Tradisjonelt har en skilt mellom sikring av informasjonsteknologi (IT), for å beskytte data, og sikring av operasjonell teknologi (OT), for å sikre drift og beskytte kritisk infrastruktur. Dette var mindre komplekst tidligere, da OT-systemer ikke var koblet opp på internett. En snakket gjerne om «luften» mellom IT- og OT-systemer. Parallelt med behovet for tilgang på viktige data i sanntid, smelter derimot OT og IT mer og mer sammen. Det åpner opp for et mer omfattende risikobilde og helt nye trusler.
Det kan i ytterste konsekvens føre til at uvedkommende får tilgang til kritiske samfunnsfunksjoner, fordi en ansatt klikket på feil lenke eller åpnet et vedlegg med ondsinnet kode. De stadig mer utspekulerte trusselaktørene vet å utnytte disse (ofte menneskelige) svakhetene. Når svært mange OT-systemer på toppen av det hele ikke er tilstrekkelig teknologisk sikret, blir det nesten for enkelt å lamme Norge.
Varsellampene bør lyse
I undersøkelsen «The state of cyber security in the energy sector» avdekket DNV at kun fire av ti i norsk energisektor mener de er godt nok forberedt på et angrep på industrielle systemer (OT). Enkelte respondenter peker samtidig på et teknologisk gap i utviklingen av deres IT- og OT-systemer på over 15 år. Kun 47 prosent av de spurte mener OT-sikkerheten er like god som IT-sikkerheten. Varsellampene bør bokstavelig talt lyse.
Når hele olje-, gass-, offshore- og energibransjen møtes i Stavanger for å gjøre opp status og se i krystallkula, er det derfor mildt sagt sjokkerende at cybersikkerhet og OT-sikkerhet ikke står på programmet. Kun en håndfull selskaper med løsninger og kompetanse på området, er med som utstillere, og det finnes ingenting om digital sikkerhet i kommunikasjonen fra ONS. Reflekterer dette holdningene til sektoren? Er det, som DNV avdekker, kun fire av ti ledere som har planer om å gjøre noe for å forhindre cyberangrep? Står det så dårlig til at en av tre innrømmer at virksomheten faktisk må rammes av et angrep før endringer skjer?
Nok av tilfeller
Cyberangrepene blir mer omfattende og komplekse, og vi leser oftere og oftere om angrep på kritisk infrastruktur. Løsepengeangrepet mot Colonial Pipeline har de fleste hørt om. Til tross for at Colonial betalte kriminelle over 4,4 millioner dollar for å få tilbake deler av sine data, stengte hackere i en periode av tilførselen av olje til nordøstlige Amerika, med påfølgende drivstoffmangel, offentlige panikk og alvorlige økonomiske konsekvenser. Hvor mye skade de faktisk kunne påført USA, kan en bare tenke seg.
I 2018 ble et større petrokjemisk anlegg i Saudi-Arabia offer for et omfattende angrep, hvor cyberkriminelle tok kontroll over sikkerhetssystemer for spenning, trykk og temperatur. Her lyktes de nesten med å skape en ukontrollert eksplosjon, og kun en feil i koden til angriperne gjorde at katastrofe ble unngått. Disse to tilfellene er dessverre ikke unike.
Tegn til endring
De digitale sikkerhetsutfordringene står i kø for energisektoren – mangel på kompetanse, komplekse og uoversiktlige verdikjeder, utdatert utstyr og operatører og ansatte uten tilstrekkelig digital sikkerhetskultur. Men for en sektor som alltid har hatt HMS og fysisk sikkerhet øverst på agendaen, bør en bevisstgjøring og handlingsoppfordring innen cybersikkerhet være naturlig. Da kan det ikke nytte å stikke hodet i sanden, og ONS burde være en selvskreven arena.
Heldigvis er det tegn til endring, og norsk bransje viser vei. Fortsetter vi å se på god IT- og OT-sikkerhet som en kontinuerlig prosess, ikke bare noe en gjør periodisk, og inntar en mer pro-aktiv og interaktiv holdning til å overvåke, avdekke, isolere og forebygge, så er det håp.
Det er kun gjennom åpenhet om trusselen, erfaringsutveksling og en mer felles front mot de cyberkriminelle, at olje-, gass- og resten av energisektoren vil lykkes i å forebygge angrep, forhindre tap av menneskeliv, unngå miljøkatastrofer, og redusere økonomiske tap. La oss ta plass og bidra til at bransjen snakker høyt om den digitale elefanten under ONS.
IBM er i konflikt med en av landets største offentlige IT-leverandører