Informasjons- og kommunikasjonsteknologi (IKT), med datamaskiner, programvare, system og nettverk, er nødvendig for tryggleik og effektiv drift på oljeplattformer og landanlegg.
Dei industrielle IKT-systema syter for styring av prosessar, overvaker moglege gassutslepp eller branntilløp og utfører sikker nedstenging av innretningar og anlegg.
Tryggleikskritisk utstyr og løysingar må ha godt, robust vern, også mot IKT-tryggleikshendingar.
Ptil har følgt opp arbeidet i næringa med IKT-tryggleik i mange år. Merksemda har vore retta mot dei industrielle IKT-systema og arbeidet selskapa gjer med å beskytte desse.
I Lysneutvalet (NOU 2015: 13- Digital sårbarhet – Sikkert samfunn) og i Traavikutvalet (NOU 2016: 19: Samhandling for sikkerhet) vart det peika på behov for å styrkje oppfølginga og innsatsen av IKT-tryggleik når det gjeld styrings- og kontrollsystem i olje- og gasssektoren. Ptil har derfor i perioden 2018–2021 fått tilført ekstra midlar frå Arbeids- og inkluderingsdepartementet for oppfølging av IKT-tryggleik. Hendingar i næringa stadfester kor viktig ei slik satsing er.
Informasjon og rettleiing
Ein vesentleg del av satsinga handla om å hente inn kunnskap, for å få eit heilskapleg bilete av IKT-utfordringane og risikoforholda i bransjen.
Vi har fått gjennomført ei rekkje utgreiings- og forskingsaktivitetar retta mot ulike aspekt av robustheit i industrielle IKT-system. Vi har fått bidrag frå, og delt kunnskap med, andre myndigheiter, akademia og fag- og forskingsmiljø nasjonalt og internasjonalt. Det er utarbeidd 13 rapportar og studiar i samarbeid med IRIS, DNV, Sintef, Sopra Steria og Proactima.
Les meir: IKT-sikkerhet i industrielle systemer
Utviklingsprosjekta har i hovudsak vore retta mot ulike aspekt av robustheit i industrielle IKT-system. Det er vurdert tekniske tiltak, operative løysingar, trening og øvingar i handtering av hendingar, og det er gjort ei evaluering av regelverk og tilsynsmetode.
Mange av rapportane skildrar kva IKT-tryggleik i industrielle system inneber. Desse rapportane er nyttige for å få ei overordna forståing for problemstillingar og forskjellar mellom IT-tryggleik generelt og utfordringane med industrielle system. Fleire av rapportane ser på kvar i systema IKT-tryggleik kan vere eit sentralt element.
Systemansvarlege vil kunne nytte desse rapportane som sjekkpunkt for å sikre eige ansvarsområde. Enkelte rapportar går meir inn på korleis ein kan auke IKT-tryggleik i industrielle system. Dette er rapportar som går inn i spesifikke fagområde som kommunikasjonssystem, bruk av modellbaserte system og utfordringane knytte til kravet om uavhengige tryggleikssystem.
Sjølv om pandemirestriksjonar har påverka utsiktene til fysisk deltaking på samhandlingsarenaer, har vi også i 2021 bidrege i fag-, bransje- og myndigheitsforum med erfaringsdeling frå tilsyn og kunnskapsaktivitetar.
Tilsyn
I 2021 har vi gjennomført seks tilsyn med IKT-tryggleik som tema med operatørar på utvalde innretningar og anlegg, og med operatørar som har høg profilering av digitaliseringsaktivitetar. Vi har over ein fireårsperiode ført tilsyn med dei fleste operatørar og reiarar og planlegg tilsyn med dei resterande i 2022.
I desse tilsyna har vi undersøkt om prinsipp og prosedyrar blir følgde opp i praksis, og om systema har dei løysingane for vern som er omtalt i styrande dokumentasjon.
Tilsynsaktivitetane avdekte at selskapa i hovudsak har styrande dokumentasjon og prosedyrar for å handtere IKT-tryggleik i industrielle system. Utfordringane er at desse berre i nokon grad blir følgde i det daglege arbeidet. Det blir også vist til manglar når det gjeld kompetanse, trening og øvingar og samhandling med leverandørar innanfor IKT-tryggleik.
Regelverk
I denne satsinga har vi arbeidd med å gjere regelverket tydeleg i form av rapportar om regulering og tilsyn. Regelverket er gjennomgått for å avklare bruk av meir generelle paragrafar, som er formidla til næringa for å bidra til auka forståing av vår regulering innanfor IKT. I dialog med næringa merkar vi at denne forståinga av regelverket blir forstått og akseptert.
Beredskap og hendingshandtering
Koordinering og kommunikasjon er sentrale element i beredskap og hendingshandtering, også innanfor IKT-tryggleik. I tilsynsaktivitetane har vi etterspurt trening så vel som øving med førstelinjepersonell, støttefunksjonar og leverandørar. Ein del av aktørane er avhengige av dei sentrale kompetansemiljøa i selskapa ved hovudkontor i utlandet.
Lysneutvalet tilrådde i NOU 2015:13 «at virksomhetene i sektoren enten inngår et samarbeid med KraftCERT eller finner andre løsninger for operativt samarbeid». Ein del av operatørane har valt å gå inn i samarbeid med KraftCERT for å styrkje sjansane for betre hendingshandtering.
Nasjonal Sikkerheitsmyndigheit har i Rammeverk for handtering av IKT-tryggleikshendingar framheva kor viktig sektorresponsmiljø (SRM) er. Ptil har hatt tett dialog med KraftCERT for å leggje til rette for eit sektorresponsmiljø for petroleumssektoren.
Effekt
Ettersom vi har følgt opp IKT-tryggleik i fleire spor og ved hjelp av fleire verkemiddel, opplever vi at den samla oppfølginga vår har hatt effekt i form av auka medvit og kunnskapsdeling om IKT-tryggleik i industrielle system.
Næringa gjev tilbakemelding om at rapportane er eit nyttig supplement til eigen kompetanse, særleg for mindre fagmiljø. På eit overordna nivå ser vi at satsinga innanfor IKT- tryggleik har bidrege til meir robuste organisasjonar og system til å handtere denne typen risiko.
Sikring mot medvitne angrep
Tryggleiks- og etterretningsmyndigheitene har påpeikt at Noreg står overfor eit komplekst risikobilete der framande statar ved hjelp av eit breitt utval verkemiddel forsøker å utnytte sårbarheiter i funksjonar, verksemder og system. Verksemder innanfor energi, olje og gass er vurdert som særleg utsette.
Verksemdene har ansvar for å sikre eigen aktivitet, inkludert personell, informasjon og infrastruktur, mot trugslar og medvitne anslag. Det krev at dei har gode system og robust beredskap for å kunne tilpasse sikringstiltaka, og at tiltaka er relevante for det aktuelle trugselbiletet.
Vi har også i 2021 gjennomført tilsyn innanfor dette temaet. Tilsynsaktivitetane har omfatta fysisk sikring, personelltryggleik og informasjonstryggleik. Blant anna har vi gjennomført ein tilsynsserie med sikring i heile logistikk-kjeda, som blir avslutta i 2022.
Vi gjennomførte i 2020 og 2021 ein møteserie med operatørselskapa for å undersøkje tilnærminga deira til, og handteringa av sikringsrisiko. Konklusjonen frå møteserien stør funn i anna tilsynsverksemd om at det sidan tilsvarande møteserie i 2014 har vore ei positiv utvikling innanfor sikringsfaget.
Leiingsforankring, utvikling av metodar og verktøy, saman med auka forståing, kunnskap og kompetanse, har gjeve resultat. Modningsnivået innanfor sikring har auka.
Dei samla tilsynsaktivitetane våre viser likevel at det framleis er utfordringar når det gjeld identifisering, styring og handtering av sikringsrisiko. Dette vil bli adressert i framtidig tilsyn. Erfaringar vil dessutan bli delte i ein eigen fagdag om sikring i 2022.
Meld deg på: Fagdag om sikring 15. juni 2022
Denne artikkelen er henta frå Ptil sin årsrapport for 2021 til Arbeids- og inkluderingsdepartementet. Heile årsrapporten kan du lesa her.