Her er nøklene til kritisk infrastruktur

De to EU-direktivene NIS2 og CER skal gjøre den kritiske infrastrukturen i Europa mer robust i en utfordrende tid. Ikke minst stiller CER krav om økt fysisk sikkerhet innenfor en rekke nye sektorer, og her kan 41 gram elektronikk gjøre en avgjørende forskjell.

Les hele Technical Partner-magasinet

Tidene er forbi da det virket fjernt hva som ble vedtatt 'nede i Europa'. De siste årene har den sikkerhetspolitiske situasjonen blitt snudd på hodet, og de europeiske statene forbereder seg på en fremtid der EU-medlemmene og EØS-landene i langt større grad enn før er overlatt til seg selv. Begreper som hybridkrig har satt søkelyset på robustheten til kritisk infrastruktur, noe som gjenspeiles i de to EU-direktivene NIS2 og CER. Mye tyder på at oppfyllelsen av kravene bokstavelig talt kan være rett for hånden, men det kommer vi tilbake til.

NIS2 – et høyt og ensartet sikkerhetsnivå

Først må vi se på NIS2, som er en oppdatering av det tidligere NIS-direktivet. Det stiller strengere krav til virksomheter og organisasjoner som håndterer sentrale tjenester eller store mengder persondata. NIS står for Network and Information Security, og direktivet omfatter blant annet:

Skjerpede ledelseskrav
Minimumskrav til styring av cyberrisiko
Varslingsplikt ved sikkerhetshendelser
Regelmessige risikovurderinger
Høye sikkerhetsstandarder hos leverandører
Beredskapsplaner osv.

Målet er å sikre et høyt og ensartet nivå av cybersikkerhet på tvers av alle EU-medlemslandene, særlig innen sektorer som helse, forsyning, transport og finans. Men NIS2 står ikke alene.

CER – særlig prioritering av fysisk sikkerhet

CER blir omtalt som et 'søsterdirektiv' til NIS2. Det står for Critical Entities Resilience Directive og vil ha spesiell innvirkning på den fysiske sikringen av kritisk infrastruktur. Det utvider samtidig omfanget av sektorer som regnes som kritiske – fra energi og transport til områder som helse, drikkevann, digital infrastruktur og lignende.

Målet er å sikre størst mulig motstandsdyktighet mot ulike angrep og økt risikobevissthet, ikke bare i den enkelte organisasjon, men i hele leverandørkjeden. Her kommer Hans Følsgaard A/S inn i bildet som leverandør til forsyningsselskaper.

Den lille, men avgjørende detaljen i vårt forsvar

Selv om det er mye fokus på cyberkriminalitet som foregår digitalt og over lange avstander, har sårbarhetene hos blant annet forsyningsselskaper også en fysisk dimensjon. I stor skala har vi sett skadene når massive sjøkabler kuttes, men moderne teknologi finnes også på land i form av transformator- og pumpestasjoner samt teknikkhus for strøm og fiber. Utviklere og leverandører er oppmerksomme på dette.

"Vi er teknikkpartner for operatører og forsyningsselskaper, som vi blant annet utvikler komplette teknikkhus, veiskap og lignende installasjoner sammen med," forklarer Mikkel Møller Jørgensen, Head of Division, Cables & Cable Management hos Hans Følsgaard A/S. "Vi er av samme grunn oppmerksomme på implementeringen av NIS2 og ikke minst CER, som er viktige direktiver når forsyningsselskapene etterspør plug-and-play-løsninger til sine nett."

Møller Jørgensen fremhæver en detalje, der kan gøre livet besværligt for uvedkommende, der prøver at tiltvinge sig adgang til skabe og huse.

"Låsen! Den helt konkrete, fysiske låsen kan utgjøre forskjellen mellom et nett som fungerer og et nett som risikerer å bli sabotert. Velger et selskap en enkel standardnøkkel som alle ansatte kan gå rundt med i nøkkelknippet, er det altfor enkelt for uvedkommende å skaffe seg adgang for å kutte kabler eller avlytte datatrafikk. Jeg er ikke i tvil om at elektroniske nøkler med integrert adgangskontroll blir et hett tema i tiden som kommer med NIS2 og CER," fastslår Mikkel Møller Jørgensen, og det bringer oss tilbake til de 41 grammene med elektronikk nevnt i begynnelsen.

Intelligent nøkkel for en fremtid med hybridtrusler

Fra Mikkel Møller Jørgensen hos Følsgaard går turen videre til Birepo A/S for å zoome inn på en konkret løsning som kan hjelpe virksomheter og organisasjoner med å oppfylle de strenge kravene til fysisk sikring som er formulert i CER-direktivet. Nøkkel- og adgangskontrollsystemet CyberKey har vært brukt og videreutviklet i 20 år, og takket være vedtakelsen av CER-direktivet er det mer aktuelt enn noensinne.

"CyberKey snur tingene på hodet sammenlignet med mange andre nøkkelsystemer," forklarer Gert Petersen, direktør for Birepo A/S med hovedkontor i Greve. "Den elektroniske sylinderen finnes i over 400 ulike varianter og kan brukes til alle vanlige systemer. Den er enkel å montere og kan raskt rulles ut selv i stor skala. Den store forskjellen ligger i den elektroniske nøkkelen. For det er populært sagt nøkkelen – ikke låsen – som er intelligent."

Nøkkelen veier bare 41 gram, men den veier desto tyngre i praksis når teknikere og andre skal ha adgang til å utføre oppgaver i for eksempel teknikkhus langs jernbanestrekninger. Takket være den sentrale oppgavestyringen vet nøkkelen når den kan gi adgang til den konkrete lokasjonen og hvor lenge.

"Nøkkelen leverer den nødvendige strømmen til låsesylinderen, og den er fylt med dagens oppgaver og tillatelser hjemmefra. Når en medarbeider sjekker inn på oppgaven, inngår nøkkelen i oppgavestyringen og utgjør dermed en aktiv og intelligent adgangskontroll. Og skulle man være så uheldig å miste sin CyberKey-nøkkel, gir den ikke adgang til noe som helst, men slettes automatisk," forklarer Gert Petersen fra Birepo A/S.

Et mer sikkert, men også smidig kretsløp

Arbeidet med fysisk sikring har noen av de samme utfordringene som arbeidet med IT-sikkerhet: jo sikrere system, desto mer låst kan bruken bli i hverdagen. Det er derfor lagt stor vekt på at CyberKey inngår i et smidig system med enkel administrasjon, slik at de daglige rutinene og friheten for medarbeiderne ivaretas.

Det omfatter blant annet full integrasjon med systemer for oppgavestyring, og nøkkelen kan raskt oppdateres via wi-fi. Den samlede adgangskontrollplattformen blir en viktig og operativ brikke i den samlede sikkerhetsstrategien for en virksomhet eller organisasjon.

"Vi er glade for at en totalleverandør av teknikkhus og -skap som Følsgaard er oppmerksom på at sikkerheten for kritisk infrastruktur kan kompromitteres hvis ikke den siste, avgjørende detaljen er på plass. Vi merker også at kravene i NIS2 og CER begynner å bli presserende når vi er på fagmesser, der interessen for intelligente adgangskontrollsystemer er stor og økende. Det er ingen tvil om at låsesystemer i mer enn én forstand er en nøkkel til å stenge effektivt," avslutter direktør Gert Petersen fra Birepo A/S.