Energibransjen er opptatt av fysisk sikkerhet, men lukker øynene for cybersikkerhet

DEBATT: Hva om hackere tok kontroll over en av våre gassrørledninger? Eller fikk tilgang til systemer om bord på en borerigg? Stadig mer av vår kritiske infrastruktur kobles på nett, og energisektoren virker ikke tilsynelatende bekymret.

Når hele olje-, gass-, offshore- og energibransjen møtes i Stavanger for å gjøre opp status og se i krystallkula, er det mildt sagt sjokkerende at cybersikkerhet og OT-sikkerhet ikke står på programmet.
  • Tormod Fjellgård
    Markedssjef, Watchcom Security Group AS
Publisert: Publisert:
iconDebatt
Dette er et debattinnlegg. Innlegget er skrevet av en ekstern bidragsyter, og kvalitetssikret av Aftenbladets debattavdeling. Meninger og analyser er skribentens egne.

Når bransjen samles på ONS i Stavanger neste uke står ikke IT- og OT-sikkerhet engang på agenda.

Tradisjonelt har en skilt mellom sikring av informasjonsteknologi (IT), for å beskytte data, og sikring av operasjonell teknologi (OT), for å sikre drift og beskytte kritisk infrastruktur. Dette var mindre komplekst tidligere, da OT-systemer ikke var koblet opp på internett. En snakket gjerne om «luften» mellom IT- og OT-systemer. Parallelt med behovet for tilgang på viktige data i sanntid, smelter derimot OT og IT mer og mer sammen. Det åpner opp for et mer omfattende risikobilde og helt nye trusler.

Klikke på feil lenke

Det kan i ytterste konsekvens føre til at uvedkommende får tilgang til kritiske samfunnsfunksjoner fordi en ansatt klikket på feil lenke eller åpnet et vedlegg med ondsinnet kode. De stadig mer utspekulerte trusselaktørene vet å utnytte disse, ofte menneskelige, svakhetene. Når svært mange OT-systemer på toppen av det hele ikke er tilstrekkelig teknologisk sikret, blir det nesten for enkelt å lamme Norge.

I undersøkelsen «The state of cyber security in the energy sector» avdekket Det Norske Veritas (DNV) at kun fire av ti i norsk energisektor mener de er godt nok forberedt på et angrep på industrielle systemer (OT). Enkelte respondenter peker samtidig på et teknologisk gap i utviklingen av deres IT- og OT-systemer på over 15 år. Kun 47 % av de spurte mener OT-sikkerheten er like god som IT-sikkerheten. Varsellampene bør bokstavelig talt lyse.

Når hele olje-, gass-, offshore- og energibransjen møtes i Stavanger for å gjøre opp status og se i krystallkula, er det derfor mildt sagt sjokkerende at cybersikkerhet og OT-sikkerhet ikke står på programmet. Kun en håndfull selskaper med løsninger og kompetanse på området er med som utstillere, og det finnes ingenting om digital sikkerhet i kommunikasjonen fra ONS.

Må vi rammes før det tas grep?

Reflekterer dette holdningene til sektoren? Er det, som DNV avdekker, kun fire av ti ledere som har planer om å gjøre noe for å forhindre cyberangrep? Står det så dårlig til at en av tre innrømmer at virksomheten faktisk må rammes av et angrep før endringer skjer?

Cyberangrepene blir mer omfattende og komplekse, og vi leser oftere og oftere om angrep på kritisk infrastruktur. Løsepengeangrepet mot Colonial Pipeline har de fleste hørt om. Til tross for at Colonial betalte kriminelle over $ 4,4 millioner for å få tilbake deler av sine data, stengte hackere i en periode av tilførselen av olje til nordøstlige Amerika, med påfølgende drivstoffmangel, offentlig panikk og alvorlige økonomiske konsekvenser. Hvor mye skade de faktisk kunne påført USA kan en bare tenke seg.

I 2018 ble et større petrokjemisk anlegg i Saudi-Arabia offer for et omfattende angrep, hvor cyberkriminelle tok kontroll over sikkerhetssystemer for spenning, trykk og temperatur. Her lykkes de nesten med å skape en ukontrollert eksplosjon, og kun en feil i koden til angriperne gjorde at katastrofe ble unngått. Disse to tilfellene er dessverre ikke unike.

Dette bør bli tema på ONS

De digitale sikkerhetsutfordringene står i kø for energisektoren – mangel på kompetanse, komplekse og uoversiktlige verdikjeder, utdatert utstyr, og operatører og ansatte uten tilstrekkelig digital sikkerhetskultur. Men for en sektor som alltid har hatt HMS og fysisk sikkerhet øverst på agenda, bør en bevisstgjøring og handlingsoppfordring innen cybersikkerhet være naturlig. Da kan det ikke nytte å stikke hodet i sanden, og ONS burde være en selvskreven arena.

Heldigvis er det tegn til endring, og norsk bransje viser vei. Fortsetter vi å se på god IT- og OT-sikkerhet som en kontinuerlig prosess, ikke bare noe en gjør periodisk, og inntar en mer proaktiv og interaktiv holdning til å overvåke, avdekke, isolere og forebygge, så er det håp.

Det er kun gjennom åpenhet om trusselen, erfaringsutveksling og en mer felles front mot de cyberkriminelle at olje-, gass- og resten av energisektoren vil lykkes i å forebygge angrep, forhindre tap av menneskeliv, unngå miljøkatastrofer, og redusere økonomiske tap. La oss ta plass og bidra til at bransjen snakker høyt om den digitale elefanten under ONS.

Publisert: