Tre ikke-tekniske hovedutfordringer innen cyber-hendelseshåndtering som oljenæringen står ovenfor 

Cybersecurity Barrier Management-prosjektet har som mål å integrere operasjonelle, organisatoriske og tekniske barriereelementer innen cybersikkerhet med safety-barrierer. I dette prosjektet utfører jeg mitt PhD-prosjekt som fokuserer på å kartlegge de ikke-tekniske (operasjonelle og organisatoriske) barrierene som finnes innen cybersikkerhet. Igjennom en intervjustudie som ble gjennomført i fjor avdekket jeg tre hovedutfordringer som oljenæringen bør ta tak i.  

Utfordring 1: Manglende bevissthet rundt cybersikkerhet hos offshore personell 

Installasjonene har varierende grad av modenhet når det gjelder cybersikkerhet. Enkelte utviser forståelse for mulighetsrommet av cyber-hendelser som kan finne sted offshore, men det er bred enighet om at mange offshore bør trene på å se etter indikatorer på kompromittering på skjermer og HMI. I tillegg er det også en manglende kompetanse på omfanget til et potensielt storskalaulykke forårsaket av cyberangrep. For eksempel kreves det mer kunnskap og bevissthet av plattformsjefen og teknisk personell når cyber-hendelser blir en del av definerte fare- og ulykkescenarier (DFU). Systemavvik og -brudd kan oppstå pga. manglende vedlikehold, men også fordi noen har fått uautorisert tilgang.  

«Nei, jeg kan ikke se at det er noe her de kan overstyre og gjøre at det på en måte går i lufta, for det er så mye innebygd sikkerhet i alt, at det er litt sånn stand-alone da, ikke sant? nødgenerator, helt eget, ikke koblet til noe annet, egne startbatterier, egen dieseltank, det er ikke noe du kan hacke deg inn på den, for den er ikke koblet opp mot noe. Alt sånt nødutstyr er på en måte bygget på den filosofien da.» 

Plattformsjef

Utfordring 2: Begrenset forståelse for OT-systemer ved bruk av eksterne overvåkingstjenester 

Flere selskaper tar i bruk eksterne tjenester innen sikkerhetsovervåkning (SOC) som en del av sikkerhetstiltakene innenfor sitt OT-infrastruktur. Slike tjenester er fortsatt i startgropa, hvor det er nødvendig fra kunden og tilbyderen med tydeligere instrukser på systemkritikalitet og prioritering. Flere SOC-tjenester brukes fortsatt mest innen IT-systemer, og majoriteten av erfaring og kunnskap ligger her. Det er et behov for større kunnskapsdeling av normaloppførselen til industrielle systemer, slik at tjenestene deres kan tilpasses bedre, med relevante varsler og bedre informasjonsflyt under en cyber-hendelse. 

«Vi blir utfordret på hvordan vi tenker rundt dette, og noen ganger føler vi at vi har dårlig svar. […] Det er litt iboende for de produktene man bruker i SCADA-systemet, for eksempel er det veldig lukka, og man får ikke lov å gjøre noe med det. For da ryker alle garantier […] Så måten å løse det på er å jobbe med leverandører, og over tid å få dem til å hjelpe oss å skru på logging […]. Men det er veldig vanskelig å gjøre det bakover på legacysystemer. […]»

Ekstern SOC-tilbyder

Utfordring 3: Kulturforskjeller mellom IT- og OT-personell 

Selv om systemene mellom IT og OT blir mer integrert, er det fortsatt stor avstand mellom personene som jobber med domenene. OT blir fortsatt ansett til å være MacGyvers, som slukker brann og redder produksjonen. Med andre ord – svært drevet av fysiske hendelser. I motsetning fremstår IT som lite interesserte i å forstå de industrielle prioriteringene, og ønsker å implementere ny teknologi så snart den er tilgjengelig, uten å forstå alle konsekvensene den kan ha i OT-miljøet. Enkelte selskaper har møter mellom IT og OT, men sjeldent mer kommunikasjon mellom dem. Det eksisterer fortsatt en stor kultur- og språkbarriere, som kan bli et hinder for at kritisk informasjon forstås under et potensielt cyber-angrep.  

«[…] noen steder snakker de jo veldig tett sammen, men andre steder, hater de hverandre. Det er noen fundamentale naturlover i hvordan de opererer som man bør tenke på. […] de som jobber med OT, de er veldig drevet av hendelser. Og da snakker jeg ikke sikkerhetshendelser da, men sånn «nå ha den maskinen stoppet der borte»

Rådgiver innen OT-cybersikkerhet

Fremover vil jeg ta utgangspunkt i funnene som er gjort, og utføre ytterligere studier for å undersøke kommunikasjon mellom de ulike partene, blant annet hvordan SOC kommuniserer med sine kunder igjennom observasjonsstudier. Hvordan er det man bygger tilliten mellom ekstern SOC og kunde? Hva slags utfordringer gjelder for en SOC som primært overvåker OT-nettverk, som tradisjonelle IT SOC ikke har støtet på tidligere? Observasjonene vil foregå som ikke-deltakende møteobservasjon mellom SOC og et oljeselskap. Videre vil det også bli utført observasjon av full-skala cyberhendelser, for å kartlegge bevissthet av cybersikkerhetskunnskap i den skarpe enden. Hvordan får man personale i kontrollrommet ute på plattform mer bevisst cybertrusler på jobb? Og hvordan er det de samarbeider ved en potensiell cyber-hendelse der ute? 

Stay tuned!