ENERGISEKTOREN

Med hodet i sanden – om IT- og OT-sikkerhet på energisektorens store møteplass

Hva om hackere tok kontroll over en av våre gassrørledninger? Eller fikk tilgang til systemer om bord på en borerigg? Stadig mer av vår kritiske infrastruktur kobles på nett, og energisektoren virker tilsynelatende ikke bekymret. Når bransjen samles på ONS i Stavanger neste uke, står ikke IT- og OT-sikkerhet engang på agenda, skriver Tormod Fjellgård, markedssjef i Watchcom Security Group, i denne kronikken.

ONS samler titusenvis av deltakere fra energisektoren under tredagersarrangementet i Stavanger. Men cybersikkerhet får knapt noen oppmerksomhet, noe kronikkforfatteren mener er sjokkerende.ONS samler titusenvis av deltakere fra energisektoren under tredagersarrangementet i Stavanger. Men cybersikkerhet får knapt noen oppmerksomhet, noe kronikkforfatteren mener er sjokkerende.
ONS samler titusenvis av deltakere fra energisektoren under tredagersarrangementet i Stavanger. Men cybersikkerhet får knapt noen oppmerksomhet, noe kronikkforfatteren mener er sjokkerende.ONS samler titusenvis av deltakere fra energisektoren under tredagersarrangementet i Stavanger. Men cybersikkerhet får knapt noen oppmerksomhet, noe kronikkforfatteren mener er sjokkerende. Foto: ONS/Trine Sola Larsen
Av Tormod Fjellgård i Watchcom Security Group
25. aug. 2022 - 05:00
Markedssjef Tormod Fjellgård i Watchcom. <i>Foto:  Watchcom</i>
Markedssjef Tormod Fjellgård i Watchcom. Foto:  Watchcom

Tradisjonelt har en skilt mellom sikring av informasjonsteknologi (IT), for å beskytte data, og sikring av operasjonell teknologi (OT), for å sikre drift og beskytte kritisk infrastruktur. Dette var mindre komplekst tidligere, da OT-systemer ikke var koblet opp på internett. En snakket gjerne om «luften» mellom IT- og OT-systemer. Parallelt med behovet for tilgang på viktige data i sanntid, smelter derimot OT og IT mer og mer sammen. Det åpner opp for et mer omfattende risikobilde og helt nye trusler. 

Det kan i ytterste konsekvens føre til at uvedkommende får tilgang til kritiske samfunnsfunksjoner, fordi en ansatt klikket på feil lenke eller åpnet et vedlegg med ondsinnet kode. De stadig mer utspekulerte trusselaktørene vet å utnytte disse (ofte menneskelige) svakhetene. Når svært mange OT-systemer på toppen av det hele ikke er tilstrekkelig teknologisk sikret, blir det nesten for enkelt å lamme Norge. 

Varsellampene bør lyse

I undersøkelsen «The state of cyber security in the energy sector» avdekket DNV at kun fire av ti i norsk energisektor mener de er godt nok forberedt på et angrep på industrielle systemer (OT). Enkelte respondenter peker samtidig på et teknologisk gap i utviklingen av deres IT- og OT-systemer på over 15 år. Kun 47 prosent av de spurte mener OT-sikkerheten er like god som IT-sikkerheten. Varsellampene bør bokstavelig talt lyse.  

Når hele olje-, gass-, offshore- og energibransjen møtes i Stavanger for å gjøre opp status og se i krystallkula, er det derfor mildt sagt sjokkerende at cybersikkerhet og OT-sikkerhet ikke står på programmet. Kun en håndfull selskaper med løsninger og kompetanse på området, er med som utstillere, og det finnes ingenting om digital sikkerhet i kommunikasjonen fra ONS. Reflekterer dette holdningene til sektoren? Er det, som DNV avdekker, kun fire av ti ledere som har planer om å gjøre noe for å forhindre cyberangrep? Står det så dårlig til at en av tre innrømmer at virksomheten faktisk må rammes av et angrep før endringer skjer?  

Nok av tilfeller

Cyberangrepene blir mer omfattende og komplekse, og vi leser oftere og oftere om angrep på kritisk infrastruktur. Løsepengeangrepet mot Colonial Pipeline har de fleste hørt om. Til tross for at Colonial betalte kriminelle over 4,4 millioner dollar for å få tilbake deler av sine data, stengte hackere i en periode av tilførselen av olje til nordøstlige Amerika, med påfølgende drivstoffmangel, offentlige panikk og alvorlige økonomiske konsekvenser. Hvor mye skade de faktisk kunne påført USA, kan en bare tenke seg.  

I 2018 ble et større petrokjemisk anlegg i Saudi-Arabia offer for et omfattende angrep, hvor cyberkriminelle tok kontroll over sikkerhetssystemer for spenning, trykk og temperatur. Her lyktes de nesten med å skape en ukontrollert eksplosjon, og kun en feil i koden til angriperne gjorde at katastrofe ble unngått. Disse to tilfellene er dessverre ikke unike.  

Tegn til endring

De digitale sikkerhetsutfordringene står i kø for energisektoren – mangel på kompetanse, komplekse og uoversiktlige verdikjeder, utdatert utstyr og operatører og ansatte uten tilstrekkelig digital sikkerhetskultur. Men for en sektor som alltid har hatt HMS og fysisk sikkerhet øverst på agendaen, bør en bevisstgjøring og handlingsoppfordring innen cybersikkerhet være naturlig. Da kan det ikke nytte å stikke hodet i sanden, og ONS burde være en selvskreven arena.  

Heldigvis er det tegn til endring, og norsk bransje viser vei. Fortsetter vi å se på god IT- og OT-sikkerhet som en kontinuerlig prosess, ikke bare noe en gjør periodisk,  og inntar en mer pro-aktiv og interaktiv holdning til å overvåke, avdekke, isolere og forebygge, så er det håp.  

Det er kun gjennom åpenhet om trusselen, erfaringsutveksling og en mer felles front mot de cyberkriminelle, at olje-, gass- og resten av energisektoren vil lykkes i å forebygge angrep, forhindre tap av menneskeliv, unngå miljøkatastrofer, og redusere økonomiske tap. La oss ta plass og bidra til at bransjen snakker høyt om den digitale elefanten under ONS. 

Les også

Rammet av løsepengeangrep – fikk aldri noe krav

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.