Oljeindustrien er spesielt utsatt for terror og sabotasje, ifølge DNV GL. Dette bildet er fra Øvelse Gemini i 2011. (Foto: Torbjørn Kjosvold)

DIGITAL SÅRBARHET I OLJEINDUSTRIEN

Disse dataangrepene rammer oljenæringen hardest

Avsløres i ny rapport.

Dataangrepene mot oljeindustrien øker i omfang, og angrepene blir mer sofistikerte, ifølge en ny rapport fra DNV GL.

Det kommer også frem at de pågående kostnadskuttene i oljebransjen kan ramme sikkerheten, samt at flere plattformer på norsk sokkel er utdaterte.

Rapporten er laget i forbindelse med arbeidet til det såkalte Lysne-utvalget, som har sett på digitale sårbarheter i Norge.

Les også: Oljearbeidere vil tvinge oljebransjen til «det kjedeligste man kan gjøre»

Mindretall med konkrete mål

DNV GL har gått igjennom hvilke utfordringer olje- og gassindustrien står overfor, og har kommet med en topp-ti-liste (se lenger ned).

– Bruk av nye kostnadseffektive driftskonsepter, digitale teknologier og økende avhengighet av digitale løsninger betyr at olje- og gassindustrien er utsatt for et nytt sett av sårbarheter og trusler. Samtidig som dataangrep øker i omfang, blir angrepene mer sofistikerte, vanskeligere å avdekke og verre å forsvare seg mot, ifølge DNV GL.

– Den økonomiske kostnaden for selskapene blir stadig høyere, heter det videre.

Rapporten har basert seg på over 1100 forretningsledere over hele verden. Her kommer det frem at 58 prosent baserer seg på en ad-hoc ledelsesstrategi.

– Kun 27 prosent har satt konkrete mål, heter det i en melding fra DNV GL.

Verdensnyhet: – Det er ikke ofte du ser våre borefolk sveve på skyer. Men det gjør de nå

Utdatert utstyr

Petter Myrvang, leder for Security and information risk i DNV GL olje og gass, uttaler at brudd på digital sikkerhet sjelden skaper de store overskriftene, og at mange mindre angrep glir under radaren uten å bli avdekket eller rapportert, rett og slett fordi mange organisasjoner ikke vet at noen har brutt seg inn i systemene deres.

– Første angrepslinje er ofte kontormiljøet i et olje- og gasselskap, og derfra arbeider angrepet seg videre gjennom produksjonsnettverket og prosesskontroll- og sikkerhetssystemene», sier Myrvang.

I rapporten heter det blant annet at siden oljeprisen er på under 60 dollar fatet, kan de påfølgende kostnadskuttene ramme kontinuerlig forbedring av sikkerhet.

I tillegg heter det i rapporten at en aldrende sokkel også byr på utfordringer.

– Mange av innretningene på sokkelen er designet for en levetid på mellom 15 og 25 år. En rekke av disse har fått samtykke til forlenget levetid. Det betyr at mye av utstyr og programvare er utdatert og lite tilpasset dagens digitale sårbarheter, ifølge rapporten.

Les også: Fem ingeniører har forberedt dette løftet i to år

Terrorfare

Det kommer også frem at det å legge operasjonsrom på land, er en sikkerhetsrisiko.

– Oppmerksomheten kan være mindre og. Mangelfull avlåsing og merking av rom, skap og kabling bidrar til slike sårbarheter. Utro tjenere med omfattende rettigheter kan påføre virksomheten stor skade, ifølge DNV GL.

– Fjernoperasjon fra land eller naboplattform kan medføre bruk av delte datanett. For å få redundante nettløsninger benyttes ofte felles, delte datanett. Slike nett kan være sårbare for avlytting og kommunikasjonsenheter har operatørgrensesnitt som er sårbare, heter det videre.

Rapporten peker også på at olje- og gassektoren er spesielt utsatt for eventuelle terroraksjoner. Dersom sabotasje- og terrororganisasjoner lykkes i å kontrollere vitalt produksjonsutstyr, kan konsekvensen bli miljøødeleggelse og tap av menneskelig.

– Olje- og gassektoren er spesielt utsatt fordi det behandles store mengder brann og eksplosjonsfarlig materiale, og fordi ansatte bor på installasjonen, og fordi mye av aktiviteten skjer til havs med store avstander fra land.

TU-leserne har talt: Dette er oljearbeidernes favorittplattformer

Topp ti-liste

DNV GL har i rapporten også laget en ti på topp-liste over de digitale sårbarheter i olje- og gassektoren.

– Selv om rapporten er fokusert på norsk sokkel, er problemstillingene like relevante for olje- og gassoperasjoner hvor som helst i verden, ifølge DNV GL.

Listen er som følger

1. Manglende oppmerksomhet på og opplæring i digital sikkerhet hos ansatte

2. Fjernarbeid i forbindelse med drift og vedlikehold

3. Bruk av standardprodukter med kjente sårbarheter i produksjonsmiljøer

4. Mangelfull sikkerhetskultur i forbindelse med digitale sårbarheter hos underleverandører

5. Utilstrekkelig separasjon av datanett

6. Bruk av mobile innretninger og lagringsenheter, inkludert smarttelefoner

7. Datanett mellom landinstallasjoner og oljefelt

8. Manglende fysisk sikring av datarom, koplingsskap, m.m.

9. Sårbar programvare

10. Utdaterte styringssystemer på anlegg

Aker-topp om kuttene: Aker-topp om oljekuttene: Nå vil jeg kanskje provosere en del av mine ansatte