Forventninger fra myndigheter, eier, kunder, reisende, luftfarten og internasjonalt stiller på forskjellige måter krav til god kontroll på IT-sikkerheten samt evne til å beskytte kritiske systemer mot driftsstans eller lekkasje av sensitiv informasjon.
CIS har ansvar for
- konsernets IT og cybersikkerhet
- konsernets IT sikkerhetsstrategiske retning
- konsernets IT sikkerhetsrisikostyring
Dette innbefatter alle sikringstiltak, retningslinjer, rutiner og kontrollfunksjoner.
Forebygging og informasjonsdeling
CIS arbeider på tvers av alle deler av Avinorkonsernet for å sikre informasjonsdeling på tvers av fagmiljøer. CIS-forum er en arena for deling av relevant informasjon. Der blir også utfordringer diskutert for å skape en konsensus på foreslåtte løsninger. Forankring på tvers av fagmiljø skaper trygghet for enhetlig fokus og en felles forståelse av risiko.
Innad i samferdselssektoren møter CIS de andre aktørene regelmessig for å utveksle erfaringer og diskutere problemstillinger som sektoren som helhet opplever.
Det gjennomføres intern kursing av egne ansatte årlig slik at man sikrer at alle har en grunnleggende forståelse av risiko og behov for forsiktighet.
Rådgivning og Prosjektdeltagelse
Det er viktig å få synligjort IT sikkerhets utfordringer i alle større prosjekter tidlig. Avinor har ett høyt antall pågående prosjekter til enhver tid i Avinor, mange av disse har behov for større deltagelse fra Avinor IT-sikkerhet. Andre klarer seg med enklere rådgivning underveis og der etablerte standarder/rutiner sikrer fremdrift på prosjektet.
Rådgivning på IT-sikkerhet tilbys til systemeiere, prosjekter eller andre samarbeidspartnere som Avinor har samarbeid med og der man avdekker at det kan være IT sikkerhets relaterte utfordringer.
Monitorering
Avinor monitorer kontinuerlig sine IT og tekniske -systemer med IT-sikkerhet som fokus. Ved hjelp av sensorer og logger holder man oversikten over normalstatusen til systemene. Avvik blir håndtert umiddelbart og ved behov eskalert (se hendelseshåndtering). Avhengig av kritikaliteten vil man kunne foreta kopi av data for bevisførsel og analyse i ettertid.
Hendelseshåndtering (Avinor CSIRT)
Ved uoversiktlige IT-sikkerhets hendelser samles Avinor CSIRT (Cyber Security Incident Respons Team). Ansvarsområdet er konsernet som helhet med et tverrfaglig responsteam. Ansvaret er å koordinere og lede en hendelse frem til normalsituasjonen kan gjenopprettes.
Alle fagområder i Avinor vil kunne være representert, men gruppens faste medlemmer kommer fra seksjoner som jobber med IT-sikkerhet på daglig basis og forskjellig nivå.
Avinor CSIRT ledes og settes av IT-sikkerhet på konsern nivå.
Avinor CSIRT er også ansvarlig for koordinering av informasjon med CSIRT/CERT nettverkene samt bistå Avinorkonsernets krisestab.
Personvern (GDPR)
IT-sikkerhet jobber med å holde oversikt over all behandling av personopplysninger og dataflyt i Avinor, samt å være i samsvar med personopplysningsloven og personvernforordning (GDPR). I tillegg skal IT-sikkerhet utarbeide retningslinjer og instrukser for behandling av personopplysninger i Avinor.
Risiko- og sårbarhetsanalyser
IT-sikkerhetsarbeid bygger på grundig kjennskap til og forståelse av de risikofaktorer som Avinor står overfor. I tillegg må eventuelle sårbarheter i de ulike IT-systemer og applikasjoner kartlegges og vurderes opp mot sannsynligheten for at disse kan bli avdekket og utnyttet. IT-sikkerhet er ansvarlig for å påse at disse analysene blir gjennomført. Ettersom risikobildet endrer seg over tid er det behov for kontinuerlig oppdatering av kunnskapen om både eksterne og interne trusselbilder, og analysene må derfor gjennomføres både periodisk og ved spesielle hendelser.
Sikkerhetsrevisjoner
CIS gjennomfører årlig flere revisjoner innenfor fagområdet. I tillegg vil revisjoner på økonomi, vil Luftfartstilsynet, NSM, og andre innleide selskaper også foreta revisjoner der IT-sikkerheten er i fokus.
Kontakt oss
Generelle henvendelser:
E-post: it.sikkerhet@avinor.no
CSIRT
E-post: csirt@avinor.no
Vaktnummer: +47 64 81 23 23