Anlegg og innretninger i petroleumssektoren skal ha beredskapsplaner for håndtering av uønskede hendelser. Næringen har scenarioer som kan knyttes til IKT-hendelser, men Havtil ser i tilsyn at det trenes for lite på håndtering av IKT-sikkerhetshendelser i de industrielle kontroll- og sikkerhetssystemene.
Vi har derfor utarbeidet et sett med trenings- og øvelsesscenarioer, se vedlegg nederst i artikkelen.
Bakgrunn
Aktivitetsforskriften § 23 stiller krav om at personell skal kunne håndtere operasjonelle forstyrrelser på en effektiv måte. De fleste vil nok da tenke på fare- og ulykkessituasjoner med mønstringsalarm, PA-meldinger, beredskapssentral og kommunikasjon med 2.-linje på land. Det er sjelden at IKT-hendelser passer inn i dette mønsteret.
KraftCERTs trusselvurdering for 2024 omtaler flere trusler mot virksomheter i petroleumssektoren. Trusler som fremheves som sannsynlige er blant annet innsidertrusler, utpressingsangrep, og angrep som utnytter avhengigheter mellom kontrollsystem og IT, slik at de har driftsforstyrrende effekt.
Nytt øvingsmateriell
Som en del av satsingen «IKT-sikkerhet – robusthet i petroleumssektoren» har Havtil utarbeidet et utkast til øvingsmateriell. Den første delen av materiellet er publisert tidligere, og vi publiserer nå et ytterligere sett med øvingsveiledere. Disse øvelsene tar utgangspunkt i problemstillingene:
- Aktør har tilgang i nettverket
- Innsider
- Bortfall av kommunikasjon
Aktør har tilgang i nettverket
Et kritiske scenario er at en aktør får tilgang til nettverket på anlegget eller innretningen og kan utføre ondsinnede handlinger. Trening og øvelse på dette scenariet bidrar til å teste virksomhetenes evne til å oppdage og håndtere slike hendelser, inkludert tidlige steg for å identifisere omfang, iverksette avgrensende tiltak og gjenopprette funksjon etter et angrep.
Erfaring fra slike øvelser viser at det er viktig å ha gode rutiner for logging og overvåking, kommunikasjon mellom hav og land, identifisere hvem som gjør hva med hvilket utstyr – og hvilke ferdigheter som vil kreves av utførende ressurser om bord og på land.
Innsider
Innsidertrusler er en vedvarende risiko for virksomheter i vår sektor. Å øve på scenarier der en medarbeider med lovlig tilgang til kontrollsystemene gjør endringer som fører til produksjonsforstyrrelser, er derfor viktig.
Øvelse og trening på håndtering av innsidertrusler kan også bidra til å avdekke svakheter i tilgangskontroll og rutiner. Dette gir virksomhetene mulighet til å forbedre iverksatte tiltak for å forebygge og håndtere slike hendelser.
Det er viktig å ha klare rutiner og tiltak for håndtering av innsidertrusler. Utvikling av rutiner og tiltak bør inkludere tekniske, sikringsfaglige og operative ressurser.
Bortfall av kommunikasjon
Tap av kommunikasjon kan ha alvorlige konsekvenser for innretninger og anlegg, både for drift og ivaretakelse av sikkerheten om bord. Øvelser i bortfall av kommunikasjon bidrar også til å verifisere virksomhetenes evne til å identifisere og vurdere de operative konsekvensene av manglende kommunikasjon.
Erfaring fra slike øvelser viser at det er viktig å ha redundante kommunikasjonsløsninger, trene personell på bruk av disse, samtidig som konsekvensene av bortfall av kommunikasjon må håndteres.
Målgruppe
Siden disse øvelsene faglig sett er rettet mot IKT-sikkerhet i industrielle IKT-systemer, vil de fleste øvelsene være rettet mot:
- SAS/IACS-ansvarlig
- Lokal driftsledelse
- Systemansvarlig drift
- IKT-avdeling
Øvelsene er ikke lagt opp til å eskalere til beredskapssituasjoner, og bør derfor kunne gjennomføres innenfor begrensede kostnadsrammer.
Havtil planlegger å publisere ett ytterligere sett av øvingsveilledere i løpet av 2025.