Tilsyn med IKT-sikkerhet i boreprosesskontroll, sikkerhets- og støttesystemer innen petroleumsnæringen Presentasjon av resultater fra tilsynet Asbjørn Ueland, sjefsingeniør
Bakgrunn for tilsynet Arbeid i petroleumsnæringen med fokus på IKT-sikkerhet - OLF-arbeid startet 2005 for å etablere retningslinjer for IKT-sikkerhet for styrings- og sikkerhetssystemer - Generelt økende mengde virus - Hendelser på norsk sokkel - Reaksjonsmønster tilpasset «normal IT-drift» - Retningslinje 104 publisert juni -06 - OD og Ptil hadde status som observatør i arbeidsgruppen
Tidligere tilsyn Våren -07, tilsyn med 8 operatører: - Hensikt: - Oversikt over sikring av utvalgte prosesskontroll- og sikkerhetssystemer - Status på hvordan IKT-utviklingen innen integrerte operasjoner påvirker integritet og pålitelighet - Fokus: - Integrerte operasjoner og økt bruk av åpne systemer med fjerntilgang, fjernovervåking eller fjernstyring. - Sårbarhet ovenfor - systemavhengigheter - kommunikasjonsfeil - tilsiktede så vel som utilsiktede angrep fra omverdenen. - Funn: - Manglende barrier mellom administrativt datanettverk og styresystemene - Mangler i forhold til kompetanse - Mangelfull oppdatering av dokumentasjon - Uklarheter rundt håndtering av kommunikasjonsfeil
Varselbrev årets tilsyn Bakgrunn - Dramatisk økning i mengden av angrep - Endringer i trusselbildet - IT -> kontrollsystemer - Integrerte operasjoner og økende fjernstøtte fra leverandør - Retningslinje 104 i fem år
Metode Egenevaluering - Basert på excel-ark utarbeidet sammen med retningsline 104 Grundig arbeid ved utfylling - Referanse til hvor dokumentasjon finnes Resultater - Synes å være ærlige - Svakheter og problemområder synliggjort Svarene unntatt offentlighet
Tilbakemelding fra næringen Svar på hvert enkelt av de 16 kravene Kommentarer Ev. tiltak som vil settes i verk (på selskapsnivå)
Resultater Næringen samlet: 2,9 - Landanlegg: 3,2 - Produksjon: 3,1 - Borerigger: 2,4 Kommentar til metode - Gjennomsnittstall - Ingen skalering i forhold til størrelse - Rådata gjelder dels for enkeltinnretning og dels for flåte eller felt
Samlet Svakeste punkter: - Brukere må ha tilstrekkelig forståelse for sikkerhetsrisiko og akseptabel bruk av systemene - Planer for gjenoppretting etter hendelser
Landanlegg Svakeste punkter: - Brukere må ha tilstrekkelig forståelse for sikkerhetsrisiko og akseptabel bruk av systemene - Planer for gjenoppretting etter hendelser
Borerigg Svakeste punkter: - Brukere må ha tilstrekkelig forståelse for sikkerhetsrisiko og akseptabel bruk av systemene - Planer for gjenoppretting etter hendelser Samme bildet men jevnt svakere
Produksjon Samme svake punkter men også: - Systemene brukes også til andre formål - Krevende å ha oppdatert beskyttelse mot virus o.l.
Detaljer Hovedinntrykk: Gjennomgående kontroll, men det kan være en del utfordringer lokalt på enkeltforhold
Kommentarer og tiltak Den enkelte aktør følger opp egne planer: - Kompetanse og «awareness» i brukermiljøene - Ressurser som kan ha fokus på området - Systematisere prosedyrer og dokumentasjon - Prosesser for fjernarbeid og 3-partsutstyr Ptil bearbeder stoffet videre for: - Kunnskap om næringen - Fokus på forholdet - Tema og satsing ved senere tilsyn
Retningslinje 104, innledning The controls are founded on ISO 27001:2005, adapted to the oil and gas sector. This list of requirements is not pre-emptive or exhaustive each organisation has to implement additional controls and security measures to obtain the level of information security which is necessary for their business. Implementing all the controls in this guideline will not guarantee that security incidents cannot occur.