Avinor IT-sikkerhet

Avinor IT sikkerhet er Avinorkonsernets senter for IT og cybersikkerhet. IT-sikkerhet er en kritisk funksjon for å nå definerte mål for konsernet som stilles fra myndigheter, nasjonale og internasjonale retningslinjer, krav og loververk.

Forventninger fra myndigheter, eier, kunder, reisende, luftfarten og internasjonalt stiller på forskjellige måter krav til god kontroll på IT-sikkerheten samt evne til å beskytte kritiske systemer mot driftsstans eller lekkasje av sensitiv informasjon.

Avinor IT-sikkerhet har ansvar for

  • konsernets IT og cybersikkerhet
  • konsernets IT sikkerhetsstrategiske retning
  • konsernets IT sikkerhetsrisikostyring

Dette innbefatter alle sikringstiltak, retningslinjer, rutiner og kontrollfunksjoner.

Forebygging og informasjonsdeling

Avinor IT sikkerhet arbeider på tvers av alle deler av Avinorkonsernet for å sikre informasjonsdeling på tvers av fagmiljøer. Avinor IT-sikkerhetsforum er en arena for deling av relevant informasjon. Der blir også utfordringer diskutert for å skape en konsensus på foreslåtte løsninger. Forankring på tvers av fagmiljø skaper trygghet for enhetlig fokus og en felles forståelse av risiko.

Innad i samferdselssektoren møter Avinor IT-sikkerhet de andre aktørene regelmessig for å utveksle erfaringer og diskutere problemstillinger som sektoren som helhet opplever.

Det gjennomføres intern kursing av egne ansatte årlig slik at man sikrer at alle har en grunnleggende forståelse av risiko og behov for forsiktighet.

Rådgivning og Prosjektdeltagelse

Det er viktig å få synligjort IT sikkerhets utfordringer i alle større prosjekter tidlig. Avinor har ett høyt antall pågående prosjekter til enhver tid i Avinor, mange av disse har behov for større deltagelse fra Avinor IT-sikkerhet. Andre klarer seg med enklere rådgivning underveis og der etablerte standarder/rutiner sikrer fremdrift på prosjektet.

Rådgivning på IT-sikkerhet tilbys til systemeiere, prosjekter eller andre samarbeidspartnere som Avinor har samarbeid med og der man avdekker at det kan være IT sikkerhets relaterte utfordringer.

Monitorering

Avinor monitorer kontinuerlig sine IT-systemer med IT-sikkerhet som fokus. Ved hjelp av sensorer og logger holder man oversikten over normal statusen til systemene. Avvik blir håndtert umiddelbart og ved behov eskalert (se hendelseshåndtering). Avhengig av kritikaliteten vil man kunne foreta kopi av data for bevisførsel og analyse i ettertiden.

Hendelseshåndtering (Avinor CSIRT)

Ved uoversiktlige IT-sikkerhets hendelser samles Avinor CSIRT (Cyber Security Incident Respons Team). Ansvarsområdet er konsernet som helhet med et tverrfaglig responsteam. Ansvaret er å koordinere og lede en hendelse frem til normalsituasjonen kan gjenopprettes.

Alle fagområder i Avinor vil kunne være representert, men gruppens faste medlemmer kommer fra seksjoner som jobber med IT-sikkerhet på daglig basis og forskjellig nivå.

Avinor CSIRT ledes og settes av IT-sikkerhet på konsern nivå.

Avinor CSIRT er også ansvarlig for koordinering av informasjon med CSIRT/CERT nettverkene samt bistå Avinorkonsernets krisestab.

Personvern (GDPR)

IT-sikkerhet jobber med å holde oversikt over all behandling av personopplysninger og dataflyt i Avinor, samt å være kompatibel med personopplysningsloven og kommende personvernforordning (GDPR). I tillegg skal IT-sikkerhet utarbeide retningslinjer og instrukser for behandling av personopplysninger i Avinor.

Risiko- og sårbarhetsanalyser

IT-sikkerhetsarbeid bygger på grundig kjennskap til og forståelse av de risikofaktorer som Avinor står overfor. I tillegg må eventuelle sårbarheter i de ulike IT-systemer og applikasjoner kartlegges og vurderes opp mot sannsynligheten for at disse kan bli avdekket og utnyttet. IT-sikkerhet er ansvarlig for å påse at disse analysene blir gjennomført. Ettersom risikobildet endrer seg over tid er det behov for kontinuerlig oppdatering av kunnskapen om både eksterne og interne trusselbilder, og analysene må derfor gjennomføres både periodisk og ved spesielle hendelser.

Sikkerhetsrevisjoner

Avinor IT-sikkerhet gjennomfører årlig flere revisjoner innenfor fagområdet. I tillegg vil revisjoner på økonomi, Luftfartstilsynet, NSM, og andre innleide selskaper også foreta revisjoner der IT-sikkerheten er i fokus.

Kontakt oss

Generelle henvendelser:
E-post: itsikkerhet@avinor.no

CSIRT
E-post: csirt@avinor.no

Vaktnummer: +47 64 81 23 23