Behov for fortsatt økt årvåkenhet og høy beredskap i IKT-sikkerhetsarbeidet

Petroleumssektoren står overfor et vedvarende og alvorlig trusselbilde. Det er viktig at tiltak tilpasses det gjeldende trusselbildet og at hendelser rapporteres. Etterforskning av hendelser i industrisystemer aktualiserer dette.

Politiets sikkerhetstjeneste (PST) gikk onsdag 13. august ut og bekreftet at to angrep mot norsk industrisystemer er under etterforskning. Den ene hendelsen er angrepet mot damanlegget i Bremanger i Vestland tidligere i år, den andre hendelsen er ikke gjort kjent – men har likhetstrekk med hendelsen i Bremanger. PST ser hendelsene i sammenheng og har koblet sabotasjene til et pro-russisk hackerkollektiv.

I en presentasjon under Arendalsuka understreket leder for PST Beate Gangås at «Dette er virkemidler og metoder som Russland benytter for å påvirke sikkerhetssituasjonen i andre land. Målet er å påvirke det norske samfunnet, spre uro og ustabilitet, samt kartlegge våre styrker og svakheter.»

Trussel- og risikovurderinger fra Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten (E-tjenesten) slår fast at trusselbildet for norsk sokkel er preget av vedvarende forhøyet risiko.

Petroleumssektoren har jobbet med IKT-sikkerhet i mange år. Likevel stiller det vedvarende og alvorlige trusselbildet fortsatt store krav til virksomhetenes arbeid med IKT-sikkerhet. Det er også viktig at tiltak tilpasses det gjeldende trusselbildet. PSTs etterforsking av disse hendelsene aktualiserer dette.

Havtil er sektorresponsmiljø for petroleumssektoren

Havtil har et samarbeid med KraftCERT om utføring av operative oppgaver knyttet til sektorresponsmiljø funksjonen. Gjennom Havtils samarbeid med KraftCERT har operatører og redere tilgang til trusselvurderinger som er spisset inn mot sektoren.

Den årlige trusselvurderingen fra KraftCERT suppleres også med en årlig tiltakspakke som beskriver konkrete tiltak for hver av truslene.

Tiltakspakken for 2024 inkluderer tiltak, og anbefalinger til utførelse av tiltakene, som er relevante i forbindelse med hendelsene PST etterforsker.

Benytt herdede fjerntilkoblingsløsninger. Anbefalinger og tiltak knyttet til tekniske løsninger for fjerntilkobling samt overvåking av disse.
Utfør nettverksscann regelmessig. Anbefalinger knyttet til kontinuerlig overvåking av eksponerte grensesnitt og koblinger mot kontrollsystemer.
Sørg for tilstrekkelig loggdekning. Anbefalinger for tiltak knyttet til kontinuerlig overvåking av loggdata, som er essensielt for å oppdage angrep. Sentral loggtjener bør ha kapabiliteter til å overvåke og avdekke avvikende mønstre.
Ha fokus på aktivitetsmønstre og anomalier. Anbefalinger og tiltak knyttet til innsamling og korrelering av logger for å gi informasjon om taktikker og teknikker som blir brukt under angrep. Anvendelse av kunstig intelligens (KI) kan styrke trusselaktørers evner til å sammensette informasjon og tilpasse av angrepsteknikker.
Planlegg for beredskapsheving med tilgangsbegrensninger. Anbefalinger og tiltak knyttet til planlagt heving av beredskap som medfører begrensinger i manuelle tilganger og integrasjoner fra leverandører.

Tiltakspakken fremhever også at det er viktig å øve på angrepsscenarier. Effektiv håndtering av ulike typer angrep er konsekvensreduserende og kan bidra til å avskjære omfanget av angrepet og redusere trusselaktørens mulighet til å oppnå formålet med angrepet.

Gjennomføring av trening og øvelse på angrepsscenarier er viktig både for sikkerhetspersonell og driftspersonell. Samhandling og gjensidig forståelse for hverandres roller og tiltak samt hvordan disse samvirker for sikkerheten er viktig.

Som en del av satsingen «IKT-sikkerhet – robusthet i petroleumssektoren» har Havtil utarbeidet og tilgjengeliggjort et sett med øvingsmateriell, bestående av ni scenarier. Disse er tilgjengelig her: Treningsmateriell innen IKT-sikkerhet i industrielle IKT-systemer

Rapportering om uvanlige hendelser

I et intervju publisert i Havtils tidsskrift Dialog fremhevet statsminister Jonas Gahr Støre at «de som jobber på plattformer og landanlegg må være årvåkne og oppmerksomme, og rapportere om uvanlige hendelser.» Videre at «det handler om å melde fra om feil eller avvikende hendelser. Det vil gi økt sikkerhet for alle.»

Havtil vil gjenta denne oppfordringen, og minne om at feil og avvikende hendelser som kan knyttes til digitale angrep og cyberhendelser rapporteres til KraftCERT, som ivaretar den operative sektorresponsfunksjonen i petroleumssektoren.

Den enkelte virksomhet har ansvar for å ivareta tilstrekkelig digital sikkerhet. Samtidig er det viktig at virksomhetene rapporterer hendelser og observerte uregelmessigheter til sektorresponsmiljøene.

Sektorresponsmiljøenes rolle med å sammenholde hendelser i sektorer, og på tvers av disse, er en viktig del av den nasjonale motstandsdyktigheten. Hendelsene PST nå etterforsker understreker viktigheten av dette.

Hva leter du etter?

Alle forskrifter

Lover

Endringer og høringer

PDF av regelverket

Eldre forskrifter

Alle forskrifter

Lover

Endringer og høringer

PDF av regelverket

Eldre forskrifter

Tilsynsrapporter

Granskingsrapporter

Samtykker

Samsvarsuttalelser (SUT)

Meldingar om pålegg

Tilsynsrapporter

Granskingsrapporter

Samtykker

Samsvarsuttalelser (SUT)

Meldingar om pålegg

Alle tema

Risikonivå (RNNP)

Ord og uttrykk

Hovedtema 2025

Alle tema

Risikonivå (RNNP)

Ord og uttrykk

Hovedtema 2025

Arrangementer

Tidligere arrangementer

Arrangementer

Tidligere arrangementer

Trepartssamarbeid

Ansvarsfordeling

Sikkerhetsforum

Regelverksforum

Trepartssamarbeid

Ansvarsfordeling

Sikkerhetsforum

Regelverksforum

Kven er Havtil?

Organisasjon

Q&A: Forstå det norske regimet

Internasjonalt samarbeid

Ledige stillinger

Kven er Havtil?

Organisasjon

Q&A: Forstå det norske regimet

Internasjonalt samarbeid

Ledige stillinger

Kontaktpersoner

Innrapportering til Havtil

Søk om innsyn

Varsle oss