NKSB Hvordan beskytte kritisk infrastruktur

FOR ET
TRYGGERE
NORGE
Nasjonalt kompetansesenter
for sikring av bygg
EN DEL AV FORSVARSBYGG FUTURA
Hvordan beskytte kritisk infrastruktur
Yngve Slagnes
[email protected]
48103052
Agenda
 Hva er kritisk infrastruktur?
 Hvordan finne rett sikringsnivå
 Trusselaktør metoder og kapasiteter
 Hvordan beskytte kritisk infrastruktur
(organisatorisk, fysisk og elektronisk)
 Standarder og tester
 Bestiller-kompetanse
Definisjoner – kritisk infrastruktur
Strategisk nivå
 ”Kritisk infrastruktur er de
anlegg og systemer som er
helt nødvendige for å
opprettholde samfunnets
kritiske funksjoner som igjen
dekker samfunnets
grunnleggende behov og
befolkningens
trygghetsfølelse.”
(NOU 6:2006, s. 31)
DSB Rapport – Sikkerheti kritisk infrastruktur og kritiske
samfunnsfunksjoner
Hendelser
Definisjoner – kritisk infrastruktur
Virksomhetsnivå
 Kritisk infrastruktur er det nett av faste anlegg, systemer eller
tjenester som er grunnlaget for en virksomhet skal kunne:
 Beholde sin operative evne
 Levere de tjenester som andre virksomheter er kritiske avhengige
av
 Motta de tjenester som andre virksomheter leverer.
 Kombinasjon av overnevnte
 Grunnsikring – Sikringstiltak som ivaretar en entitets
sikringsbehov ved normaltilstand.
NSMs veileder for objektsikkerhetsforskriften:2012
Risikovurdering - Security
Planlegging av risikovurderingen
 En risikovurdering vil være et
godt verktøy for å kartlegge:
Objektkartlegging
Verdivurdering
Trusselvurdering
Sårbarhetsvurdering
Kontroll av tiltak
 Objektet
 Verdiene
 Trussel
 Sårbarhet
 Risiko
 Akseptabelt risikonivå
 Ulike sikringstiltak
Risikoanalyse
Fastsettelse av risikonivå
Forslag til sikringstiltak
Utarbeide tiltaksplan
NKSB modell for gjennomføring av risikovurdering
Trusselaktør – metoder og kapasiteter
 Alfa
 Bravo
 Charlie
 Delta
 Terror
 Etterretning
 Sabotasje
 Annen kriminalitet
Hvordan beskytte kritisk infrastruktur
 Barrierer
 Avskrekke, forhindre eller redusere muligheten
for uautorisert passering/anslag
 Deteksjon
 Oppdage forsøk på anslag
 Verifikasjon
 Etablere situasjonsforståelse
 Reaksjon
 Stoppe anslaget, redusere skadepotensialet
Helhetlig sikring av kritisk infrastruktur
 For å sikre kritisk infrastruktur vil det ikke være godt nok å kun
fokusere på isolerte elementer. Man må ha en helhetlig
tankegang for sikringen.
 Ved å planlegge godt og utforme sikringstiltakene slik at man
får en kombinasjon av administrative, organisatoriske, fysiske
og elektroniske sikringstiltak vil man få en bedre grunnsikring.
Sikring i soner
 Vi skal presentere ulike måter/metoder man kan benytte for å
beskytte den kritiske infrastrukturen en virksomhet har.
Ytre Barriere (Perimeter)
Evt. deteksjon
Deteksjon og
tidshindrende tiltak
Verifisere
Mellombarriere 2 (Indre skall)
Deteksjon og tidshindrende tiltak
Indre barriere (Verdisikring)
Deteksjon og tidshindrende tiltak
Tidsregnskap
Mellombarriere 1 (Ytre skall)
Hvordan sikrer den enkelte virksomhet sin
kritiske infrastruktur?
UPS
Aggregat
OPS rom
Antenne
Serverrom
Koblings pkt.
Hull i den «helhetlige sikringen»
 Ofte kan ulike leverandører «sitt» fag godt, men dette betyr
ikke at de kan utarbeide konsepter om helhetlig sikring.
 En trusselaktør vil være i stand til å omgå sikringstiltak.
Typiske sårbarheter
 Administrative og organisatoriske sårbarheter
 Tilgang
 Autorisasjon
 Deling av arealer
 Fysisk sårbarheter
 Det benyttes vanlige ståldører og ikke godkjente sikkerhetsdører.
 Luker – Ventilasjon og aggregat
 Elektroniske sårbarheter
 Eierskap
Praktiske eksempler
 Kritisk infrastruktur VS.
økonomi
 Dimensjonering av
fremtidig behov
Sensur
Praktisk eksempler - avhengigheter
 Kritisk infrastruktur har svært ofte avhengigheter.
 Disse bør komme frem i en verdivurdering med
prioritetsnivå og kritikalitet.
 Det er få tekniske installasjoner som fungerer uten:
 Kraftforsyning (primær og sekundær)
 Kommunikasjon
Nettforsyning
Strøm
UPS
Aggregat
Batteri
Kritisk
infrastruktur
Praktiske eksempler
 Ikke plasser
avhengighetene
dine lett
tilgjengelig
Sensur
Praktiske eksempler
 200 mm dobbelarmert
betongvegg
 Adgangskontroll
 Tredør (papp)
 Ikke FG-godkjent lås
Sensur
Praktiske eksempler
 Mangel på
soneinndeling.
 Flere leietakere
har tilgang til
samme arealer.
 Den enkelte
leietaker har
ikke oversikt
over andre som
har tilgang.
Sensur
Praktiske eksempler
 Ventilasjonsluker
 Tekniske føringer
Sensur
Praktiske eksempler
 Elektroniske sikringssystemer lokalisert i fellesarealer
Sensur
Praktiske eksempler
 Elektroniske sikringssystemer mangel på eierskap og
forankring
Sensur
Praktiske eksempler
 Ståldør
(branndør) brukt
som sikringsdør
Sensur
Praktiske eksempler
 Brann og rømningsveier VS. Sikkerhet
 Disse to kan være vanskelig å kombinere, men flere av dørleverandørene
som leverer komplett løsning med dør og lås har nå begynt å få øynene
opp for dette, og har løsninger som kan benyttes, dersom forholdene er
lagt til rette.
Standarder
 Det er en mengde med standarder som sikringsprodukter kan
klassifiseres
 EN 1627
 NS EN 1321
 NS EN 1522
 NEK EN 50131-50133
 NEK EN 50518
 FG-regelverket for innbrudd
 M.fl.
Standard EN1627 metoder for testing
Standard NS-EN 356 metoder for testing
Standard NS-EN 1522 metoder for testing
8. Hva motstår egentlig sikringsproduktene
 Nasjonalt kompetansesenter for sikring av bygg (NKSB)
gjennomfører ulike realistiske tester av sikringsprodukter og
løsninger.
 Vinduer
 Dører
 Vegger
 Elektroniske sikringssystemer
 HPM/EMP våpen
 Dette gjør at NKSB har kompetanse til å vurdere ulike
sikringsløsninger
Hva slags utstyr kan og vil trusselaktøren
benytte?
Innbruddstester - vinduer
Sensur
Innbruddstester - dører
Sensur
Innbruddstester - dører
Sensur
Test – Innbrudd med termisk lanse
Sensur
Hvordan lage termisk lanse
Innbruddstester - vegger
Sensur
Sensur
Innbruddstider sikringsklasser (2015)
SK
A
B
C
D1
D2*
0
**
**
**
**
**
1
**
**
**
**
**
2
**
**
**
**
**
3
**
**
**
**
**
4
**
**
**
**
**
5
**
**
**
**
**
6
**
**
**
**
**
7
**
**
**
**
**
8
**
**
**
**
**
9. Bestiller-kompetanse
 Når man skal etablere sikringstiltak er det viktig at man som
bestiller har et forhold til hva er det man faktisk har behov for.
Hvilke krav til sikring er det. Uavhengig av løsningsvalg bør
produktet være:
 A: Testet og sertifisert etter en «god» standard.
Alternativt
 B: En løsning som er testet i praksis av kompetent personell.
 C: En kombinasjon av overnevnte.
 Det bør ikke overlates til leverandøren å både utarbeide
kravene og prosjektere løsningen.