Tom-Roger Stensberg skriver i Digi at leverandører hindrer OT-sikkerheten i olje og gass. Han har rett, men han beskriver symptomet. Årsaken er en styringssvikt som skjedde lenge før leverandøren ble et problem.
Alle systemeiere i prosessindustrien vet at sikkerhetsrisikoen for -systemene er deres. De færreste handler deretter. Min erfaring er fra skogindustrien, ikke offshore, men dynamikken er likevel gjenkjennelig.
Fabrikken ble prosjektert slik
Et prosjekteringsfirma designer en fabrikk, og systemintegratorer leverer kontrollsystemer, instrumentering og automasjonspakker, ofte som underleverandører til EPC-kontraktøren. Når systemeiere overtar, er vilkårene for tilgangen allerede satt, ofte to eller tre ledd ned i kontraktskjeden.
Begrensningene på systemtilgang, diagnostikk og konfigurasjonssynlighet ble arvet fra et utbyggingsprosjekt der cybersikkerhet ikke sto på kravlisten. Ingen innkjøpsfeil. En prosjekteringsarv.
Sikkerhetsarkitektur på konsernnivå er vanligvis ikke inkludert i kravene til produksjonssystemer. Hver fabrikk får sin egen kontrollsystem-arkitektur og sine egne begrensninger.
De fleste store konsern i prosessindustrien er heller ikke ett organisk selskap. De er satt sammen gjennom tiår med oppkjøp og fusjoner. Hvert oppkjøpt selskap brakte med seg sine fabrikker, egne leverandørforhold og kontrakter.
Resultatet er variasjon. Hvert produksjonssted, hvert leverandørforhold og hver sikkerhetsforutsetning er ulik. System-integratoren har sin relasjon på fabrikknivå, ikke på konsernnivå. Konsernets sikkerhetsfunksjon har sjelden en rolle.
Ettermarkedet er forretningsmodellen
Leverandørene beskytter sine egne interesser, som Stensberg skriver. Men bildet er ufullstendig. For mange systemintegratorer i prosessindustrien utgjør ettermarkedsstøtte opptil 80 prosent av
omsetningen. Reservedeler, serviceavtaler, fjernovervåking og programvarevedlikehold.
Når dette er forretningsmodellen, gjenspeiles det i alle designvalg: Proprietære protokoller, begrensede diagnostikkverktøy og konfigurasjonsgrensesnitt som bare leverandørens ingeniører har tilgang til. Dette er ikke tilfeldige funksjoner. Det er en leverandør- og tjenesteavhengighet som ble prosjektert inn fra første dag.
Når den samme leverandøren tilbyr sikkerhetsovervåking som et tillegg, får systemeieren en interessekonflikt og et integrasjonsproblem for konsernets cybersikkerhet på kjøpet.
Standarder omfordeler ikke makt
Stensberg peker riktig på IEC 62443 og forventningen om at systemeiere opprettholder innsyn i sine OT-miljøer. Standarden er klar på hvem som eier risikoen.
Problemet er at en operatør kan være fullt klar over sikkerhetskravene, men likevel måtte velge mellom etterlevelse og driftskontinuitet fordi leverandøren kontrollerer tilgangen.
Det er ikke et sikkerhetsproblem. Det er en styringssvikt, og den skjedde før saken nådde konsernets eller divisjonens sikkerhetsteam. Utbyggingsprosjektet satte vilkårene. Kontraktstyring aksepterte
begrensningene. Konsernledelsen spurte aldri om sikkerhetskravene var ivaretatt.
Leverandøren er ikke skurken
Systemintegratorer handler rasjonelt innenfor sin egen insentivstruktur. Ettermarkedsinntekter opprettholder virksomheten. Proprietær tilgang beskytter ettermarkedsinntektene. Ingen av disse mekanismene krever ondsinnethet, bare kommersielle insentiver akseptert av systemeier uten spørsmål om sikkerhetskonsekvensene.
Men er ikke dette en bevisst avveining? Noen vil innvende at systemeieren aksepterte leverandøravhengigheten med åpne øyne. At det er en rasjonell avveining mellom driftsrisiko og sikkerhetsinnsyn.
Argumentet har noe for seg. En integrert leverandørløsning reduserer integrasjonsrisiko under prosjektering og idriftsettelse. De færreste
operatører har intern kompetanse til å overta det leverandøren gjør. Og avhengigheten har fungert i tiår. Fabrikkene produserer.
Ikke presentert for ledelsen
Problemet er at avveiningen sjelden ble tatt bevisst. Sikkerhetskostnaden ved leverandørlåsing ble ikke presentert for ledelsen som en risiko. Å akseptere en avveining bevisst, er styring. Å arve den uten å vite at den ble tatt, er det ikke.
Dette kan løses, men ikke ved å appellere til leverandørens velvilje. Systemeier kan stille sikkerhetskrav i prosjekteringsspesifikasjonen, forankre dem i konsernledelsen og være villig til å velge bort systemintegratorer som ikke oppfyller dem.
Dette krever styringsmodenhet som mange organisasjoner i prosessindustrien ikke har oppnådd ennå. Stensberg har rett i at systemeier eier risikoen. Spørsmålet er om selskapet faktisk styrer deretter.
Det er én ting vi kan lære av cyberoperasjonene mot Iran
