Olje- og gassindustrien er blant de mest modne bransjene når det gjelder cybersikkerhet i industrielle kontrollsystemer (OT). Sammenlignet med mange andre sektorer har bransjen hatt både ressurser og regulatoriske krav som har drevet sikkerhetsarbeidet fremover.
Likevel er det en utfordring som går igjen hos mange operatører og som, etter min mening, utgjør en betydelig risiko for sikkerheten i
bransjen: Manglende samarbeid og informasjonsdeling fra leverandører.
Som rådgiver innen OT-cybersikkerhet jobber jeg daglig med operatører og industriselskaper som forsøker å få bedre oversikt over egne systemer, redusere risiko og å etablere overvåking av kritiske OT-miljøer.
Gang på gang møter vi de samme barrierene: begrenset tilgang til informasjon, manglende transparens og leverandører som ikke ønsker å samarbeide om sikkerhetsarbeidet.
I praksis opptrer mange leverandører som om de fortsatt eier systemene de har levert – selv etter at de er installert og satt i drift på en rigg eller plattform.
Men leverandøren er ikke systemeier. Systemeier er operatøren.
Systemeier må ha oversikt
Det er operatøren som er ansvarlig for sikkerheten i anlegget, for etterlevelse av regulatoriske krav og for å håndtere risikoen i systemene. Standarder som IEC 62443 og en rekke regulatoriske krav forutsetter nettopp dette: at systemeier har oversikt over egne systemer, kan gjennomføre risikovurderinger og iverksette nødvendige sikkerhetstiltak.
Dette blir svært vanskelig når informasjon fra systemene i praksis kontrolleres av leverandørene. Konsekvensen er at mange operatører mangler grunnleggende innsikt i egne OT-miljøer. De har begrenset mulighet til å overvåke trafikk i systemene, vet ikke alltid hvem som er koblet til systemene til enhver tid, og mangler nødvendig informasjon for å gjennomføre gode risikovurderinger.
Dette står i direkte motsetning til anbefalinger fra både myndigheter, standarder og sikkerhetsmiljøer.
Et annet problem er den økende kommersialiseringen av cybersikkerhet fra leverandørsiden. Mange leverandører tilbyr egne sikkerhetsløsninger knyttet til systemene de leverer. Det kan i seg selv være positivt, men det skaper også en risiko for at operatøren blir avhengig av leverandøren for å oppnå innsikt i egen sikkerhet.
Sikkerhet kan ikke outsources til alle leverandører som har levert et system til en rigg eller plattform. Operatøren må ha helhetlig kontroll over sikkerheten i sine egne OT-miljøer.
Det innebærer blant annet å kunne etablere uavhengig overvåking av nettverk og systemer, ha tilgang til nødvendig teknisk dokumentasjon og kunne samarbeide med leverandørene om å håndtere sårbarheter og hendelser. Her har operatørene også et ansvar.
Må stille krav
Operatørene må stille tydeligere krav til sine leverandører når det gjelder åpenhet, tilgang til informasjon og samarbeid om sikkerhet. Uten dette vil det være svært vanskelig å etablere den oversikten og kontrollen som kreves for å sikre kritiskeindustrielle systemer.
Det finnes heldigvis gode utgangspunkt for dette arbeidet. Initiativer som SANS sine fem grunnleggende tiltak for OT-sikkerhet gir et godt fundament for å etablere bedre kontroll og redusere risiko i industrielle miljøer. Men uten samarbeid mellom operatører og leverandører vil dette arbeidet stoppe opp.
Bransjen er avhengig av leverandører med høy kompetanse og gode løsninger. Samtidig må det være tydelig hvem som eier systemene – og hvem som har ansvaret for sikkerheten. Det ansvaret ligger hos operatøren. Brannfakkelen er dermed kastet.
Operasjonell teknologi er samfunnssikkerhet
