Anlegg og innretninger i petroleumssektoren skal ha beredskapsplaner for håndtering av uønskede hendelser. Næringen har scenarioer som kan knyttes til IKT-hendelser, men Havtil ser i tilsyn at det trenes for lite på håndtering av IKT-sikkerhetshendelser i de industrielle kontroll- og sikkerhetssystemene.
Vi har derfor utarbeidet et sett med åtte trenings- og øvelsesscenarioer, se vedlegg nederst i artikkelen.
Bakgrunn
Aktivitetsforskriften § 23 stiller krav om at personell skal kunne håndtere operasjonelle forstyrrelser på en effektiv måte. De fleste vil nok da tenke på fare- og ulykkessituasjoner med mønstringsalarm, PA-meldinger, beredskapssentral og kommunikasjon med 2.-linje på land. Det er sjelden at IKT-hendelser passer inn i dette mønsteret.
KraftCERTs trusselvurdering for 2024 omtaler flere trusler mot virksomheter i petroleumssektoren. Trusler som fremheves som sannsynlige er blant annet innsidertrusler, utpressingsangrep, og angrep som utnytter avhengigheter mellom kontrollsystem og IT, slik at de har driftsforstyrrende effekt.
Erfaringer
Havtil har gjennom tilsyn, og ved å være observatører i beredskapssentralen på land, sett at det er vanskelig å gjennomføre gode øvelser innen IKT-sikkerhet i industrielle IKT-systemer. Dette skyldes blant annet at det ikke er relevante kompetansekrav, at den enkelte ikke vet hva som er aktuelt å trene på og at det ikke finnes lett tilgjengelig øvingsopplegg.
Fra godt sagt til godt gjort
Trussel- og risikovurderinger fra Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten (E-tjenesten) slår fast at trusselbildet på norsk sokkel er preget av vedvarende forhøyet risiko.
Statsminister Jonas Gahr Støre har fremhevet at de som jobber på plattformer og landanlegg må være årvåkne og oppmerksomme, og rapportere om uvanlige hendelser. Videre at «dette handler om å være bevisste på at omgivelser og systemer er slik de skal være; det handler om å melde fra om feil eller avvikende hendelser. Det vil gi økt sikkerhet for alle.»
Under fremleggingen av NSM sin trusselvurdering for 2025 understreket direktør Arne Christian Haugstøyl at nå er tiden for å gå fra godt sagt, til godt gjort i arbeidet med forebyggende sikkerhet. Behovet for å gjennomgå og øve på planer, og scenarier er viktig.
En av Havtils oppgaver er å rådgi sektoren, og gjennom dette bidra til at virksomhetene ivaretar sitt ansvar for sikkerheten på innretninger og landanlegg.
Nytt øvingsmateriell
Som en del av satsingen «IKT-sikkerhet – robusthet i petroleumssektoren» har Havtil utarbeidet et utkast til øvingsmateriell. Den første og andre delen av materiellet er publisert tidligere, og vi publiserer nå et siste sett med to øvingsveiledere. Til sammen utgjør dette åtte øvelser.
Øvelsene tar utgangspunkt i problemstillingene:
- Sosial manipulering
- Varsel om verdikjedeangrep
- Modifikasjoner ved fjernarbeid
- Aktør har tilgang i nettverket
- Innsider
- Bortfall av kommunikasjon
- Aktør har utført rekognosering
- Uregelmessigheter i datatraffikk
I forbindelse med publisering av den siste pakken har vi også oversatt samtlige veiledere til engelsk, etter forespørsel fra aktørene i næringen.
Målgruppe
Siden disse øvelsene faglig sett er rettet mot IKT-sikkerhet i industrielle IKT-systemer, er de fleste øvelsene særlig rettet mot:
- SAS/IACS-ansvarlig
- Lokal driftsledelse
- Systemansvarlig drift
- IKT-avdeling
Øvelsene er ikke lagt opp til å eskalere til beredskapssituasjoner, og bør derfor kunne gjennomføres innenfor begrensede kostnadsrammer.