Å bruke hackere er enklere enn å sette inn en panserdivisjon, mener sikkerhetssjef Lars Thoresen i Secode. Illustrasjon: Arkiv (Bilde: Colourbox)

TERROR MOT OLJEBRANSJEN

Dette er sikkerhetssjefens skrekkscenario

– Terrorister med IT-kompetanse kan sette store verdier i oljebransjen på spill.

STAVANGER: Hacker-angrep mot oljebransjen er blitt mer og mer utbredt, og kan sette hele systemer ut av spill.

Statoil er ett av selskapene som har vært åpne om å ha blitt angrepet. Et annet eksempel er hackingen av Saudi Aramco for ett år siden. 30.000 av oljeselskapets arbeidsstasjoner ble satt ut av spill etter angrepet.

– Mye på spill

Sikkerhetssjef i Secode, Lars Thoresen, har 15 års bakgrunn i Forsvaret – blant annet med etterretning og sikkerhet – og har jobbet mye med trusselvurderinger. Han mener denne typen angrep er helt nødvendig å ta tak i, spesielt i olje- og gassindustrien der mye står på spill; både teknologisk og finansiell informasjon.

– Dette er et gigantisk tema, og man er nødt til å se på hva slags verdier som eventuelt trues. For oljeindustrien er det snakk om store mengder ny teknologi, og store økonomiske verdier. Dette kan være interessant for flere å angripe, sier han, og ramser opp flere mulige interessenter.

– Det kan være konkurrenter fra mindre kontrollerte stater, det kan være økoterrorister, eller ideologiske terrorister. Saudi Aramco-angrepet kan ha blitt muliggjort ved kombinasjonen av ideologiske terrorister eller konkurrerende interesser og en dårlig sikkerhetskultur, sier Thoresen.

Han mener at IT-terroren endelig har kommet mer på dagsorden, blant annet gjennom nasjonal trusselvurdering.

– At cybertrusselen ble tatt med der, ble jeg glad for. Det er ett av de viktigste områdene med tanke på trusselbildet. Du kan si at sannsynligheten for at en annen nasjon rykker inn med panserdivisjonen har minsket en god del. Cybertrusselen er en form for lavterskelangrep, samtidig som det er billigere å bruke ti hackere enn en hel brigade ute i felt, sier han.

Les også: Prøver å lamme oljeproduksjon med cyberangrep

– Tøft av Statoil

Statoil har tidligere åpent fortalt at de har blitt utsatt for hackerangrep. Dette mener Thoresen er viktig å få frem – spesielt at oljeselskapet er ærlige om det.

– Jeg mener det er tøft av Statoil å fortelle åpent at man har blitt angrepet. Det fører til at terskelen for at andre skal fortelle om det blir lavere. Det igjen gjør at vi kan gjøre noe med det og bli bedre på IT-sikkerhet, sier han.

Han peker på at sannsynligheten for at norske oljeinstallasjoner skal bli hacket er relativt lav, spesielt fordi oljeinstallasjonene i stor grad styres ved hjelp av såkalte Scada-systemer som ikke er koblet mot internett, og derfor ikke har samme risiko som administrative støttesystemer.

– Derimot er de mulige konsekvensene store. Men det er viktig at man ikke sikrer seg i hjel. Det må være en balanse i det. Med for mye sikkerhet, vil det være vanskelig å få gjort arbeidet ordentlig.

Han understreker at oljeindustrien i stor grad er flinkere på IT-sikkerheten, men at alt som er koblet mot internett har en viss sikkerhetsrisiko i seg.

– Det dreier seg om å redusere den risikoen. Alle forstår at et hus som har alarm, vil sjeldnere bli utsatt for innbrudd kontra nabohuset som ikke har alarm, sier han.

Les også: Forbereder Norge på cyberangrep

Marerittscenario

Thoresen nevner også In Amenas. Han mener dette er et klassisk eksempel på å ramme utenlandske aktører. Men dersom terroristene hadde hatt IT-kompetanse med seg i bagasjen, kunne angrepet blitt et helt annet.

– De kunne for eksempel ha åpnet strømmen av hydrokarboner ut av anlegget og satt fyr på det. Selv om det var et alvorlig angrep fra før, kunne konsekvensen ha blitt enda større. De hadde også fått større anerkjennelse for det de gjorde, sier han.

Thoresen forteller at skrekkscenarioet for hans del med tanke på norsk oljebransje, er at hackerne skal få tilgang til såkalte Scada-systemer. Dette er systemer som kontrollerer industrielle prosesser.

– Det kan for eksempel dreie seg om å få tilgang til ventiler og pumper. Med dette i feil hender, kan man i beste fall stenge ned produksjonen. I verste fall kan det skapes ubalanse i systemet, som igjen kan føre til hendelser som kan få katastrofale konsekvenser både på økonomi, miljø og omdømme, sier han.

Secode, firmaet der Thoresen er sikkerhetssjef, jobber for å sikre og overvåke nettverkstrafikk, for offentlige og private aktører.

– Alle IT-systemer har sikkerhetshull, og all virksomhet har en sikkerhetsrisiko, sier han.

– Alle IT-systemer har sikkerhetshull, og all virksomhet har en sikkerhetsrisiko, sier han. Lars Thoresen er sikkerhetssjef i sikkerhetsfirmaet Secode. Foto: Secode Secode

Les også:

Årets viktigste cyberkrimtrender

USAs kraftnett sårbart for terror

Slik knuste nordmennene Stuxnet