Skjerpet innsats for IKT-sikkerhet

Nye teknologiske løsninger, deling av data og sammenkobling av systemer skal gi oljebransjen positive gevinster – men bidrar også til økt sårbarhet. Ptil møter utfordringene med mer kunnskap og flere tilsyn.

Informasjons- og kommunikasjonsteknologi (IKT), med datamaskiner, programvare, systemer og nettverk, er uunnværlig for sikkerhet og effektiv drift på oljeplattformer og landanlegg.

- De industrielle IKT-systemene ivaretar styring av prosesser, overvåker mulige gassutslipp eller branntilløp og foretar sikker nedstengning av innretninger og anlegg. Dette er snakk om sikkerhetskritisk utstyr og løsninger, og disse må ha god og robust beskyttelse, også mot IKT sikkerhetshendelser, sier Ptils Espen Seljemo.

Ptil har fulgt opp næringens arbeid med IKT-sikkerhet i mange år. Oppmerksomheten har vært rettet mot de industrielle IKT-systemene og selskapenes arbeid med å beskytte disse.

- IKT-sikkerhet handler om å beskytte programvare og kritiske systemer både mot tilsiktede og utilsiktede hendelser, sier Seljemo, som leder mange av Ptils prosjekter på dette området.

Sammenkobling og sårbarhet

Utviklingen gir mange muligheter og fordeler, men sikkerheten må settes først. Det er viktig å forstå hvilke konsekvenser innføring av nye løsninger har for risikobildet.

Ulike systemer og programmer som før var isolerte, er blitt integrert og koblet sammen - ikke bare lokalt, men også mellom industrielle IKT-systemer på plattformer og anlegg, og til kontorsystemene på land. Det er en økende trend å dele data fra disse systemene til utstyrsprodusenter og -leverandører og andre samarbeidspartnere. Arbeid du før måtte reise ut på en plattform for å utføre, kan du nå gjøre fra land.

Den økende digitaliseringen gjør petroleumsindustrien mer sårbar som følge av avanserte, digitale trusler og sårbarheter. Løsninger som gir økt effektivitet, konkurransekraft og høyere sikkerhetsnivå kan også øke sårbarheten og eksponere nye angrepsflater. Systemer, prosesser og utstyr kan fjernstyres. Både menneskelige feil og feil på utstyr kan føre til forstyrrelser i driftsregularitet og økonomiske tap. Samfunnet som helhet opplever at dataangrep øker i omfang. Endringene i risikobildet krever at aktørene løpende har oppmerksomhet mot å forbedre sin IKT-sikkerhet og evne til å håndtere uønskede hendelser.

Krever årvåkenhet

- Det er viktig å understreke at IKT-sikkerhet ikke er noe nytt, verken for oss eller for næringen for øvrig. Allerede i 2006 utarbeidet bransjen en retningslinje om IKT-sikkerhet i industrielle systemer. Vi gjennomførte vårt første tilsyn med dette som spesifikt tema i 2007. IKT-sikkerhet er senere fulgt opp av Ptil med en rekke tilsyn. Vi har også tatt dette inn i trepartssamarbeidet, sier Seljemo.

- Utviklingen går fort og endringstakten er høy. IKT-sikkerhet er ett av områdene som blir påvirket av økt digitalisering. Nye løsninger og teknologier tas raskt i bruk, samtidig som risikobildet stadig endres. Utviklingen gjør at vi er mer sårbare enn før.

- Vi må være føre var for å ivareta HMS, og vi må ha oppdatert kunnskap, understreker han.

Fire år

Ptils arbeid med IKT-sikkerhet er nå kraftig styrket.

- Dette er tema som vil få stor oppmerksomhet i årene som kommer, sier Seljemo.

Ptils fagmiljø for IKT-sikkerhet økes med flere stillinger. I tillegg er etaten tildelt ekstra midler fra ASD, og Ptil vil i fireårsperioden fra 2018 til 2021 ha en rekke aktiviteter rettet mot næringens oppfølging av IKT-sikkerhet.

- En viktig del av satsingen handler om å innhente kunnskap, slik at vi får et helhetlig bilde av IKT-utfordringene og risikoforholdene i bransjen. Vi vil gå i dybden på en del viktige områder og innhente kunnskap om den teknologiske utviklingen som nå foregår, og hvordan den påvirker risikobildet, opplyser Seljemo.

- Ptil vil beskrive endringer og drivere som påvirker trussel- og risikobildet, og identifisere eventuelle områder hvor det er nødvendig å gjøre mer for å hindre tilsiktede og utilsiktede handlinger.

- Målet vårt er å bidra til at næringen holder et forsvarlig sikkerhetsnivå, at den har god nok kompetanse og metoder og at IKT-systemene og prosessene rundt disse er robuste og pålitelige, sier Seljemo - og understreker at kunnskapen som samles inn, vil bli tilgjengelige og deles med næringen.

Vi må være føre var for å ivareta HMS, og vi må ha oppdatert kunnskap. 

Flere tilsyn

Ptil følger samtidig opp næringens arbeid med IKT-sikkerhet gjennom tilsyn.

- Vi har ført tilsyn med IKT-sikkerhet i en årrekke, og vi konsentrerer oss om de områdene hvor vi anser risikoen for størst.

- For 2019 er det planlagt flere tilsyn innen IKT-sikkerhet for industrielle systemer. Her vil vi se på utvalgte selskaper og deres implementering og drift av industrielle IKT-systemer på innretninger og anlegg, sier Seljemo.

- Vi vil også undersøke at prosedyrer og rutiner blir fulgt opp på den enkelte innretning og robustheten i disse systemene.