Tilsynet ble gjennomført fra 28. til 30. januar 2020.
Mål
Målet med tilsynet var å verifisere hvordan Equinor (teknisk tjenesteyter for Gassco) følger opp styring av risiko knyttet til informasjonssikkerhet for de industrielle IKT-systemene. Hensikten med tilsynet var å verifisere prosesser og systemer hos operatøren som benyttes for å sikre oppfølgingen av disse systemene og hvordan dette gjennomføres på hver enkelt enhet. Videre ønsket vi å verifisere om det er samsvar mellom overordnede prosedyrer og oppfølgingen av systemene på anlegget.
Resultat
Vi har sett på oppbygning av de industrielle IKT-systemene og hvordan disse er segmentert og strukturert. Det ble gjort verifikasjoner mellom de ulike systemene og knytninger disse har til kontorsystemene.
Vi har verifisert styrende dokumentasjon for IKT-sikkerhet av de industrielle IKT-systemene og prosedyrer for disse systemene.
Drift og vedlikehold av de industrielle IKT-systemene ble verifisert ved samtaler og gjennomgang av dokumentasjon. Videre gjorde vi verifikasjoner i tilhørende utstyrsrom.
Videre ble det etterspurt hvordan de industrielle IKT-systemene ble fulgt opp, både internt av Equinor og i form av serviceavtaler med leverandører. Det ble spesifikt etterspurt hvordan sikkerhet- og kontrollsystem og elektrosystem ble fulgt opp av den ansvarlige.
Vi etterspurte oversikt over hvilket utstyr og tilhørende enheter som inngikk i de industrielle IKT-systemer og hvilke rutiner Equinor hadde for oppfølging av sårbarhetsvarsler, rutiner for sårbarhetsoppdatering samt håndtering av programvare som ikke lenger blir støttet av leverandør.
Det ble etterspurt prosedyrer for og verifisering av funksjonene som ivaretar backup- og disaster recovery av de industrielle IKT-systemene, samt om personellet kjente til disse prosedyrene og hadde trening i disse oppgavene.
Vi undersøkte hvordan de industrielle IKT-systemene var beskyttet med passive tiltak, blant annet i form av rutiner for låsing av rom og blokkering av ubrukte kommunikasjonsporter. Vi har verifisert prosedyre og funksjon for fjerntilkobling mot de industrielle IKT-systemer. Vi har undersøkt rutiner for monitorering og oppfølgning av datatrafikk og hendelseslogger for de industrielle IKT-systemer.
Trening og øvelser er sentrale elementer i håndtering av hendelser. Vi verifiserte hvordan hendelser i de industrielle IKT-systemene skulle håndteres og hvordan driftsorganisasjonen lokalt og i Equinor sentralt skulle involveres i håndteringen av hendelser. Vi verifiserte Equinors kompetansekrav til fagpersonell som jobber på og med de industrielle IKT-systemene.
Vi verifiserte prosedyrer og system for bruk av USB-enheter samt annen programvare som ble benyttet til filoverføring til og fra industrielle IKT-systemer.
Observasjonene i dette tilsynet er unntatt offentlighet, jf. offl. § 24, 3. ledd.
Hva skjer nå?
Vi har sendt tilsynsrapporten til Gassco og bedt om tilbakemelding på våre observasjoner innen 8. mai 2020.