§ 10 Dere skal sikre vannbehandlingsanlegget og distribusjonssystemet
- Dere skal sikre vannbehandlingsanlegget og distribusjonssystemet
- Dere skal sikre alle styringssystemene mot dataangrep
- Forebyggende sikring må ses i sammenheng med andre krav i forskriften
- Dere må etablere en sikkerhetskultur
Dere skal sikre vannbehandlingsanlegget og distribusjonssystemet
Som vannverkseiere har dere ansvar for at vannbehandlingsanlegget og alle relevante deler av distribusjonssystemet er tilstrekkelig fysisk sikret mot uautorisert tilgang og bruk. Dette gjelder også vanninntak, drikkevannsbasseng og pumpestasjoner.
Her er eksempler på hva dere bør vurdere behovet for i forbindelse med fysisk sikring av vannforsyningssystemet: spørsmål som kan avdekke om vannforsyningssystemet er godt nok sikret:
- tak på drikkevannsbassenget
- lås på inngangen til vannbehandlingsanlegg, drikkevannsbasseng og pumpestasjoner
- oversikt over alle nøklene som gir adgang, og hvem som disponerer disse
- rutiner for å erstatte nøkler og skifte låser
- alarm på inngangsdører og vinduer
- eget skap eller rom for innlåsing av kjemikalier som ikke er koblet på vannbehandlingssystemet for automatisk dosering
Denne listen er ikke fullstendig, og hvilke spørsmål som er relevante må vurderes for hvert enkelt vannforsyningssystem. Rapporter utarbeidet av bransjeforeninger (for eksempel Norsk Vann) og offentlige etater (for eksempel Direktoratet for samfunnssikkerhet og beredskap (DSB) og Folkehelseinstituttet) kan hjelpe dere med å vurdere hva som er tilstrekkelig.
Dere skal sikre alle styringssystemene mot dataangrep
Som vannverkseiere har dere ansvar for at digitale styringssystemer er tilstrekkelig sikret mot dataangrep. Her er eksempler på hva som bør vurderes for å kunne avgjøre om styringssystemene er godt nok sikret::
- Er styringssystemene koblet opp via internett?
- Er styringssystemene adskilt fra øvrige IKT-systemer?
- Hvilke sikkerhetsbarrierer ligger i programmerbare logiske styringsenheter?
- Hvor unike er passord for pålogging? Stiller dere høye krav til disse?
- Hvem har tilgang til passord?
- Hva ligger åpent på internett av kartdata og tekniske opplysninger?
- Hvilken grad av sikring ligger i elektroniske reserveløsninger?
- Har dere testet hvor lett det er å hacke seg inn?
Heller ikke denne listen er fullstendig, og hvilke spørsmål som er relevante, må vurderes for hvert enkelt vannforsyningssystem. Rapporter utarbeidet av bransjeforeninger (for eksempel Norsk Vann) og offentlige etater (for eksempel Direktoratet for samfunnssikkerhet og beredskap (DSB) og Folkehelseinstituttet) kan hjelpe dere med å vurdere hva som er tilstrekkelig. Rapportene «Veiledning for sikkerhet av driftskontrollsystemer for VA-systemer», «Sikkerhetsstyring for vannbransjen» og «Informasjonssikkerhet og skybaserte tjenester for vannbransjen» (publiseres 2018) fra Norsk Vann kan være eksempler på nyttige rapporter.
Forebyggende sikring må ses i sammenheng med andre krav i forskriften
Når dere arbeider med forebyggende sikring av vannforsyningssystemet, er det viktig at dere tar utgangspunkt i resultatene fra blant annet farekartlegging og farehåndtering og beskyttelsestiltak. Dette vil hjelpe dere til å få en effektiv og god produksjon av nok trygt drikkevann.
Dere må etablere en sikkerhetskultur
Skal de forebyggende tiltakene for sikring få effekt, må alle som gjør oppgaver for vannforsyningssystemet, få opplæring. Nasjonal sikkerhetsmyndighet definerer sikkerhetskultur som summen av de ansattes kunnskap, motivasjon, holdninger og atferd. En forutsetning for å skape den nødvendige sikkerhetskulturen er at alle forstår hva som er grunnlaget for sikkerhetskravene, og handler riktig ut fra dette.