Tilsyn med IKT-sikkerhet i boreprosesskontroll, støttesystemer innen petroleumsnæringen

Transkript

1 Tilsyn med IKT-sikkerhet i boreprosesskontroll, sikkerhets- og støttesystemer innen petroleumsnæringen Presentasjon av resultater fra tilsynet Asbjørn Ueland, sjefsingeniør

2 Bakgrunn for tilsynet Arbeid i petroleumsnæringen med fokus på IKT-sikkerhet - OLF-arbeid startet 2005 for å etablere retningslinjer for IKT-sikkerhet for styrings- og sikkerhetssystemer - Generelt økende mengde virus - Hendelser på norsk sokkel - Reaksjonsmønster tilpasset «normal IT-drift» - Retningslinje 104 publisert juni OD og Ptil hadde status som observatør i arbeidsgruppen

3 Tidligere tilsyn Våren -07, tilsyn med 8 operatører: - Hensikt: - Oversikt over sikring av utvalgte prosesskontroll- og sikkerhetssystemer - Status på hvordan IKT-utviklingen innen integrerte operasjoner påvirker integritet og pålitelighet - Fokus: - Integrerte operasjoner og økt bruk av åpne systemer med fjerntilgang, fjernovervåking eller fjernstyring. - Sårbarhet ovenfor - systemavhengigheter - kommunikasjonsfeil - tilsiktede så vel som utilsiktede angrep fra omverdenen. - Funn: - Manglende barrier mellom administrativt datanettverk og styresystemene - Mangler i forhold til kompetanse - Mangelfull oppdatering av dokumentasjon - Uklarheter rundt håndtering av kommunikasjonsfeil

4 Varselbrev årets tilsyn Bakgrunn - Dramatisk økning i mengden av angrep - Endringer i trusselbildet - IT -> kontrollsystemer - Integrerte operasjoner og økende fjernstøtte fra leverandør - Retningslinje 104 i fem år

5 Metode Egenevaluering - Basert på excel-ark utarbeidet sammen med retningsline 104 Grundig arbeid ved utfylling - Referanse til hvor dokumentasjon finnes Resultater - Synes å være ærlige - Svakheter og problemområder synliggjort Svarene unntatt offentlighet

6 Tilbakemelding fra næringen Svar på hvert enkelt av de 16 kravene Kommentarer Ev. tiltak som vil settes i verk (på selskapsnivå)

7 Resultater Næringen samlet: 2,9 - Landanlegg: 3,2 - Produksjon: 3,1 - Borerigger: 2,4 Kommentar til metode - Gjennomsnittstall - Ingen skalering i forhold til størrelse - Rådata gjelder dels for enkeltinnretning og dels for flåte eller felt

8 Samlet Svakeste punkter: - Brukere må ha tilstrekkelig forståelse for sikkerhetsrisiko og akseptabel bruk av systemene - Planer for gjenoppretting etter hendelser

9 Landanlegg Svakeste punkter: - Brukere må ha tilstrekkelig forståelse for sikkerhetsrisiko og akseptabel bruk av systemene - Planer for gjenoppretting etter hendelser

10 Borerigg Svakeste punkter: - Brukere må ha tilstrekkelig forståelse for sikkerhetsrisiko og akseptabel bruk av systemene - Planer for gjenoppretting etter hendelser Samme bildet men jevnt svakere

11 Produksjon Samme svake punkter men også: - Systemene brukes også til andre formål - Krevende å ha oppdatert beskyttelse mot virus o.l.

12 Detaljer Hovedinntrykk: Gjennomgående kontroll, men det kan være en del utfordringer lokalt på enkeltforhold

13 Kommentarer og tiltak Den enkelte aktør følger opp egne planer: - Kompetanse og «awareness» i brukermiljøene - Ressurser som kan ha fokus på området - Systematisere prosedyrer og dokumentasjon - Prosesser for fjernarbeid og 3-partsutstyr Ptil bearbeder stoffet videre for: - Kunnskap om næringen - Fokus på forholdet - Tema og satsing ved senere tilsyn

14 Retningslinje 104, innledning The controls are founded on ISO 27001:2005, adapted to the oil and gas sector. This list of requirements is not pre-emptive or exhaustive each organisation has to implement additional controls and security measures to obtain the level of information security which is necessary for their business. Implementing all the controls in this guideline will not guarantee that security incidents cannot occur.