Eidgenössisches Nuklearsicherheitsinspektorat ENSI Die Aufsicht über und die Regulierung der IT-Sicherheit

Transkript

1 Eidgenössisches Nuklearsicherheitsinspektorat Die Aufsicht über und die Regulierung der IT-Sicherheit 2. November 2017 Bernard Stauffer

2 Agenda 1. Kurzportrait 2. Werkzeuge für die Aufsicht 3. Aufsicht der IT-Sicherheit 4. Anforderungen an die IT-Sicherheit in Kernanlagen 5. Fragestellungen der Aufsicht 2

3 1. Kurzportrait 2. Werkzeuge für die Aufsicht 3. Aufsicht der IT-Sicherheit 4. Anforderungen an die IT-Sicherheit in Kernanlagen 5. Fragestellungen der Aufsicht 3

4 Das ist die unabhängige Aufsichtsbehörde des Bundes für die nukleare Sicherheit und Sicherung der schweizerischen Kernanlagen und von Kernmaterial. Aufsicht über: Kernkraftwerke Zwischenlager für radioaktive Abfälle Forschungseinrichtungen des PSI, der EPFL und der Uni Basel Transporten radioaktiver Stoffe von und zu den Kernanlagen Personal: Ca. 145 Mitarbeitende Physiker, Bauingenieure, Maschineningenieure, Elektroingenieure, Nuklearingenieure, Chemiker, Biologen, Geologen, Geophysiker, Informatiker, Psychologen, etc. 4

5 Schutzziele im Nuklearbereich Sicherheit Kontrolle der Reaktivität; Kühlung der Kernmaterialien und der radioaktiven Abfälle; Einschluss der radioaktiven Stoffe; Begrenzung der Strahlenexposition. Sicherung Schutz der Kernanlagen vor unbefugter Einwirkung; Schutz der Kernmaterialien vor Entwendung und unbefugter Einwirkung; Schutz von Mensch und Umwelt vor radiologischer Schädigung verursacht durch unbefugte Einwirkung. 5

6 1. Kurzportrait 2. Werkzeuge für die Aufsicht 3. Aufsicht der IT-Sicherheit 4. Anforderungen an die IT-Sicherheit in Kernanlagen 5. Fragestellungen der Aufsicht 6

7 Werkzeuge der Aufsicht des Anlagenbegutachtung Richtlinien Freigaben Gutachten Betriebsüberwachung Notfallbereitschaft Inspektion Vorkommnisbearbeitung Revision Enforcement Sicherheitsbewertung Strahlenmessungen Fernüberwachung & Prognose findet Anwendung auch in der IT-Sicherheit 7

8 Anlagenbegutachtung 1/2 Richtlinien Die Gesetzgebung beauftragt bei einzelnen Artikel die Aufsichtsbehörde, die weiteren Einzelheiten [der gesetzlichen Bestimmung] in einer Richtlinie zu regeln. Eigenschaften von Richtlinien Sie beschreiben, nach welchen Kriterien die Aufsichtsbehörde einen Sachverhalt beurteilt; Können den übergeordnete Gesetzesartikel nicht ausweiten. Sie sind «de jure» keine bindende Vorgaben, sondern Leitlinien. Wirkungsbereich ist auf den beaufsichtigten Bereich beschränkt. Sind eine wichtige Grundlage insbesondere bei Inspektionen. 8

9 Anlagenbegutachtung 2/2 Freigaben Notwendig für Änderungen, die nicht wesentlich von einer Bewilligung oder Verfügung abweichen, jedoch einen Einfluss auf die nukleare Sicherheit oder Sicherung haben können. Eigenschaften von Freigaben Sind rechtlich eine Verfügung ( Verwaltungsrecht). Mehrstufiges Verfahren: Konzept, Auslegung, Ausführung, Inbetriebnahme. Die zu prüfenden Unterlagen sind mitunter sehr umfangreich. Die Aufsichtsbehörde prüft die Unterlagen, rechnet nach, vergleicht die Angaben mit dem Stand der Wissenschaft und Technik, beurteilt den Einfluss auf die Sicherheit, usw.. In der Regel multidisziplinär. 9

10 Betriebsüberwachung Inspektionen Wichtiges Werkzeug für die kontinuierliche Überprüfung der Einhaltung der gesetzlichen und regulatorischen Vorgaben. Eigenschaften von Inspektionen Sind ein Soll Ist Vergleich. Als Soll-Basis gelten gesetzliche Grundlagen, die Richtlinien und anerkannte nationale und internationale technische Normen und Empfehlungen. Mehrjahresplanung, Erkennen schleichender Abweichungen Inspektionsprozess des ist bei SQS akkreditiert. Über 500 angekündigte und unangekündigte Inspektionen im Jahr

11 1. Kurzportrait 2. Werkzeuge für die Aufsicht 3. Aufsicht der IT-Sicherheit 4. Anforderungen an die IT-Sicherheit in Kernanlagen 5. Fragestellungen der Aufsicht 11

12 Aufsicht der IT-Sicherheit Was wird gemacht und wie? IT-Sicherheit Aufsicht entsprechend den Vorgaben zur «Integrierten Aufsicht»: Zusammenwirkung von «Sicherheit Sicherung IT-Sicherheit» (Massnahmen eines Bereiches dürfen die Auslegung der anderen Bereichen nicht negativ beeinflussen) Aufsichtsbereich sind die programmierbar ausgeführten Komponenten der sicherheitsrelevanten oder -bezogenen Systeme inklusive deren Schnittstellen Berücksichtigung von IT-Sicherheit Aspekten bei Stellungnahmen und Freigaben zu sicherheitsklassierten Komponenten Regelmässige Fachgespräche mit Beaufsichtigte zu relevanten Themen der IT-Sicherheit Enge Zusammenarbeit und fachlicher Austausch zwischen Fachbereichen der Aufsichtsbehörden Inspektionen im Bereich der IT-Sicherheit 12

13 Normen und Empfehlungen Trotz fehlender expliziter Erwähnung der IT-Sicherheit in der nuklearen Gesetzgebung: Art. 36 KEV verlangt Berücksichtigung anerkannter techn. Normen und Empfehlungen. ISO International Organization for Standardization IEC International Electrotechnical Commission IAEA International Atomic Energy Agency (Unabhängige Organisation innerhalb der UN) WINS World Institute for Nuclear Security 2700x ISMS Code of Practice Requirements for bodies providing audit and certification of ISMS Information Security for the Energy Utility Industry NPP I&C Systems, security programmes for computer-based systems NPP I&C Systems, coordinating safety and cybersecurity Evaluation criteria for IT-Security components - NSS 20 Objective and Essential Elements of a State s Nuclear Security Regime (Fundamentals) - NSS 13, NSS14, NSS 15 (Nuclear Security Recommendations) - NSS 17 Computer Security at Nuclear Facilities - NS 22 Computer Security for Nuclear Security Professionals (Education Document) - Weitere Implementing Guides, Technical Guidances und TECDOCs zur Umsetzung Effectively Integrating Physical and Cyber Security Nuclear Security Culture Managing Internal Threats 13

14 1. Kurzportrait 2. Werkzeuge für die Aufsicht 3. Aufsicht der IT-Sicherheit 4. Anforderungen an die IT-Sicherheit in Kernanlagen 5. Fragestellungen der Aufsicht 14

15 Sicherstellung der IT-Sicherheit Notwendige Elemente zur Sicherstellung IT-Sicherheit: Solide Organisationskultur, welche die Sicherheitskultur, Sicherungskultur und die IT-Sicherheitskultur integriert Sicherheitsorientiertes Abwägen von technologisch unterschiedlichen Lösungen (i.s. der Risikoallokation und - abgrenzung) Ressourcen zur Etablierung, Umsetzung, Pflege und Verbesserung der ISMS und dessen Massnahmen Kompetenz der Fachverantwortlichen, Aufbau der Kompetenzen im Umgang mit IT aller Mitarbeiter stärken Bewusstsein aller Mitarbeiter/Beteiligten betreffend ISMS und dessen Wichtigkeit, sowie (möglicher) Konsequenzen bei Fehlverhalten verankern 15

16 IT-Sicherheit in den Kernanlagen 1/3 Methodik In der Gesetzgebung zur Kernenergie verankert: Das Konzept der Verteidigung in die Tiefe (Defence-in-Depth) Die gestaffelte Sicherheitsarchitektur Umsetzung Administrative Massnahmen: Werkspezifische Konzepte zur IT-Sicherheit Leitlinie zum Einsatz von IT-Mitteln in den Kernanlagen Organisatorische Massnahmen: Fachverantwortliche Stellen für die IT-Sicherheit Periodische Awareness-Schulungen Technische Massnahmen: Implementierung eines effektiven Systemschutzes 16

17 IT-Sicherheit in den Kernanlagen 2/3 Nukleare Sicherheit gewährleisten Defence-in-Depth durchgängig anwenden Resilienz der Komponenten, System und Strukturen auf allen Wirkungsebenen stärken Organisatorische/Administrative Massnahmen IT-Sicherheit im Managementsystem verankern (Rollen,Verantwortungen) IT-Sicherheitskultur verankern Technische Massnahmen (Auszug) Gestaffelte Architektur (Zonen) System-Härtung Einsatz von Netzwerk-IT-Sicherheitssystemen Monitoring- & Loganalysen etablieren und anwenden Effektives und nachprüfbares IT-Sicherheitsdispositiv 17

18 IT-Sicherheit in den Kernanlagen 3/3 Risiken minimieren Voneinander getrennte Systeme mit Zonenkonzept Schnittstellen von und zu Zonen mit der Sicherheitsleittechnik regeln, sichern und kontrollieren (unidirektionale Kommunikation, gesicherte Verbindungspunkte) Strikte Regelungen und Prozesse für Servicetechniker und Drittfirmen Kontrolle von mobilen Geräten (Notebook, USB Stick, etc.) Schutzmassnahmen für/gegen Verbindungen ins Internet Anwendung der Prinzipen «segregation-of-duties», «least privilege» und «need-to-know» Sicherheitstechnische Redundanz Bisher ist eine diversitäre, funktionell unabhängige analoge Leittechnikebene in allen Kernkraftwerken vorhanden. 18

19 1. Kurzportrait 2. Werkzeuge für die Aufsicht 3. Aufsicht der IT-Sicherheit 4. Anforderungen an die IT-Sicherheit in Kernanlagen 5. Fragestellungen der Aufsicht 19

20 Diskussionspunkt 1: Schutz gegen was? Sicherung: Definition einer Gefährdungsannahme, um die Anforderungen an die Sicherungsmassnahmen zu bestimmen. Zuweisung der Verantwortungen an Betreiber und Staat Gefährdungsannahme basiert u. a. auf: Sicherheitspolitische Lage Verfügbare Waffen, Hilfsmittel und Werkzeuge Modus Operandi Abgleich mit Nachbarsländer und internationalen Erfahrungen IT-Sicherheit: Welche Verantwortung kann/muss der Staat übernehmen? 20

21 Diskussionspunkt 2: Supply Chain Cyber Security Der Wirkungsbereich der Aufsicht ist das Areal der Kernanlage und auf Systeme mit möglicher Rückwirkung auf sicherheitsrelevante IT-Systeme der Kernanlage. Wie kann die Sicherheit durch die Einbindung der Hersteller, Lieferanten oder Subunternehmer erhöht werden? Zertifizierungen der Firmen? Common Criteria for Information Technology Security Evaluation? Z. B. EAL 4 (= methodisch entwickelt, getestet und durchgesehen)? Was wäre, wenn der Staat «minimale» Vorgaben für alle Firmen machen würde? (Nutzen? Aufwand?) IT-Sicherheitsgesetz? (Beispiel Deutschland) 21

22 Diskussionspunkt 3: Wie misst man die Performance? Statt präskriptive Vorgaben gilt beim physischen Schutz die Festlegung leistungsorientierter Ziele und die Beurteilung/Messung derselben als vorzuziehende Variante für den Nachweis des effektiven Schutzes. Wie misst man die Performance der IT-Sicherheit? Was genau beweisen z. B. Penetration Tests? 22

23 Vielen Dank.

24 Für mehr Informationen besuchen Sie uns auf: