Bakgrunn
Dette tilsynet er ett av en serie tilsyn i 2018 og 2019 rettet mot IKT-sikkerhet for de industrielle IKT-systemene i petroleumsvirksomheten.
Industrielle IKT-system beskyttes gjennom tiltak som også beskytter kontornettverkene. I tillegg er det barrierer og funksjoner som gir aktiv og passiv beskyttelse av disse systemene, slik at risikoen for sårbarheter som kan påvirke de industrielle IKT-systemene - både utilsiktede og tilsiktede handlinger - reduseres. Fellesfunksjonene driftes ofte sentralt av selskapet. Drift og vedlikehold av de industrielle IKT-systemene og tilhørende nettverksutstyr gjøres i hovedsak lokalt på innretningen i tett samarbeid med driftsorganisasjonen.
Mål
Målet med tilsynet var å verifisere hvordan selskapet følger opp styring av risiko knyttet til informasjonssikkerhet for de industrielle IKT-systemene som har grensesnitt mot kontorsystemene. Videre ville vi verifisere prosesser og systemer hos operatøren som benyttes for å sikre oppfølgingen av disse systemene og hvordan dette gjennomføres på hver enkelt enhet. Vi så også på om det var samsvar mellom overordnede prosedyrer og oppfølgingen av systemene på innretningen.
Resultat
Tilsynet identifiserte avvik fra regelverket og forbedringspunkt. Beskrivelsen av disse forholdene er unntatt offentlighet, jf. Offentleglova § 24, 3. ledd. De vises derfor ikke under avvik og forbedringspunkter i tilsynsrapporten.
Hva skjer videre?
Vi har bedt ConocoPhillips redegjøre for hvordan avvikene vil bli håndtert, og om selskapets vurdering av de forbedringspunktene som er observert.