Nasjonal sikkerhetsmyndighet har gitt ut en samling tiltak for IKT-sikkerhet i I(K)T-systemer. På oppdrag fra Ptil har vi gjennomført en evaluering av disse tiltakene, og finner at med noen få unntak er de relevante også for prosesskontrollsystemer i petroleumsindustrien, men at en del tiltak krever noen ekstra tillempninger.
I illustrasjonen har vi angitt på et overordnet nivå i hvilken grad de enkelte prinsippene er direkte relevante for prosesskontrollsystemer (også kjent som OT-systemer) (merket med [v]), om de inneholder ett eller flere tiltak som krever ytterligere vurdering/tillempning (merket med [!]), eller om de ikke er relevant for OT (merket med [x]). Av totalt 118 tiltak fra NSMs grunnprinsipper er 96 [v], 18 [!] og 4 [x].
Grovt sagt har vi merket oss følgende:
- OT-systemer har gjennomgående mye lenger levetid enn hva man opplever i IT, og derfor kan man i mindre grad forvente at operativsystemer og programvare til enhver tid er oppdatert med siste tilgjengelige versjoner (ei heller alltid sikkerhetsoppdateringer)
- NSM vil gjerne at alle forbindelser (trådløse som trådbundne) skal krypteres, men dette lar seg ikke alltid gjør ei OT, spesielt på de lavere lagene.
- OT nettverk kan være sårbare for “uvanlig” trafikk, så bruk at “Intrusion Prevention System” og forskjellige former for penetrasjonstesting må gjøres med forsiktighet.
- Når sikkerhetshendelser oppdages, må man vise forsiktighet ved f.eks. terminering av prosesser som ser ut til å være berørt, ettersom dette kan konsekvenser for HMS/trygghet og krav til oppetid.
Som en del av oppdraget har vi også vurdert om det finnes elementer i NIST Cybersecurity Framework som ikke dekkes av NSMs grunnprinsipper, og vi kommer med konkrete anbefalinger til mulige tillegg i denne forbindelse. Hele rapporten kan leses her: https://sintef.brage.unit.no/sintef-xmlui/handle/11250/2835081