikkerhed.

Det fremgår af en mail fra Beredskabsenheden under Energistyrelsen – en mail som Dansk Fjernvarme har sendt videre til alle medlemmer.

Center for Cybersikkerhed har sammensat en liste med beredskabsforanstaltninger til energisektoren med en anbefaling om, at virksomheder gennemgår den sammen med deres it-sikkerhedstjeneste og it-leverandører, og implementerer hvor nødvendigt.

- Derudover bør energivirksomheder også overveje, at bruge listen som inspiration til foranstaltninger i deres OT-miljøer, skriver Energistyrelsen.

Nedenfor er listen fra Center for Cybersikkerhed gengivet:

Beredskabsplanlægning og krisestyring

• Gennemgå og afprøv virksomhedens beredskabsplaner, herunder nødplaner mhp. at sikre, at:
  • Beredskabsplaner er opdaterede.
  • Kontaktoplysninger og -lister er opdaterede.
  • Alle relevante personer er bekendt med beredskabsplanen og deres ansvar og rolle i beredskabet.
  • Beredskabsplaner mv. er tilgængelige offline.
  • Kommunikationsmidler fungerer, hvis it-systemer er utilgængelige.
  • Procedurer for kontakt til og deling af situationsbillede med CFCS og/eller relevante myndigheder er beskrevet.

Opdatering af operativsystemer og applikationer

• Kontrollér, at alle systemer og applikationer er og bliver opdateret, herunder tredjepartssoftware som fx browsere mv.
• Kontrollér, at internetvendte services er blevet sikkerhedsopdateret ift. kendte sårbarheder.
• Overvej, om der skal opdateres hurtigere med accept af større risiko for driftsforstyrrelser.

Backup

• Kontrollér, at backup gennemføres korrekt, og at der opbevares en kopi offline.
• Afprøv, om det er muligt at foretage reetablering fra backup.

Forsvarsmekanismer

• Kontrollér, at anti-virus software er installeret og aktiveret på alle klienter og systemer og bliver opdateret korrekt.
• Kontrollér, at firewallregler er konfigureret korrekt.

Logning og monitorering

• Kontrollér, hvilken logning virksomheden foretager, og om der eventuelt kan foretages yderligere relevant logning.
• Kontrollér, at logningen fungerer korrekt.
• Kontrollér, at logs gennemses jævnligt.
• Abonnér på varsler og tweets fra CFCS.

Netværk og internetvendte services og –systemer

• Kontrollér, at virksomhedens netværk er segmenteret, og at netværkstrafikken mellem segmenter er begrænset til det nødvendige.
• Skab overblik over internetvendte it-services og -systemer og vurdér, om der er services og systemer, der ikke behøver internetadgang.
• Kontrollér, at virksomhedens internetvendte oplysninger er korrekte og opdaterede, herunder IP-adresser og domænenavne.
• Foretag sårbarhedsscanning af internetvendte services og systemer og kontrollér, at disse er opdateret.

Adgangskontrol og rettighedsstyring

• Gennemgå bruger- og administratorkonti og nedlæg gamle, ubrugte eller ukendte konti.
• Kontrollér, at privilegerede konti udelukkende bruges til privilegerede formål.
• Kontrollér, at administrative rettigheder for brugere kun tildeles tidsbegrænset og med veldokumenterede behov.
• Kontrollér, at virksomhedens password-politik følger CFCS’ password-vejledning, herunder at der anvendes stærke password med minimum 12 karakterer.
• Kontrollér, at genbrug af passwords samt ofte anvendte eller lækkede passwords ikke tillades.
• Kontrollér, at der kan gennemtvinges ændring af passwords for alle konti.
• Kontrollér, at der anvendes flerfaktor autentifikation hvor muligt og som minimum på al fjernadgang og alle privilegerede konti.
• Kontrollér, at der anvendes numerisk adgangskode på minimum 6 cifre eller biometrisk identifikation på mobile enheder.

Fjernadgang til systemer

• Kontrollér, at fjernadgang kun sker til de dele af infrastrukturen, som en risikovurdering har afdækket er acceptabel.
• Kontrollér, at medarbejderes og leverandørers fjernadgang til virksomhedens interne systemer sker over krypterede forbindelser og ved anvendelse af flerfaktor- autentifikation.
• Kontrollér, at der benyttes en af virksomheden leveret VPN-løsning til internetadgang via arbejds-PC fra eksterne netværk.

Awareness

• Kontrollér, at medarbejdere ved, hvordan de skal rapportere om sikkerhedshændelser, herunder mistanke om phishing-mails.

Leverandørstyring

• Kontrollér, at det er aftalt med leverandører, at de skal rapportere sikkerhedshændelser eller mistanke om sikkerhedshændelser.

Rapportering

• Kontrollér, at virksomheden har procedurer for obligatorisk rapportering af større it-sikkerhedshændelser til CFCS via Virk.dk, CFCS’ døgnbemandede situationscenter og andre relevante/krævede myndigheder.

Yderligere tiltag

• Det bør generelt overvejes, om man kan reducere sårbarheder ved at acceptere en midlertidig eller varig reduktion af funktionalitet.
• Virksomheder, som i forvejen har lagt planer for styrkelse af cyber- og informationssikkerheden, bør vurdere, om det er muligt at fremrykke implementeringen af væsentlige mitigerende tiltag.
• Virksomheder bør overveje, om it-udviklingsprojekter mv. kan udskydes til fordel for prioritering af sikkerhedsmæssige tiltag.