I april publiserte KraftCERT sin sektorspesifikke trusselvurdering for petroleums- og kraftsektoren. Vurderingen peker på behov for økt årvåkenhet i både IT- og OT-systemer.
Innen IT fremheves phishing og misbruk av legitime verktøy (living off the land) som sentrale angrepsmetoder, mens det i OT pekes på eksponerte tjenester, åpne porter og svakt sikret utstyr som viktige risikofaktorer.
Cyberkriminalitet vurderes fortsatt som den mest vedvarende trusselen. I tillegg anses det som sannsynlig at pro-russiske hacktivister vil forsøke å ramme sårbar, internetteksponert infrastruktur.
Angrep mot IT-systemer vurderes som sannsynlige. Slike angrep kan påvirke drift og i noen tilfeller føre til driftsforstyrrelser der IT og OT er tett integrert. Samtidig er svakt sikrede OT-systemer særlig utsatt.
Hva betyr dette for petroleumssektoren?
KraftCERT vurderer det som sannsynlig at trusselaktører også vil gjennomføre angrep som kan gi driftsforstyrrelser. Vurderingen trekker frem at det mest sannsynlige scenarioet er at løsepengeangrep mot IT-systemer gir driftsforstyrrelser. Preventiv nedstenging eller isolering av OT og produksjon er eksempler på slike driftsforstyrrelser. Dette henger sammen med virksomheters usikkerhet knyttet til omfang under et angrep.
Videre understreker KraftCERT at det er meget lite sannsynlig at trusselaktører vil lykkes med tjenestenektangrep mot sikret OT-utstyr.
KraftCERT vurderer det også som meget lite sannsynlig med vellykkede destruktive angrep mot OT-systemer på kort sikt. Dette skyldes at slike angrep er svært ressurs- og kompetansekrevende, forutsetter inngående kjennskap til både det aktuelle anlegget og de fysiske prosessene, og krever utvikling og presis bruk av avansert skadevare.
Kunstig intelligens i trusselbildet
Teknologisk utvikling er også med på å forme trusselbildet. Kunstig intelligens (KI) bidrar til å øke tempoet i utviklingen av cybertrusler, særlig for trusselaktører med begrensede kapabiliteter. Samtidig endrer det ikke de grunnleggende strukturene i trusselbildet.
KraftCERT vurderer det som meget sannsynlig at KI vil øke volumet av angrep, spesielt fra mindre avanserte aktører. KI kan effektivisere informasjonsinnhenting og senke terskelen for å gjennomføre angrep.
Samtidig understrekes det i vurderingen at KI introduserer nye angrepsflater, med potensiale for nye inngangsporter og laterale bevegelser i nettverk. KI-systemer kan også i seg selv utgjøre sårbarheter.
Effektive tiltak krever situasjonsforståelse
For å kunne iverksette effektive tiltak krever det at virksomhetene har en god situasjonsforståelse. God situasjonsforståelse er en forutsetning for effektive tiltak og må utvikles gjennom en kombinasjon av egne erfaringer og vurderinger, andre virksomheters erfaringer og vurderinger, det nasjonale trusselbildet og sektorspesifikke vurderinger.
Havtil oppfordrer virksomhetene til å fortsette å bruke etablerte arenaer for samhandling og utveksling av informasjon, både med hverandre, myndighetene og sektorvist responsmiljø for petroleumssektoren.
KraftCERT sin tiltakspakke, der tiltak for de ulike truslene beskrives, vil bli publisert i løpet av høsten.