Mer enn 50 cybersikkerhetshendelser ble oppdaget i norsk energi- og olje og gassektor i 2014. Plattformoperatører trenger tiltro til at mottiltak kan håndtere større og mer sofistikerte cyberangrep. DNV GL samarbeider nå med Shell, Statoil, Lundin, Siemens, Honeywell, ABB, Emerson og Kongsberg Maritime for å utvikle en anbefalt praksis for å håndtere denne trusselen. Andre selskaper er velkomne til å delta i dette samarbeidsprosjektet.
Cybersikkerhet blir stadig viktigere i olje- og gassektoren. Mye av grunnen ligger i at kritiske nettverkssegmenter på produksjonsanlegg, som før var isolerte, nå er tilkoblet nettverk. Utviklingen går i retning av økt antall fjernoperasjoner, fjernstyrt vedlikehold og økt interoperatibilitet med sentraliserte prosessdata. Gamle og utdaterte installasjoner er særlig utsatt for risiko og krever risiko-reduserende tiltak.
- Vi ser at cybersikkerhetshendelser øker, og at det er daglige angrepsforsøk. Ved å samarbeide med andre i industrien, kan vi forsikre oss om at vi ender opp med ett sett reguleringer globalt som passer for olje- og gassektoren, sier Rune Wærstad, Kontroll- og Automasjonsingeniør, Shell.
For å ta tak i disse utfordringene har DNV GL etablert et samarbeidsprosjekt (Joint Industry Project - JIP) med flere aktører fra olje og gass næringen; Shell, Statoil, Lundin, Siemens, Honeywell, ABB, Emerson og Kongsberg Maritime. I tillegg vil Petroleumstilsynet være med som en observatør. Samarbeidsprosjektet vil lage en retningslinje for hvordan beskytte olje- og gassinstallasjoner mot cybersikkerhetstrusler. IEC 62443 standarden vil ligge til grunn, men retningslinjen vil være skreddersydd for olje- og gassindustrien. IEC 62443 standarden definerer hva som skal gjøres, retningslinjen vil si hvordan. Prosjektet vil resultere i:
- Redusert risiko for cybersikkerhetshendelser
- Kostnadsreduksjoner for operatører ved å minske ressurser som trenges for å definere krav og oppfølging
- Kostnadsreduksjoner for entreprenører og leverandører basert på identiske krav fra operatører
- Forenklede revisjoner for myndigheter og revisorer som følge av felles krav og felles samsvarserklæringer
- De fleste industrielle automasjons- og kontrollsystemer i olje- og gassinstallasjoner er sårbare for cybersikkerhetsangrep. Imidlertid viser DNV GLs forskning at bare 32 % av senior olje- og gass ansatte i Norge planlegger å investere i å forhindre, oppdage og reagere på cybersikkerhetsangrep, sammenlignet med det globale gjennomsnittet på 44 %, sier Pål Børre Kristoffersen, Principal Consultant, DNV GL – Olje og Gass.
- Det å bekjempe cybersikkerhetsutfordringer er blitt et veldig viktig fokusområde for olje- og gassektoren. Angrep blir dyrere og vanskeligere for selskaper å innhente seg fra. Dette samarbeidsprosjektet vil redusere risikoen for cybersikkerhetshendelser og kutte kostnader for operatører, entreprenører og leverandører ved å redusere ressursene som trenges for å definere krav og ved å drive frem en standardisert tilnærming, tilføyer Kristoffersen.
Samarbeidsprosjektet skal resultere i en retningslinje for cybersikkerhet for å kunne forenkle og klargjøre bruken av IEC 62443 for FEED, prosjekter og operasjoner. God praksis og gjenbrukbare mønstre skal defineres. Prosjektet vil resultere i en Recommended Practice (Anbefalt Praksis) (RP) for industriell automasjons- og kontrollsystemer. RPen er antatt å bli publisert om ca. 12 måneder.
DNV GL hjelper for tiden Total E&P Norge med å håndtere cybersikkerhetsrisikoer for feltutviklingen av Martin Linge og tilknyttede operasjoner offshore Norge. DNV GLs arbeid omfatter daglig styring og koordinasjon av cybersikkerhet i prosjektfasen og forberedelser til driftsfasen, med et spesifikt fokus på integrerte kontroll- og sikkerhetssystemer. Prosjektet tar også sikte på å øke bevisstheten om cybersikkerhetsrisikoer og å utdanne personale til å gjøre enkle, forebyggende tiltak.