Aker BP – Valhall PH – IKT-sikkerhet

Bakgrunn

Dette tilsynet er ett av en serie tilsyn i 2018 og 2019 rettet mot IKT-sikkerhet for de industrielle IKT-systemene i petroleumsvirksomheten.

Industrielle IKT-system beskyttes gjennom tiltak som også beskytter kontornettverkene. I tillegg er det barrierer og funksjoner som gir aktiv og passiv beskyttelse av disse systemene, slik at risikoen for sårbarheter som kan påvirke de industrielle IKT-systemene - både utilsiktede og tilsiktede handlinger - reduseres. Fellesfunksjonene driftes ofte sentralt av selskapet. Drift og vedlikehold av de industrielle IKT-systemene og tilhørende nettverksutstyr gjøres i hovedsak lokalt på innretningen i tett samarbeid med driftsorganisasjonen.

Mål

Målet med tilsynet var å verifisere hvordan selskapet følger opp styring av risiko knyttet til informasjonssikkerhet for de industrielle IKT-systemene som har grensesnitt mot kontorsystemene. Videre ville vi verifisere prosesser og systemer hos operatøren som benyttes for å sikre oppfølgingen av disse systemene og hvordan dette gjennomføres på hver enkelt enhet. Vi så også på om det var samsvar mellom overordnede prosedyrer og oppfølgingen av systemene på innretningen.

Resultat

Tilsynet identifiserte avvik fra regelverket. Beskrivelsen av disse forholdene er unntatt offentlighet, jf. Offentleglova § 24, 3. ledd. De vises derfor ikke under avvik i tilsynsrapporten.

Hva skjer videre?

Vi har bedt Aker BP redegjøre for hvordan avvikene vil bli håndtert. Fristen for tilbakemelding er satt til 5. august 2019.