.jpg)
Digitalisering har gjort norsk olje- og gassindustri mer effektiv, mer fleksibel og bedre rustet for en framtid med lavere utslipp og høyere krav til effektiv drift.
Samtidig har digitaliseringen gjort industrien mer avhengig av komplekse IT- og kontrollsystemer. Det vil si systemer som kan bli mål for cyberangrep.
På oppdrag for Forskningsrådet og to oljeselskap har vi sett på kravene som stilles til vernet mot hackerangrep offshore. Konklusjonen vår er at oljeselskapene og myndighetene vil få et bedre bilde av kvaliteten til cybersikkerheten ved å utforme kravene til disse sikkerhetssystemene annerledes enn i dag.
Lær av «safety»-tiltakene
Mye solid og profesjonelt arbeid gjøres i dag med cybersikkerhet i norsk oljeindustri. Mange selskaper har bygget sterke tekniske forsvar, samt etablert sikkerhetsorganisasjoner og gode rutiner for håndtering av digitale trusler.
Enkle angrep avverges derfor hele tiden.
Like fullt: Basert på studien vår mener vi at den totale sikkerheten på plattformene vil styrkes om oljeselskap og myndigheter bygger om kravene til cybertiltakene. Nærmere bestemt etter mønster av kravene de stiller til tradisjonelle «safety»-tiltak på plattformer og i prosessanlegg.
Få cyberkrav er målbare
Risikoen for fysiske ulykker i oljeindustrien håndteres gjennom såkalte sikkerhetsbarrierer. I klartekst er dette ulykkesforebygging av flere typer. Alt fra systemer som oppdager og slår alarm om gasslekkasjer, til systemer for automatisk nedstengning av en oljeplattform.
Til slike system stilles konkrete krav om hva systemene skal gjøre og hvordan de skal følges opp over tid. Pluss krav om hvor godt de må fungere. Eksempelvis hvor raskt en gass-sensor må oppdage en lekkasje.
For cybersikkerhet har utviklingen skjedd på andre premisser. En av følgene er at svært få målbare ytelseskrav stilles til de systemene som skal stanse digitale angripere. Det er dette vi anbefaler å endre på.
Sikrere viten er målet
På området cybersikkerhet i olje- og gassnæringen, er kravene ofte stilt i form av brede formuleringer som «ha brannmur» eller «sørg for tilgangskontroll».
Ingen formelle krav stilles til hvor raskt cybertiltakene skal klare å slå ned et sofistikert hackerangrep. Og ingen testprotokoller beskriver hvordan dette skal undersøkes.
Mange selskap i oljeindustrien har fått på plass både effektive brannmurer, god tilgangsstyring og andre systemer for beskyttelse. Men slik kravene til denne typen sikkerhetssystemer er utformet i dag, er det vanskelig for de ansvarlige aktørene å få sikker viten om hvordan det egentlig står til med cybersikkerheten her og nå.
Ulik modenhet i bransjen
Studien vår viser at noen selskap allerede har tatt viktige steg mot å innpasse cybersikkerhet og tradisjonell sikkerhet i ett samlet system. Dette er arbeid som fortjener anerkjennelse, selv om noe må forbedres for at regelverkskravene til såkalt barrierestyring skal være oppfylt.
Samtidig ser vi at det er store forskjeller i modenhet på tvers av bransjen. Mange virksomheter mangler fortsatt klare definisjoner av hva som faktisk er en cybersikkerhetsbarriere, hvor godt den skal fungere, og hvordan status og eventuelle svekkelser skal følges opp.
Et sentralt funn er at informasjonen som ligger til grunn for cybersikkerhet ofte er spredt på tvers av systemer, fagmiljøer og levetidsfaser. Data om trusler, sårbarheter og hendelser eksisterer, men er ikke nødvendigvis strukturert på en måte som støtter en helhetlig styring av cybersikkerheten.
KI kan hjelpe til
Her ligger også en av de viktigste utviklingsmulighetene: Oljeindustrien trenger bedre informasjonsmodeller som knytter sammen cybersikkerhet, drift og sikkerhet i én felles struktur.
Slike modeller kan gjøre det mulig å forstå sammenhenger på tvers av systemer, levetidsfaser og fagdisipliner, blant annet ved hjelp av kunstig intelligens (KI) – og derfor gi et langt bedre beslutningsgrunnlag enn i dag.
Skal norsk energiindustri forbli konkurransedyktig og tillitsvekkende i en stadig mer digital verden, må også cybersikkerheten kunne styres med samme presisjon som annen kritisk risiko.
Advarer mot disse robotene
