Virus: Sintefs undersøkelse avdekker at risikoen for virusangrep og datainnbrudd øker når nettverk på land er koblet til nettverk offshore. (Bilde: Statoil)

Sårbare for hackere

  • IT

Integrerte operasjoner i oljeutvinningen, der prosesser styres over nettet fra PC-er på land, fører til redusert informasjonssikkerhet, ifølge Sintef IKT.

Teknisk Ukeblad har tidligere fokusert på bekymringene som Oljenæringens landsforening (OLF) har på dette området.

Les mer her: – Dataangrep kan stoppe Olje-Norge

Økt risiko

– Når nettverk på land er koblet til nettverk offshore, øker risikoen for virusangrep og hackere som kan bryte seg inn, skriver forskningsmagasinet Gemini.

Forskere i Sintef som jobber med systemutvikling og sikkerhet mener oljeselskapene og leverandørindustrien har gjort mye godt arbeid rundt helse, miljø og sikkerhet offshore, men at de ikke har vært like flinke når det gjelder informasjonssikkerhet.

Hendelser

Forskerne har dybdeintervjuet en rekke nøkkelpersoner i oljebransjen for å undersøke hvordan det står til på feltet.

Intervjuene stadfester at det har vært et økende antall såkalte «sikkerhetshendelser» ved produksjonssystemene de siste årene.

Tar kontroll

– Skrekkscenariet er jo at en hacker bryter seg inn og overtar styringen av hele plattformen, sier forsker Martin Gilje Jaatun til Gemini.

– Dette har heldigvis ikke skjedd, men vi har fått høre om flere hendelser som kunne ha utviklet seg til noe dramatisk. Blant annet har virusangrep forårsaket at elektronisk utstyr i et prosessmiljø ble ustabilt, sier Jaatun.

Økt fare

Fortsatt er det slik at en plattformsjef har mulighet til å overstyre alt som skjer ute på plattformen.

Men utviklingen går mot ubemannede og robotiserte plattformer – og da kan elektronisk utstyr lettere bli eksponert for angrep, ifølge magasinet.

Mangler trening

– Intervjurundene avdekker at det mangler en kort, oversiktlig plan som sier noe om hvordan man skal takle slike spesifike hendelser i organisasjonen. Og mens scenariotrening ofte benyttes i offshoremiljøet for å forebygge risiko, er slik trening sjelden på området for informasjonssikkerhet, sier Jaatun.

Noen av informantene oppga også at de var usikre på om negative hendelser førte til læring og endring i framtidig aktivitet. De var redde for at slik læring ble raskt glemt.

Videre arbeid

Arbeidet med informasjonssikkerhet i offshorebransjen har vist at det er ytterligere behov for å få målt effekten av sikkerhetsarbeid.

Det vil være nødvendig å utvikle nye målemekanismer som kan vise hvordan forskjellig håndtering av sikkerhetshendelser påvirker forhold som inntjening og oppetid.