Den norske oljebransjen har hittil ikke vært tilstrekkelig opptatt av informasjonssikkerhet, men det blir nødt til å endre seg i nær fremtid, mener forsker.
From Incident Response to Incident Response Management: Case studies from the oil and gas industri (IRMA)
Viktige publiseringer:
M. B. Line, E. Albrechtsen, S. O. Johnsen, O. H. Longva, and S. Hillen, «Monitoring of Incident Response Management Performance,» Konferansepublikasjon, International Conference on IT-Incident Management & IT-Forensics (IMF 2006), Stuttgart, Germany 2006
S. O. Johnsen, C. W. Hansen, M. B. Line, Y. Nordby, E. Rich, and Y. Qian, «CheckIT – A program to measure and improve information security and safety culture,» International Journal of Performability Engineering vol. 3 (1 Part II), pp. 174–186, 2007.
M. B. Line, E. Albrechtsen, M. G. Jaatun, I. A. Tøndel, S. O. Johnsen, O. H. Longva, I. W.: A Structured Approach to Incident Response Management in the Oil and Gas Industry. Konferansepublikasjon, 3rd International Workshop on Critical Information Infrastructures Security (CRITIS’08), October 13–15, 2008, Frascati (Rome), Italy
– Bransjen er nemlig midt inne i et teknologisk paradigmeskifte som kan gjøre plattformer og andre installasjoner mer sårbare for virusangrep, hackere og andre digitale trusler, sier forsker Martin Gilje Jaatun.
Oljebransjen har nedlagt mye arbeid i det sikkerhetsarbeidet som innebærer at operasjonene ikke skal skape trusler mot liv og helse.
– Men oljeselskapene og leverandørindustrien har ikke vært like flinke til å fokusere på et annet aspekt, nemlig informasjonssikkerheten. Det finnes fortsatt ikke gode nok rutiner på dette området, forteller Jaatun.
Han er faggruppeleder for informasjonssikkerhet ved SINTEF IKTs Avdeling for systemutvikling og sikkerhet. Informasjonssikkerhet kalles også datasikkerhet og handler om å beskytte datasystemer mot hackere, virus, ormer og andre typer angrep.
IKT i oljebransjen har tradisjonelt blitt brukt til å styre lukkede prosesser uten kobling til omverdenen, og det fantes ingen beskyttelsesmekanismer av den typen som har vært nødvendig i den landbaserte og nettverksbaserte IKT-bransjen, som bruker mye Internett og e-post.
Men nå er oljebransjens produksjonssystemer og administrasjonssystemer i ferd med å smelte sammen, fordi utviklingen går raskt i retning av det som kalles Integrerte Operasjoner (IO).
IO går kort fortalt ut på økt IKT-støtte til operasjoner på oljeplattformer og andre installasjoner. Dette manifesterer seg i alt fra samhandling i sann tid mellom operasjonsrom på hav og land, til fjernstyring av prosesser på sokkelen av personell som sitter ved vanlige pc-er i nettverk på land.
Dette skaper helt nye problemstillinger, fordi produksjonssystemene risikerer å bli eksponert for både virus og ormer og andre trusler som tidligere bare kunne ramme «vanlige» bedrifter.
Underrapportert
Forskere ved SINTEF IKT og SINTEF Teknologi og samfunn har dybdeintervjuet nøkkelpersoner i oljebransjen for å undersøke hvordan det står til med informasjonssikkerheten.
De konstaterte at det har vært et økende antall såkalte sikkerhetshendelser ved produksjonssystemene de siste årene, men ingen av dem har så langt fått alvorlige konsekvenser.
– Vi tror det er mye underrapportering på dette området. Oljebransjen har gode systemer for å rapportere hendelser som kan true liv og helse, men de samme systemene kan vanskelig brukes for å rapportere for eksempel virusangrep eller andre hendelser som kan true informasjonssikkerheten.
– Dataprogrammene som brukes har for eksempel ikke kategorier eller felter som passer til formålet. Det har også forekommet at operatører har vært usikre på om de egentlig var utsatt for en hendelse, eller om de kanskje gjorde en feil som kunne rettes ved å slå pc-en av og på igjen.
– En tredje årsak til underrapportering kan være at folk er usikre på hva slags konsekvenser en rapportering kan få for dem selv, forteller Jaatun.
Det konkluderes derfor med at oljebransjen bør fokusere sterkere på informasjonssikkerhet i fremtiden.
– Vi tror det bør gjøres en økt innsats for å utvikle indikatorer som proaktivt kan måle sikkerheten ved de ulike installasjonene. Hvis bransjen utvikler en falsk følelse av sikkerhet fordi det hittil ikke har vært mange hendelser, risikerer den å bli utsatt for en flodbølge av angrep i fremtiden, heter det i en rapport fra IRMA-prosjektet.
Plattformsjefene passer på
Annonse
– Under dybdeintervjuene har vi fått høre om flere mindre hendelser som kunne ha utviklet seg til noe dramatisk. Skrekkscenariet er at en hacker bryter seg inn og overtar styringen av en hel oljeplattform, men noe slikt har ennå ikke skjedd så langt vi vet.
– Men det vi har hørt om, er at datautstyr i et prosessmiljø er blitt ustabilt på grunn av en virusinfeksjon. Slike angrep har foreløpig ikke fått store konsekvenser, og i dagens situasjon har man faktisk en ekstra sikkerhet fordi det fortsatt finnes folk på plattformene.
– Plattformsjefene har muligheten til å overstyre alt som skjer der ute. Men om noen år, hvis IO fører til at bemanningen på plattformene reduseres til et minimum, kan dette bli et større problem, utdyper Jaatun.
– Oljebransjen selv snakker om at overgangen til Integrerte Operasjoner skal kunne skape gevinster i størrelsesorden hundrevis av milliarder. Dette er altså prosesser av enorm viktighet for både bransjen og hele landet.
– En god informasjonssikkerhet, innbefattet gode metoder og teknikker for registrering og håndtering av uønskede hendelser, er helt nødvendig for å muliggjøre denne viktige overgangen, sier Jaatun.
Gode metoder gir bedre sikkerhet
Hendelseshåndtering i oljebransjen har mange paralleller til brannslukking: Det er om å gjøre å ha et brannvesen som er godt forberedt, og som vet hva de skal gjøre når det skjer noe.
I IRMA-prosjektet er det utviklet en metode som kan brukes både til å håndtere uønskede hendelser, og til å lære av dem etterpå.
– IRMA-metoden i et nøtteskall består av tre faser. Først må man forberede seg på uønskede hendelser, deretter må man oppdage hendelsen og gjenopprette en normal drift, og deretter skal man trekke lærdommer av hendelsen.
– Det kan være vanskelig å lære av enkeltstående hendelser som aldri vil bli gjentatt, så derfor er det viktig at man utvikler robuste systemer som også kan håndtere uventede hendelser, sier Jaatun.
IRMA-metoden er først og fremst utviklet med tanke på oljebransjen, men den kan også anvendes i andre typer industribedrifter som anvender prosesskontrollsystemer og integrerte eller fjernstyrte operasjoner.
– Det er veldig viktig at man bruker hendelser som grunnlag for videre læring. Men det forutsetter at hendelsene blir rapportert, og det forutsetter igjen at det finnes gode rutiner som sørger for at rapportene virkelig blir brukt! Ingen ting er så frustrerende som å bruke tid og krefter på å rapportere hvis man ikke ser nytten av det.
Annonse
I regi av IRMA-prosjektet er det også utviklet et skjemabasert måleverktøy – CheckIT – som kan brukes til å måle den eksisterende sikkerhetskulturen og forbedre den. Statoil, Hydro, Telenor og Nasjonal Sikkerhetsmyndighet (NSM) har deltatt i dette arbeidet.
I regi av Oljeindustriens Landsforeningen (OLF) er det utviklet grunnleggende retningslinjer for informasjonssikkerhet i olje- og gassektoren. IRMA-prosjektet har inngått i og er en del av dette arbeidet.