Cyberangrep mot operasjonell teknologi (OT) er i liten grad destruktive, og konsekvensene er som regel kortvarige, argumenterer Tony Hesjevik i et nylig debattinnlegg.
Det er riktig at mange kjente hendelser har hatt begrenset varighet. Men å bruke gjenopprettingstid som mål på alvorlighet, gir et misvisende bilde av risikoen.
OT-systemer styrer fysiske prosesser som trykk, temperatur, kjemiske reaksjoner og mekaniske bevegelser. Når slike systemer påvirkes, handler det ikke bare om nedetid, men om sikkerhet for mennesker, miljø og kritisk infrastruktur. En kontrollert nedstengning er ikke det samme som en ufarlig hendelse; det er en siste barriere for å hindre at noe langt mer alvorlig skjer.
Fare for liv og helse
Historiske hendelser viser hva som har skjedd, ikke hva som er mulig. Et av de mest alvorlige eksemplene vi kjenner til, er Triton-angrepet i Saudi-Arabia i 2017, analysert blant annet av FireEye/Mandiant og ICS-CERT.
Her forsøkte angripere å manipulere sikkerhetssystemer direkte. Målet var ikke bare å stoppe produksjon, men potensielt å legge til rette for fysiske hendelser med fare for liv og helse. Angrepet mislyktes, men illustrerer tydelig at cyberoperasjoner i OT kan ha et helt annet skadepotensial enn det som fremgår av hendelser med rask gjenoppretting.
Utviklingen innen ICS-malware understøtter dette bildet. Fra Stuxnet i 2010 til Industroyer/CrashOverride (2016/2022) og nyere rammeverk som Pipedream (beskrevet av blant andre CISA og Dragos), ser vi en tydelig trend: Angrepene blir mer spesialiserte, mer målrettede og bedre tilpasset industrielle miljøer.
Samtidig peker flere analyser, blant annet fra NCSC og ENISA, på at kunstig intelligens vil kunne senke terskelen for å utvikle og tilpasse slike angrep.
Forenkler trusselbildet
Konsekvensen er at vi kan bevege oss fra et trusselbilde preget av lav frekvens og høy konsekvens til et scenario hvor både frekvens og konsekvens øker. Det utfordrer etablerte antakelser om hva som er «sannsynlig» og gjør historiske data mindre egnet som beslutningsgrunnlag alene.
Hesjevik forenkler trusselbildet ved å beskrive cyberangrep primært som kommunikasjon eller påvirkning. Cyberdomenet brukes riktig nok til signalering, men også til sabotasje, forberedelse til fremtidige operasjoner og etablering av skjult tilgang i kritiske systemer, noe som er godt dokumentert i åpne trusselvurderinger fra blant annet PST, NCSC og internasjonale sikkerhetsmiljøer.
På norsk sokkel og i annen kritisk infrastruktur er det riktig at det finnes robuste sikkerhetsmekanismer, inkludert fail-safe-prinsipper og mulighet for lokal drift. Samtidig vet vi at moderne OT-miljøer i økende grad er integrert med IT-systemer, leverandørkjeder og fjernaksessløsninger.
Dette er også fremhevet i flere tilsyn og anbefalinger fra Petroleumstilsynet.
Ansvar for å være forberedt
Derfor kan ikke risikovurderinger baseres utelukkende på historiske hendelser. Sikkerhetsnivået må dimensjoneres etter hva som er mulig, gitt kjente kapabiliteter og intensjoner hos trusselaktører. I OT er selv hendelser med lav sannsynlighet relevante dersom konsekvensene kan være katastrofale.
Olje- og energiselskaper forvalter samfunnskritisk infrastruktur. Det innebærer et ansvar for å være forberedt. Ikke bare på det som har skjedd før, men på det som kan skje. Å nedtone risikoen fordi vi så langt har unngått de mest alvorlige utfallene, er en tilnærming som ikke tåler møtet med den virkeligheten OT-systemer opererer i.
Spørsmålet er derfor ikke om cyberangrep er «kommunikasjon» eller «ødeleggelse». Spørsmålet er om vi tar høyde for at de kan være begge deler – og handler deretter.
.jpg)
Svensk cybertrussel skapte uro. Slik er norsk kraftforsyning sikret
