CYBER-SICHERHEIT UND CYBER-RESILIENZ FÜR DIE SCHWEIZER STROMVERSORGUNG - DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR SWISSMIG FACHTAGUNG ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
CYBER-SICHERHEIT UND CYBER-RESILIENZ FÜR DIE
SCHWEIZER STROMVERSORGUNG
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021
DIGITALISIERUNG IN DER SCHWEIZ STRATEGIE DIGITALE SCHWEIZ § Rahmenstrategie. Chancen Digitalisierung nutzen. à Schweiz: attraktiver Lebensraum, und innovativer, zukunftsorientierter Wirtschafts- und Forschungsstandort. § Aktionsfelder § Digitale Wirtschaft § Daten und digitale Inhalte § Infrastrukturen und Umwelt § E-Government und E-Health § Neue Formen der politischen Partizipation § Weiterentwicklung der Wissensgesellschaft § Sicherheit und Vertrauen § Die Schweiz im internationalen Umfeld positionieren DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021 2
DIGITALISIERUNG ENERGIESEKTOR
AUSGEWÄHLTE THEMEN DIALOG
§ Dialogpapier Digitalisierung im Energiesektor.
Chancen & Barrieren Digitalisierung.
§ Perspektiven Digitalisierung im Strommarkt
1. IoT
2. Big Data
3. Künstliche Intelligenz und Machine Learning
4. Digitale Dienstleistungen. Virtuelle Speicher
5. Elektronische Identitäten
6. Digitale Plattformen
7. Datahub
8. Koordination im Strommarkt
9. Die Rolle von APIs
10. Intelligente Gebäude und BIM
11. Multimodale Mobilität
12. Blockchain
13. Cyber Security
14. Drohnen
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021 3
DATENINFRASTRUKTUR & CYBER SICHERHEIT
FRAGMENTIERUNG DER VORGABEN
Eine Auswahl derzeit bestehender Vorgaben Was wird aus Sicht Cyber und Resilienz derzeit geregelt?
Nationalen Strategie zum Schutz der Schweiz vor Die Strategie soll dazu beitragen, dass die Schweiz bei der Nutzung der Chancen der
Cyber-Risiken 2018-2022 (NCS) Digitalisierung angemessen vor Cyber-Risiken geschützt und ihnen gegenüber resilient ist
Nationale Strategie zum Schutz Kritischer Massnahmen mittels welcher die Versorgungssicherheit allgemein erhalten und noch verbessert
Infrastrukturen (SKI) werden soll — insbesondere auch für elektrische Landesversorgung
Landesversorgungsgesetz (LVG) Subsidiär präventive Massnahmen hinsichtlich der Erarbeitung von Cyber-Standards für die
Wirtschaft — insbesondere für die Stromversorgung
Energiegesetz (EnG) Art. 7 EnG hält Leitlinien für eine sichere Energieversorgung fest — insbesondere auch der
Schutz kritischer Infrastrukturen einschliesslich der zugehörigen IKT
Stromversorgungsgesetz (StromVG) Art. 8 StromVG verpflichtet Netzbetreiber ein «sicheres, leistungsfähiges und effizientes Netz» zu
gewährleisten — d.h. es impliziert Massnahmen zur IKT-Sicherheit, konkretisiert diese aber nicht
Stromversorgungsverordnung (StromVV) Art. 8a und in Art. 8b StromVV verweisen auf die Verpflichtung eines Branchenstandards im
Bereich der Datensicherheit betreffend intelligente Messsysteme
Freiwillige Mindeststandards für Cyber-Sicherheit Empfehlungen und mögliche Leitfäden zur Verbesserung der allgemeinen IKT-Resilienz – primär
• «IKT Minimalstandard» des BWL entlang einer adaptierten Version des NIST Cybersecurity Frameworks (CSF v1.1) und ebenfalls
• «Handbuch Grundschutz für Operational Technology» im Einklang mit weiteren, international anerkannten Standards
des Branchenverbandes (VSE)
Fazit: Cyber-Sicherheit und Resilienz ist Stand heute weder einheitlich noch flächendeckend für alle relevanten Akteure innerhalb des Schweizer
Stromsektors geregelt – weiterführende, verpflichtende Vorgaben und Mindestanforderungen sind innerhalb des Sektors bisher ausstehend
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021 4
CYBER SICHERHEIT STROMSEKTOR SCHWEIZ
INTERNATIONALER VERGLEICH
Mittels Quervergleich mit anderen Ländern betreffend regulatorische Situation für Cyber-Sicherheit und Resilienz im jeweils lokalen Stromsektor wurde
erkannt, dass die grundsätzliche Stossrichtung der Schweizer NCS 2018-2022 auch in anderen Ländern auffindbar ist.
Insbesondere die Entwicklungen innerhalb der EU sind relevant, da eine sehr starke technische und organisatorische Vernetzung der Stromsysteme der
Schweiz und der EU-Mitgliedstaaten besteht, vor allem mit den unmittelbaren Nachbarländern. Entsprechend gross sind die wechselseitigen Abhängigkeiten
voneinander.
Bindende EU-Vorgaben Kurze Beschreibung
EU Richtlinie für die Sicherheit Das Ziel der NIS-Richtlinie ist es ein gleichmässig
von Netz- und hohes Sicherheitsniveau von Netz- und
Informationssystemen Informationssystemen in der gesamten EU zu
(NIS-Richtlinie) erreichen
NIS1 trat 2016 in Kraft und wird Für Details und einen Quervergleich mit dem
bereits mit Hochdruck Umsetzungsstand in der Schweiz siehe Slide 6
überarbeitet und weiterentwickelt
Energiespezifischer Wird von European Network of Transmission System
«Cybersecurity Network Code» Operators for Electricity (ENTSO-E) und EU
Erster Entwurf wird Mitte 2021 Distribution System Operator Entity (EUDE)
erwartetet erarbeitet und wird technische Anforderungen an
Netzbetreiber und -anschlussnehmer konkretisieren Quelle: Bird & Bird (2020), Developments on NIS Directive in EU Member States
Fazit: Die in der NCS 2018-2022 festgehaltenen Stossrichtungen des Bundes sind grösstenteils mit den Massnahmen der ersten NIS-Richtlinie der EU
kompatibel. Der aktuelle Vorsprung der EU Staaten im Bereich der Cyber Sicherheit und Resilienz ist derzeit jedoch beachtlich. Viele der für die Schweiz
aktuell diskutierten Massnahmen sind aufgrund der NIS-Richtlinie andernorts in der EU bereits in der Praxis umgesetzt, operativ und längst etabliert.
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021 5
CYBER SICHERHEIT STROMSEKTOR SCHWEIZ
STAND DER UMSETZUNG
Verpflichtungen gemäss Mapping zu Umsetzungsstand
Identifizierter Handlungsbedarf für den Schweizer Stromsektor
EU NIS1 CH NCS 2018-2020 in der Schweiz
Verabschiedung der NCS
#1 Nationale Strategie (Keiner)
2018-2022
#2 EU-Kooperationsgruppe Nicht direkt anwendbar, da kein EU-Mitgliedsstaat und daher nicht Mitglied der Gruppe.
Netzwerk von Computer- Nicht direkt anwendbar, da kein EU-Mitgliedsstaat, aber gewisse Relevanz für GovCERT.ch (offizielles Computer Emergency
#3
Notfallteams Response Team der Schweiz)
Institutionalisierte Rahmenbedingungen betreffend Cyber-Sicherheit und
NCS Massnahme 8: Resilienz im Schweizer Stromsektor und damit verbunden, die Schaffung
Sicherheits-
Evaluierung und Einführung von geeigneter und verhältnismässiger, technischer und organisatorischer
anforderungen
Minimalstandards Sicherheitsanforderungen für Cyber-Sicherheit und Resilienz innerhalb des
Sicherheits- Stromsektors Schweiz.
anforderungen
#4 NCS Massnahme 9: Prüfung
und Das institutionalisierte Meldewesen betreffend laufende Cyber-Attacken
einer Meldepflicht für Cyber-
Meldepflichten Meldepflicht innerhalb des Stromsektors Schweiz, inklusive der Einführung einer
Vorfälle und Entscheid über
Meldepflicht.
Einführung
Impliziert durch Die institutionalisierte Überprüfung der getreuen Umsetzung bestehender
Überprüfung
NCS Massnahme 8 Cyber-Regulierungen durch die Marktteilnehmer des Stromsektors Schweiz.
Nationale Allgemeine Bestimmungen Die Festlegung von Verantwortlichkeiten (Institutionalisierung) für Cyber-
zuständige der NCS und NCS Rahmenbedingungen, -Überprüfung, -Wissensaustausch und -Meldewesen
Behörden Umsetzungsplan im Stromsektor.
Zentrale Schaffung NCSC im Rahmen
Ernennung (Keiner)
#5 Anlaufstelle der NCS
von:
Nationales NCS Massnahme 4: Ausbau
Der institutionalisierte, laufende Wissensaustausch betreffend aktuelle
Computer der Fähigkeiten zur Beurteilung
Cyber-Gefahren (Threat Intelligence) innerhalb des Schweizer Stromsektors,
Emergency und Darstellung der Cyber-
sowie auf internationaler Ebene.
Response Team Bedrohungslage
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021 6CYBER SICHERHEIT STROMSEKTOR SCHWEIZ IM SCHNITT TIEFE WERTE DER MATURITÄT Die Umfrageteilnehmer wurden gebeten, die eigene Maturität entlang dem IKT Minimalstandard selbst einzuschätzen (siehe auch Anhang 1). Die E-Survey führte zu den folgenden Schlüssel-Erkenntnissen: • Cyber-Sicherheit wird oftmals noch immer als eine Nebentätigkeit mit geringer Management-Priorität innerhalb der Unternehmen angesehen • Das Vorhandensein einer klar ausformulierten IT-/OT-Strategie korreliert stark positiv mit den entsprechenden Maturitätswerten der Unternehmen • Die Verantwortlichkeiten und Prozesse für Cyber-Sicherheit und Resilienz ist bei vielen Unternehmen noch nicht institutionalisiert • Cyber-Risiken werden offenbar meist auf einer ad-hoc und/oder reaktiven Basis verwaltet • Risikomanagementprozesse und organisatorische Vorgaben betreffend IKT-Sicherheit scheinen oftmals nicht formalisiert • Die Funktionen «Erkennen» und «Reagieren» verzeichnen im Schnitt die tiefsten Maturitätswerte – dies ist bedauerlich, da ausgerechnet diese Fähigkeiten besonders wichtig sind, um auf grössere Cyber-Vorfälle zeitnah und adäquat reagieren zu können • Eine grosse Mehrheit der Umfrageteilnehmer (69%) befürwortet eine Meldepflicht von Cyber-Sicherheitsvorfällen Fazit: Die Auswertung der E-Survey bezüglich IT-/OT-Sicherheits-Maturität der Schweizer Strommarktteilnehmer zeigt deutlich, dass die Akteure bisher noch nicht selbstständig und auf freiwilliger Basis alle notwendigen Massnahmen getroffen haben, um den steigenden Cyber-Risiken adäquat entgegenzuwirken – die Betriebe sind demnach der eigenen Branchenrichtlinie nicht nachgekommen und noch weit entfernt von dem eigens gesetzten Ziel eines durchschnittlichen Maturitätswerts von «2.6» über alle Bereiche. DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021 7
CYBER SICHERHEIT STROMSEKTOR SCHWEIZ
HANDLUNGSBEDARF
1. Rahmenbedingungen 2. Überprüfung 3. Meldewesen 4. Wissensaustausch
Schaffung einheitlicher, gesetzlicher Sicherstellung regelmässiger Einführung eines institutionalisierten Institutionalisierung eines
Ziel
Rahmenbedingungen in Bezug auf Überprüfung betreffend die Meldewesens betreffend laufende regelmässigen Wissensaustausches
Cyber-Sicherheit und Resilienz Einhaltung regulatorischer Cyber-Vorfälle innerhalb des Sektors betreffend aktuelle Cyber-Gefahren
Anforderungen (Threat Intelligence)
ü Rechtliche Klärung der Rollen ü Etablierung einer Prüfbehörde ü Klare Vorgaben betreffend ü Bereitstellung Sektor-
und Verantwortlichkeiten ü Etablierung eines zentralen Meldewesen im Stromsektor spezifischer Threat Intelligence
ü Identifizierung der zu Registers ü Rechtliche Klärung der Rollen und konkreter Hilfestellungen
regulierenden Unternehmen und Verantwortlichkeiten für eine adäquate Prophylaxe
ü Überprüfungsmechanismen
innerhalb des Sektors ü Zentrale Meldemechanismen ü Mechanismen zur schnellen
ü Selbstbeurteilungsmechanismen
ü (Weiter-)Entwicklung rechtlicher und Hilfestellungen für und gezielten Weiterverbreitung
ü Sanktionierungs- und
Cyber-Anforderungen Betroffene
Incentivierungsmechanismen
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021 8CYBER SICHERHEIT STROMSEKTOR SCHWEIZ
HANDLUNGSBEDARF VORGABEN
Verpflichtender Cyber Grundschutz auf Basis des IKT Minimalstandards
Kategorie Beschreibung Beispiele gängiger Referenz-Frameworks und Standards
Allgemeine IT-Sicherheits- In einem ersten Schritt sollte • ISO/IEC 27001 Framework für ISMS
Standards für Risiko sichergestellt werden, dass ein gewisser
Management für alle Cyber-Grundschutz für relevante • NIST Publikation 800-30 Rev. 1 (Risikomanagement für
Teilnehmer des Marktteilnehmer im Schweizer Informationssysteme)
Energiesektors Schweiz Stromsektor gegeben ist. Hierzu sollten • CRAMM Risikomanagement Methodologie
Grundstein für Resilienz für unter anderem auch bereits verfügbare
Grundlagen im Bereich der • OCTAVE, Werkzeuge, Techniken und Methoden
Cyber-Sicherheit
Risikoanalyse berücksichtigt werden
Sicherheits-Standards In einem zweiten Schritt sollte eine • ANSI/ISA, Series ISA-62443: Security for industrial
betreffend Cyber-Sicherheit Harmonisierung und Weiterentwicklung automation and control system
für Betreiber kritischer der cyber-relevanten Anforderungen für • NIST Framework für die Verbesserung von Critical
Infrastrukturen Betreiber kritischer Infrastrukturen Infrastructure Cybersecurity
Anforderungen für KRITIS innerhalb des Stromsektors Schweiz ins
• NERC CIP–002 bis CIP-011 Critical Infrastructure Protection
Auge gefasst werden
Cyber Security
Spezifische Sicherheits- Sind diese beiden Kategorien • ISO 27019 Information security management guidelines
Standards betreffend Cyber- zufriedenstellend reguliert, so empfiehlt based on ISO/IEC 27002 for process control systems
Sicherheit für den es sich weiterführenden, Stromsektor- specific to the energy utility industry
Energiesektor spezifischen Anforderungen zu widmen, • NIST Industrial Control Systems (ICS) Security
Berücksichtigung von Sektor- welche über den gewünschten Grund-
• IEEE STANDARD 1402-2000
spezifischen Anforderungen schutz herausgehen
• IEC 61850 Power Utility Automation
Fazit: Bei der Erarbeitung neuer gesetzlich verpflichtender Cyber- und Resilienz-Anforderungen für den Sektor sollte grundsätzlich stets zuerst an bereits
bestehenden, nationalen und kantonalen Regulierungen angeknüpft werden und diese wo sinnvoll harmonisieren und/oder referenzieren. Wenn immer
möglich sollte auch eine Referenzierung mit gängigen, internationalen Standards in Betracht gezogen werden.
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021IKT MINIMALSTANDARD
POTENTIALE ZUR WEITERENTWICKLUNG
Die IKT Minimalstandards sind in mehreren Branchen definiert und akzeptiert.
Fehlend sind aber
a) Verpflichtung
b) Anzustrebende Schutzniveau (SOLL-Profil)
c) Verifizierung/Prüfung
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021CYBER SECURITY MATURITÄTSNIVEAU
VERSCHIEDENE SOLL-PROFILE
Gemäss das Assessment Tool
der IKT Minimal Standards:
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021 11VERIFIZIERUNG MINDESTSTANDARD
MÖGLICHE ECKPUNKTE
§ Aufteilung Unternehmen Elektrizitätswirtschaft in 2 Gruppen.
§ Anforderungen Profil A (höher) und Profil B (niedriger).
§ Profil A z.B. NE 1-4 oder 50MWh/4 Stunden oder 20'000 Kunden.
§ Grundsätzlich regelmässige Selbsteinschätzungen.
§ Stichproben (Audits) auf Basis Selbsteinschätzung.
Profil A Profil B
DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021ZUSAMMENFASSUNG DIGITALISIERUNG UND CYBER SECURITY (1) Cyber Sicherheit bedeutet Versorgungssicherheit in Digitalen Zeitalter. (2) Stand Cyber Maturität Stromsektor Schweiz ist nicht zufriedenstellend. (3) Schnittstellen müssen optimiert und rechtlicher Rahmen gestärkt werden. (4) Vorgabe von Grundschutz auf Basis IKT Minimalstandard wird erarbeitet. (5) Verifizierung über Selbsteinschätzung und Stichproben (Audits). (6) Keine «One Size Fits All» Lösung. Wie bei Meldepflicht 2 Gruppen. (7) Benennung von IT/OT Verantwortlichen pro Unternehmen notwendig. DIGITALISIERUNG & CYBER SECURITY IM STROMSEKTOR ▪ SWISSMIG FACHTAGUNG ▪ DR. MATTHIAS GALUS ▪ 12.11.2021 13
Sie können auch lesen
