Bruk av nye kostnadseffektive driftskonsepter, digitale teknologier og økende avhengighet av digitale løsninger betyr at olje- og gassindustrien er utsatt for et nytt sett av sårbarheter og trusler. Samtidig som dataangrep øker i omfang, blir angrepene mer sofistikerte, vanskeligere å avdekke og verre å forsvare seg mot. Den økonomiske kostnaden for selskapene blir stadig høyere.
DNV GL overleverer i dag en rapport til Lysne-utvalget [1] som redegjør for de ti viktigste digitale sårbarhetene for selskaper som opererer på norsk sokkel.
Over 1100 forretningsledere over hele verden deltok i en DNV GL-ledet undersøkelse som avdekket at selv om selskaper aktivt håndterer informasjonsrisiko, har 6 av 10 (58%) valgt en ad-hoc ledelsesstrategi, og kun 27% har satt konkrete mål [2].
«Brudd på digital sikkerhet skaper sjelden de store overskriftene. Mange mindre angrep glir under radaren og blir ikke avdekket eller rapportert, siden mange organisasjoner ikke vet at noen har brutt seg inn i systemene deres. Første angrepslinje er ofte kontormiljøet i et olje- og gasselskap, og derfra arbeider angrepet seg videre gjennom produksjonsnettverket og prosesskontroll- og sikkerhetssystemene», sier Petter Myrvang, leder for Security and Information Risk, DNV GL, Olje og Gass.
Selv om rapporten er fokusert på norsk sokkel er problemstillingene like relevante for olje og gass-operasjoner hvor som helst i verden.
Topp ti digitale sårbarheter i olje- og gassektoren:
1. Manglende oppmerksomhet på og opplæring i digital sikkerhet hos ansatte
2. Fjernarbeid i forbindelse med drift og vedlikehold
3. Bruk av standardprodukter med kjente sårbarheter i produksjonsmiljøer
4. Mangelfull sikkerhetskultur i forbindelse med digitale sårbarheter hos underleverandører5. Utilstrekkelig separasjon av datanett
6. Bruk av mobile innretninger og lagringsenheter, inkludert smarttelefoner
7. Datanett mellom landinstallasjoner og oljefelt
8. Manglende fysisk sikring av datarom, koplingsskap, m.m.
9. Sårbar programvare
10. Utdaterte styringssystemer på anlegg.
DNV GL mener at sårbarheter relatert til digital sikkerhet kan håndteres gjennom en risikobasert tilnærming og bruk av «bow-tie»-modellen, kjent fra sikkerhetsbarrieremodellen. Denne tillater selskaper å identifisere trusler mot og sårbarheten hos anlegg og operasjoner. Den setter dem også i stand til å planlegge barrierer for å forhindre hendelser og minimere konsekvenser av eventuelle angrep. Dette inkluderer prosedyrer for å opprettholde barrierekvaliteten dokumentert i form av ytelsesstandarder.
«Ettersom alle produksjonsenheter for olje og gass nå er tilknyttet internett på en eller annen måte, vil det å beskytte nødvendig digital infrastruktur mot digitale angrep også sikre trygge operasjoner og optimal regularitet i produksjonen», sier Trond Winther, leder av Operations, DNV GL – Olje og Gass.
Selskapet anvender en uavhengig, risikobasert tilnærming for å utvikle, implementere, teste, overvåke og opprettholde sikkerhetstiltak mot digitale angrep for kunder verden over. Programvareløsningen Synergi™ Life – Risikostyringsmodul brukes for å etablere oppdatert et register over aktiva og risiko. Verktøyet muliggjør en kontinuerlig vurdering av sårbarheter og trusler, og for oppfølging av risikoreduserende tiltak.
1 Lysne-utvalget er en komité nedsatt av det norske Justis- og beredskapsdepartementet for å vurdere nasjonens digitale sårbarheter.
2 “Viewpoint Report. Is your company’s data secure?” DNV GL – Business Assurance, October 2015