Denne artikkelen er skrevet av Ingrid Volden og Thea Svenkerud Ryjord som del av deres masteroppgave.
Tradisjonelt har ikke cybersikkerhet vært et tema for industrielle kontrollsystemer. For å få innpass til systemene måtte man ha fysisk tilgang, siden systemene som regel hadde isolerte nettverk. I nyere tid har tradisjonelle IT-komponenter blitt integrert med de industrielle kontrollsystemene. Enda dette gir mulighet for fjernstyring og fører til effektivisering, introduserer det også et helt nytt trusselbilde som industrien er nødt til å beskytte seg mot. Olje og gass er en kritisk infrastruktur og Norsk Utenrikspolitisk Institutt har uttalt at industrien blir sett på som et attraktivt mål for angripere. Et cyberangrep mot f. eks. kontrollsystemene på en oljeplattform kan føre til fysiske endringer i produksjonsutstyret, som igjen kan få store konsekvenser for utstyr, miljø og ansatte på plattformen.
De ansatte som er ansvarlig for å drifte systemene som kontrollerer produksjonsutstyr (operasjonsteknologi – OT), har ofte vært adskilt fra ansatte som drifter de tradisjonelle IT-systemene. Disse to gruppene har ulike prioriteringer. Mens fokuset til den første har vært tilgjengelighet, altså å holde produksjonen gående, har fokuset til den andre gruppen vært konfidensialitet. I vår masteroppgave vil vi se på hvordan disse to gruppene håndterer sikkerhetsbrudd. Vi vil ta utgangspunkt i internasjonale standarder for IT og OT, slik som ISO/IEC 27035 og IEC 62443, for å kartlegge prosessen før, under og etter en cyber-hendelse. Mens ISO/IEC 27035 foreslår aktiviteter som bør gjennomføres gjennom fem definerte faser, adresserer IEC 62443 sikkerhetsproblemer i industriautomatiserings- og kontrollsystemer (IACS). For eksempel er det viktig i den første fasen av ISO/IEC 27035, “planning and preparing”, å trene de ansatte i henhold til den etablerte planen for informasjonssikkerhet, for å øke bevisstheten internt i bedriften. Andre aktiviteter som fremheves, er å logge all nettverksaktivitet, klassifisere anomalier og dele ny kunnskap både internt og eksternt.
Målet vårt er å legge frem et forslag til en forent prosess som både OT- og IT-ansatte kan ta utgangspunkt i. Ved å intervjue ansatte fra begge områder håper vi på å finne ut hvor prosessen er lik, og hvor det er store ulikheter. Vi håper at dette kan være til hjelp for industrien i fremtiden.
Oljebransjen er unik i at den har hatt et ekstremt fokus på sikkerhet. Andre bransjer som har kommet langt i digitaliseringsprosessen, og også har et fokus på sikkerhet, kan være av interesse. For å se om vi kan lære noe av deres utvikling, vil vi også kartlegge deres erfaringer.
Denne masteroppgaven veiledes av Lars Bodsberg, SINTEF, og Roy Myhre, TietoEvry. Faglærer er Maria Bartnes, SINTEF/NTNU.