Anlegg og installasjoner i petroleumssektoren skal ha beredskapsplaner for håndtering av uønskede hendelser. Næringen har scenarioer som kan knyttes til IKT-hendelser men Havindustritilsynet (Havtil) har i tilsyn sett at det trenes for lite på håndtering av IKT-sikkerhetshendelser i de industrielle kontroll- og sikkerhetssystemene. Derfor har vi utarbeidet et sett med trenings- og øvelsesscenarioer.
Bakgrunn
Aktivitetsforskriften § 23 stiller krav om at personell skal kunne håndtere operasjonelle forstyrrelser på en effektiv måte. De fleste vil nok da tenke på fare- og ulykkessituasjoner med mønstringsalarm, PA-meldinger, beredskapssentral og kommunikasjon med 2.-linje på land. Det er sjelden at IKT-hendelser passer inn i dette mønsteret.
Erfaringer
Havtil har gjennom tilsyn, og ved å være observatører i beredskapssentralen på land, sett at det er vanskelig å gjennomføre gode øvelser innen IKT-sikkerhet i industrielle IKT-systemer. Dette skyldes blant annet at det ikke er relevante kompetansekrav, at den enkelte ikke vet hva som er aktuelt å trene på og at det ikke finnes lett tilgjengelig øvingsopplegg.
Nytt øvingsmateriell
Som en del av satsingen «IKT-sikkerhet – robusthet i petroleumssektoren» har Havtil utarbeidet et utkast til øvingsmateriell. Den første delen av dette materiellet er nå klargjort. Øvelsene tar utgangspunkt i problemstillingene:
- Sosial manipulering
- Varsel om verdikjedeangrep
- Modifikasjoner ved fjernarbeid
Siden disse øvelsene faglig er rettet mot IKT-sikkerhet i industrielle IKT-systemer vil de fleste øvelsene være rettet mot:
- SAS/IACS-ansvarlig
- Lokal driftsledelse
- Systemansvarlig drift
- IKT-avdeling
Øvelsene er ikke lagt opp til å eskalere til beredskapssituasjoner, og bør derfor kunne gjennomføres innenfor begrensede kostnadsrammer.
Havtil planlegger å publisere to pakker til i løpet av 2025.