FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.3.10 Reduser risiko ved IoT-enheter.

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Reduksjon av risiko ved IoT-enheter og nettverkssikring

Kilden gir praktiske sikkerhetskrav for IoT-enheter og virksomhetens nettverk. Den peker særlig på at enheter bør ha oppdateringsmulighet, kunne endre standardpassord og bare bruke nettverk virksomheten kontrollerer. Den understreker også at enheter må overvåkes, isoleres i egne nettverkssoner og plasseres slik at uvedkommende ikke får fysisk tilgang. Dette er tiltak for å redusere angrepsflate og hindre at en sårbar enhet gir angripere fotfeste. For anskaffelser betyr dette at sikkerhet må vurderes før kjøp, og at krav til konfigurasjon, overvåkning, nettverksplassering og leverandørstøtte må tenkes inn i løsningen.

Betydning for anskaffelser

Brukes når anskaffelsen gjelder IoT-enheter, nettverksutstyr, skytilkoblede produkter eller andre IKT-komponenter som skal herd es og driftes sikkert. Relevansen ligger i valg av krav til funksjonalitet, sikkerhetsoppdateringer, standardpassord, trafikkovervåkning, nettverksisolasjon og fysisk plassering. Kilden er særlig nyttig ved utforming av kravspesifikasjon, risikovurdering, kontraktsvilkår og kontroll av om leveransen faktisk kan sikres i drift.

Sentrale kildepunkter

  • IoT-enheter skal vurderes sikkerhetsmessig før kjøp, inkludert skyen enhetene kobler seg til.
  • Kjøp bare enheter som kan sikkerhetsoppdateres.
  • Enhetene skal kunne bytte standardpassord.
  • Enhetene skal kunne tvinges til å bruke nettverk virksomheten har kontroll over.
  • Trafikken fra enhetene skal overvåkes.
  • Enhetene skal isoleres i egne nettverkssoner.
  • Plassering må vurderes slik at uvedkommende ikke får fysisk tilgang.

Berørte bestemmelser

  • FOA § § 15-1 – Brukes som bakgrunn for å innarbeide sikkerhetskrav i anskaffelsesdokumentene for IKT- og IoT-løsninger.
  • LOA § § 5d – Relevans for anskaffelser der sikkerhet i leveransen og kontroll med risiko er sentralt.
  • FOA § § 8-4 – Relevans for kravspesifikasjon og hvordan sikkerhetskrav til enheter og nettverk beskrives i konkurransen.
  • FOA § § 19-1 – Relevans for kontraktsvilkår om sikkerhetsoppdatering, standardpassord, nettverkskontroll og overvåkning i driftsfasen.
Fulltekst

2.4. Beskytt virksomhetens nettverk

Målet med prinsippet: Virksomheten kontrollerer og beskytter nettverkene sine mot interne og eksterne trusler. Hvorfor er dette viktig? Virksomhetens eget nettverk strekker seg ofte ut over kontorlokalet og gjør det utfordrende å definere den fysiske utbredelsen. En virksomhet kan ha flere geografiske lokasjoner, og tjenester kan være satt ut til leverandører. Skillet mellom innsiden og utsiden av virksomhetens nettverk blir stadig mindre. De ansatte benytter ofte mobile enheter og har behov for å arbeide hjemmefra og på reise. Videre vil mange virksomheter benytte seg av eksterne tjenester som ytterligere kompliserer situasjonen. Tilkobling av virksomhetens nettverk til Internett eller andre nettverk utenfor virksomhetens kontroll eksponerer systemene for nye angrepsflater. Enheter og datatrafikk kan også angripes fra innsiden: en kompromittert server eller klient (både virksomhetsstyrt, innleid eller privat), en utro tjener, en (kompromittert) leverandører med tilgang til nettverket, svakt sikret trådløse nett eller manglende fysisk sikring av porter/kabler. Virksomhetens nettverk bør derfor sikres godt mot både interne og eksterne trusler, og enheter bør ikke ukritisk stole på alt som er tilkoblet eget nettverk. Tilgangen til nettverket bør sikres og dataflyt på nettverket bør beskyttes med kryptering. Anbefalte tiltak: Beskytt virksomhetens nettverk ID Beskrivelse Nettverksikkerhet er viktig både for maskinvarebasert enheter og virtualiserte enheter («sky- basert»).