Kortversjonen: - Havindustritilsynet trengte hjelp til å lage en rapport om sårbarheter i digitale forsyningskjeder i petroleumssektoren.
- Sopra Steria innhentet, strukturerte og drøftet informasjon om bruk av ny teknologi i industrielle IT-systemer.
- Rapporten bidrar til å samle og øke forståelsen for IKT-sikkerhet i sektoren.
|
Havindustritilsynet, tidligere Petroleumstilsynet (Ptil), følger opp selskapene i petroleumssektoren med tanke på det ansvaret de har for å sørge for HMS (helse, miljø og sikkerhet) og beskytte sine fysiske og digitale systemer. Rapporten viser at selskapene må være godt beredt med tanke på utviklingen innen digital teknologi og trusselbildet i verden.
Bakgrunn for rapporten
Tilsynet er underlagt Arbeids- og inkluderingsdepartementet (AID), og har myndighetsansvar for sikkerhet, beredskap og arbeidsmiljø i petroleumssektoren.
Utgangspunktet for rapporten er at:
Datasikkerhet er en forutsetning for fysisk sikkerhet.
Data må sikres i ro og i transit, et prinsipp som betyr at virksomhetene må beskytte data som ligger på ulike lagringsmedium og når den formidles over ulike informasjonskanaler.
Rask utvikling innen digital teknologi i og utenfor petroleumssektoren gir økt kompleksitet, nye sårbarheter og endringer i trusselbildet.
Data og informasjonssikkerhet blir stadig viktigere, og sektoren utfordres på kunnskapsutvikling, prosesser for styring, kontroll og risikostyring.
Den teknologiske utviklingen omtalt som «Industri 4.0», betyr at OT (operasjonell teknologi) integreres tett med IT og skytjenester, og gir muligheter for bedre kontroll på et sammensatt bilde av leveranser, systemer og datastrømmer mellom leverandører og operatørselskaper. Men samtidig gir det høyere kompleksitet, lengre verdikjeder og flere usikre faktorer for informasjonssikkerhet, IT-sikkerhet og generelt sikkerhetsarbeid.
Hva bidro Sopra Steria med?
Sopra Steria har i rapporten sammenfattet kunnskap og erfaring fra petroleumssektoren knyttet til sikkerhet for data og informasjon. Vi har brukt litteraturstudier og intervjuer med aktører i næringen og fra andre sektorer, samt kunnskap og erfaring fra eget arbeid med prosjekter og kunder.
Havindustritilsynet ønsket mer kunnskap om eierforhold og sikring av data i digitale forsyningskjeder i petroleumssektoren, for å støtte deres informasjons- og rådgivningsvirksomhet, utføre tilsynsmyndigheten mer målrettet og dele kunnskap med virksomhetene i næringen.
Rapporten drøfter at det ofte er flere selskaper i sum som har god innsikt i teknologiske løsninger for sikkerhet, lagring og overføring av informasjon. Dette skaper avhengigheter mellom leverandører i flere ledd. Sky, datalake, SaaS og nyere mekanismer for datatransport, kablet og trådløst, gir muligheter for mer leverandørstyrte leveranser og driftskontrakter i en digital verdikjede.
Rapporten fant at sammenkoblingen mellom flere systemer og løsninger som involverer flere aktører bidrar til mer komplekse leverandørkjeder. Det gjør det vanskeligere å få god oversikt og kunnskap om informasjonsverdier og -eiere, sårbarheter, trusler, sannsynlighet for hendelser og angrep med store konsekvenser for hele verdikjeden.
Verdi: Bidrar til IKT-sikkerhet
Gjennom Sopra Steria fikk kunden bistand til å hente inn, strukturere og drøfte informasjon om hvordan ny digital teknologi blir tatt i bruk for industrielle IKT-systemer i petroleumssektoren.
Rapporten bidrar til å samle og øke forståelsen for IKT-sikkerhet i sektoren. Den kan dermed være med å øke robustheten mot uønskede hendelser i de industrielle IKT-systemene i petroleumssektoren. Dette er et svært viktig mål for Petroleumstilsynet.
I rapporten drøftes også hvilke menneskelige, teknologiske og organisatoriske sårbarheter petroleumssektoren står overfor, og hvilke sentrale prosesser som kan måtte styrkes for få et godt arbeid med informasjonssikkerhet og IT-sikkerhet.
Etter at rapporten ble publisert arrangerte Sopra Steria en serie seminarer for å presentere funnene. Både Petroleumstilsynet, Nasjonal Sikkerhetsmyndighet, ResQ og Sintef deltok. Rapporten har også blitt presentert i andre sammenhenger, slik som ved Sintef CDS-forum og EnergyWorld-konferansen, og media har referert til den i forbindelse med den økte trusselsituasjonen i Europa.
Rapporten og seminarene om rapporten har bidratt til at tilsynet har fått satt temaet om robusthet og sikkerhet ytterligere på dagsorden.
Rapporten kan bidra til flere av FNs bærekraftsmål, spesielt:
Mål 9: Industri, innovasjon og infrastruktur - ved å bidra til å øke robustheten og sikkerheten i industrielle IKT-systemer i petroleumssektoren, som er en viktig del av infrastruktur.
Mål 16: Fred, rettferdighet og sterke institusjoner - ved å fremme bedre styring, kontroll og risikostyring knyttet til informasjonssikkerhet og IT-sikkerhet, som kan bidra til å styrke institusjoner og forebygge uønskede hendelser.
Les hele rapporten:
Den ferdige rapporten er publisert på Havindustritilsynet, tidligere Petroleumstilsynet sine hjemmesider.
Fakta om kunden:
Havindustritilsynet legger premisser for og følger opp at aktørene i sektoren holder et høyt nivå for helse, miljø, sikkerhet og beredskap. Gjennom dette skal tilsynet også bidra til å skape størst mulig verdier for samfunnet.
Tilsynet skal drive informasjons- og rådgivningsvirksomhet overfor aktørene, samarbeide med andre helse-, miljø-, sikkerhets (HMS)-myndigheter nasjonalt og internasjonalt og bidra til kunnskapsoverføring på HMS-området i samfunnet generelt.