Denne artikkelen er skrevet av Guro Hotvedt og Andrea Skytterholm på bakgrunn av deres masteroppgave.
Industrielle kontrollsystemer brukes til å kontrollere og monitorere produksjonsutstyr, hvor tilgjengelighet er avgjørende. Disse systemene blir også omtalt som operasjonell teknologi (OT), og har tradisjonelt sett eksistert i isolerte nettverk. Fokuset for trening og beredskapsøvelser i petroleumsindustrien har i hovedsak vært safety når det kommer til disse systemene. Siden OT-systemene nå er mer eksponert mot internett enn tidligere som følge av digitaliseringen, trengs det også fokus på security i beredskapsøvelser og trening. I en rapport fra DNV GL, “Trening og Øvelse”, skrevet på oppdrag fra Petroleumstilsynet (Ptil) i 2020, blir det trukket frem at industrien ikke har klare nok retningslinjer, og veiledere, for hvordan man skal øve når det gjelder cyberangrep rettet mot de industrielle kontrollsystemene. DNV GL oppfordrer Ptil til å utgi egne eller vise til andres eksisterende veiledere innenfor dette området.
I vår masteroppgave ønsket vi å bidra på dette området. Vi har sett på scenariobeskrivelser som brukes i beredskapsøvelser, og hovedsakelig fokusert på diskusjonsøvelser. Målet var å finne ut hva som gjør et øvingsscenario realistisk og hensiktsmessig. Vi så også på hvilke kriterier som må evalueres for å oppnå et hensiktsmessig og realistisk scenario. Et hensiktsmessig scenario er et scenario som gir øvelsen verdi for deltakerne og organisasjonen som øver. Et realistisk scenario betyr at scenariet blir sett på som noe som kunne skjedd i virkeligheten, og dermed er viktig å være forberedt på.
For å oppnå dette målet utarbeidet vi to leveranser: to lister med kriterier og en samling med eksempelscenarier. Den ene listen gir kriterier for hva som kjennetegner et realistisk og hensiktsmessig scenario, mens den andre listen gir kriterier som må oppfylles for at en samling med scenarier skal være hensiktsmessig. Scenariosamlingen inneholder 8 ulike scenarier med varierende temaer som omhandler cyberangrep mot industrielle kontrollsystemer.
Fra kriterielisten ønsker vi å trekke frem fem punkter vi mener er avgjørende for å utarbeide et scenario som er hensiktsmessig og realistisk. Først og fremst bør scenariet være basert på dagens trusselbilde. Det er hensiktsmessig å øve på dagens trusler, for å kunne håndtere hendelser som har sannsynlighet til å oppstå. Et slikt scenario vil også være realistisk og få deltakerne til å se nytten i å øve på en slik situasjon.
Videre anbefaler vi å dele opp scenariet i flere deler der dette er passende. Delene vil bli presentert til deltakerne med jevne mellomrom, noe som reflekterer en virkelig situasjon og gjør at scenarioet oppleves realistisk. I en virkelig hendelse vil man ha lite informasjon tilgjengelig når den oppdages, men etter hvert som man får gjort undersøkelser, vil man få et mer fullstendig bilde av hendelsen. Et annet punkt som er med på å gjøre et scenario realistisk er å gjøre det plausibelt. Dette betyr at situasjonen beskrevet er realiserbar.
De to siste punktene vi ønsker å trekke frem, er viktigheten av å utforme et scenario som fører til en øvelse som både er utfordrende og gir mestringsfølelse til deltakerne. En øvelse som både utfordrer deltakerne, og som skaper mestring, vil være med å på å sikre at scenariet og øvelsen er hensiktsmessig, samt gir et verdifullt læringsutbytte. Dersom scenariet er for enkelt vil ikke deltakerne lære noe nytt, og hvis det er for vanskelig vil de ikke klare å løse situasjonen. Både for enkle og for vanskelige scenarier kan føre til at deltakerne mister motivasjonen og ikke ser nytteverdien i å øve på en slik hendelse.
Gjennom intervju med industrien har vi fått innspill på at det kan være vanskelig å tilpasse scenarier til en øvelse. Det kreves mer av et scenario enn en god scenariobeskrivelse for å sikre at scenariet fører til en hensiktsmessig øvelse. Vi har derfor utarbeidet en egen mal som også inkluderer andre aspekter enn kun scenariobeskrivelsen. Denne malen er brukt i scenariene vi har vedlagt.
Videre ønsker vi å trekke frem to scenario-tema som vi anser for å være spesielt aktuelle for industrien i dag. Å øve på et ransomware-angrep ser vi på som nødvendig da vi har sett flere eksempler på dette i andre industrier. I tillegg trekker de fleste intervjuobjektene frem ransomware som den trusselen de frykter mest. Senest så vi viktigheten av å være forberedt på et slikt angrep da Colonial Pipeline, som er en del av en kritisk infrastruktur i USA, ble angrepet av ransomware i mai i år. Det andre temaet vi ønsker å trekke frem er å øve på et scenario som skaper uvisshet om hendelsene som oppstår er forårsaket av tekniske feil eller av et cyberangrep. Funn fra intervju viser at cyberangrep ofte ikke vurderes som en mulighet når hendelser oppstår, men at fokuset heller ligger på tekniske feil. Vi ser derfor et behov for å øke bevisstheten hos førstelinjen av cyberangrep som mulig årsak til ulike hendelser. De to introduserte scenariene er vedlagt i sin helhet til denne posten.
Vår scenariosamling og våre kriterier er ment som en veileder. Vi anbefaler at scenariene tilpasses øvelsens mål, hensikt, form og omfang, for at de skal oppnå sitt fulle potensial. Det er også viktig at scenariene tilpasses selskapets systemer, slik at deltakerne opplever at scenariet er plausibelt. Videre anbefaler vi at industrien bruker de ulike kriteriene når de utvikler egne scenarier eller tilpasser eksterne scenarier. Scenariene og kriteriene er utformet til petroleumsindustrien, men kan også benyttes av andre industrier dersom de blir tilpasset.
I masteroppgaven som ligger vedlagt er alle scenarier og kriterier presentert i sin helhet.