Rapportene bidrar til å samle og øke forståelsen for IKT-sikkerhet i sektoren og kan slik være med å øke robustheten mot uønskede hendelser i de industrielle IKT-systemene i petroleumssektoren. DNV GL har benyttet både litteraturstudier, intervjuer både med aktører i næringen og med representanter fra andre sektorer og myndigheter.

Kort om rapportene:

Regelverk og tilsynsmetodikk

Hensikten med dette delprosjektet har vært å vurdere om Ptils regelverk, slik det fremstår i dag, er hensiktsmessig i forhold til temaet IKT-sikkerhet og trusselbildet innenfor dette området. Tilsvarende om metodikken Ptil anvender for å utføre tilsyn med IKT-sikkerheten er hensiktsmessig gitt omfang av tilsynsobjekter og trusselbilde.

Cyber security SIS og egensikre komponenter, kommunikasjonsprotokoller

Delprosjektet har undersøkt IKT-sikkerhet i instrumenterte sikkerhetssystemer («Safety Instrumented System» (SIS)) og hvordan IKT-sikkerhet bygges inn i design av slike systemer og ivaretas i igangsetting og drift. En viktig del av leveransen er å vurdere hvordan sikkerhetsprinsippene beskrevet i IEC 61508/511 og IEC 62443 blir ivaretatt.

Delleveransen beskriver også trender og utvikling innen industrielle IKT-systemer knyttet til nettverksbaserte komponenter.

Resiliens mot cyberhendelser og kan blokkjede bidra?

Rapporten presenterer hvordan resiliens, med tilhørende metoder, kan anvendes for å gjøre IKT-sikkerhet knyttet til industrielle IKT systemer mer robust. Videre diskuteres om prinsipper for IKT-sikkerhet kan anvendes i relasjon til blokkjedeteknologi og hvordan sikkerheten kan ivaretas og eventuelt styrkes ved implementering av blokkjede.

Det diskuteres også, på bakgrunn av dagens informasjon og tilgjengelig forskning, om blokkjede kan bidra positivt til oppbygging av resiliens og muliggjøre nye metoder for å fremme cyber-sikkerhet knyttet til industrielle IKT-systemer (OT) og i skjæringspunktet mellom IT og OT.

Trening og Øvelse

Rapporten gir anbefalinger til krav og beste praksis relatert til trening og øvelse, inkludert beredskap for IKT-sikkerhetshendelser som er rettet mot industrielle IKT-systemer. Skillet mellom industriell IKT og IT utfordres og et angrep på administrative IT-systemer i kontornettet kan være et springbrett inn mot de industrielle IKT-systemene.

Digitalisering medfører at informasjon fra de industrielle IKT-systemer i stadig større grad blir tilgjengelige i kontor-systemer. Rapporten gir derfor også anbefalinger som er rettet mot IT-systemer som indirekte vil kunne påvirke virksomhetens industrielle IKT-systemer.

Telekommunikasjon og protokoller

Rapporten beskriver utfordringer og risiko i dagens telekommunikasjonsløsninger. Trender innen telekommunikasjon som vil kunne påvirke sikkerheten i petroleumssektoren de kommende år blir beskrevet. Mulige tiltak for å øke robustheten i telekommunikasjonsløsningene er diskutert.

Det er fokus på telekommunikasjonssystemer som er relevante for de tekniske installasjonene, både på land og til havs, samt forhold rundt mennesker, miljø og sikkerhet. Systemer DNV GL mener det er spesielle sikkerhetsutfordringer med, blir grundigere diskutert enn andre.