Denne artikkelen er skrevet av Ingrid Volden og Thea Rydjord på bakgrunn av deres masteroppgave.
Integrering av IT-komponenter med industrielle kontrollsystemer har endret trusselbildet radikalt for OT (operasjonsteknologi), som medfører at IT og OT ansatte i oljeindustrien må samarbeidet om cybersikkerhetshendelser i større grad enn tidligere. Vi har sett mer på dynamikken mellom disse to gruppene i vår masteroppgave, hvor vi har intervjuet fire personer fra IT og fem fra OT innenfor oljebransjen. I tillegg har vi intervjuet et selskap fra energibransjen og et fra transportsektoren for å undersøke om utfordringene disse har, kan relateres til det som ble uttrykt fra respondentene fra oljebransjen. Hovedfunnene våre viser at økt samarbeid mellom de to gruppene er en prioritet for de deltagende bedriftene, men at det også er mangel på felles definisjoner, lite erfaring med trening og øvelse, og ikke alltid klare rolle- og ansvarsfordelinger.
Intervjuene våre med oljebransjen viser at bransjen har begrenset erfaring med cybersikkerhetshendelser, men intervjuene viser også at det mangler en felles definisjon, mellom IT, OT og industrien, på hvordan man skal definere en cybersikkerhetshendelse. IT, er vant til å bli angrepet, og det ofte, mens OT sjeldnere opplever hendelser. Vi ba deltakerne selv definere hva en hendelse var, og svarene vi mottok var svært forskjellige. Det var ikke noen sammenheng mellom svarene, verken mellom IT og OT, internt i bedriftene, eller på tvers. For eksempel var det ikke samstemte svar på om definisjonen skulle inkludere både tilsiktede og utilsiktede hendelse. Det kan være hensiktsmessig å etablere en felles definisjon, slik at rammene blir klarere dersom en hendelse skulle inntreffe.
Selv om få svarte at de har problemer med samarbeidet internt mellom IT og OT, kommer det frem av andre svar i løpet av intervjuene at dette ikke nødvendigvis stemmer. Forskjeller mellom miljøenes prioriteringer, slik som tilgjengelighet, integritet og konfidensialitet, kan anses som en årsak for at samarbeidet ikke er optimalt. Respondentene kom selv med anbefalinger til andre selskaper. En respondent trakk frem at en god løsning for å forbedre samarbeidet var å opprette et felles miljø for IT og OT hvor de jobber sammen for å diskutere og håndtere hendelser, så lenge selskaper står selv ansvarlig for både IT og OT. Selskapet fra transportsektoren jobber i dag på denne måten og er tilfreds med løsningen. En respondent fra et mindre selskap har heller valgt å ha felles møter for IT og OT og er fornøyd med denne. Å finne en slik løsning som åpner opp for mer samarbeid mellom IT og OT, enten det er gjennom å utføre arbeidsoppgaver sammen eller diskutere hendelser i løpet av noen fellesmøter, kan være nyttig for selskapene.
Ikke alle selskapene har like mye erfaring med trening og øvelse, som også kan være en grunn for at rolle- og ansvarsfordeling og samarbeid ikke er like klart internt i alle selskapene. På tross av dette trakk alle frem at trening og øvelse på cybersikkerhetshendelser som et viktig tiltak for å sikre seg, og noe de burde legge inn i planer og budsjetter fremover. De som har gjennomført større, praktiske øvelser, anbefaler sterkt dette videre. DNV GL, i en rapport på vegne av Petroleumstilsynet, anbefaler at man har minimum en øvelse årlig.
Intervjuene med selskapene i energibransjen og transportsektoren, viser at også de har mange av de samme utfordringene som oljebransjen. Noe av det som går igjen, er usikkerheten relatert til når man har og hvordan man skal håndtere en cybersikkerhetshendelse. Videre hadde transportselskapet gode erfaringer med å etablere en felles avdeling for både IT og OT cybersikkerhet, og begge nevner at et fokus på øvelser er viktig. Det er derfor muligheter for å samarbeide på tvers av industriene, noe som kan være fordelaktig i Norge, hvor man har et lite fagmiljø.
Gjennom intervjuene vises det at dynamikken mellom IT og OT er en prioritet for alle som deltok. Hvordan bedriftene velger å prioritere fremover, kan avhenge av ressursbruk og størrelse, men det er uansett spennende å følge utviklingen fremover! Som et resultat av oppgaven anbefales det å vurdere følgende tiltak:
- Bli enige om en felles definisjon mellom IT og OT på en cybersikkerhetshendelse.
- Involver både IT og OT ansatte i planlegging og gjennomføring av øvelser.
- Delta i eksterne forum, som også inkluderer andre enn kun aktører innenfor lignende sektor.