DNV_PM_Hovedbilde_Digital Twin 1 utvidet still from software movie allowed to use externally
DNV GL Cathrine Torp Foto: DNV GL

Industrisamarbeid leverer retningslinje for bekjempelse av cybertrusler i olje- og gassindustrien

Offshore Europa, Aberdeen: Fordelene med digitalisering i olje- og gassektoren er omfattende, men medfører også sårbarheter for nye former for cyberangrep. Nesten 68 %1 av olje- og gasselskapene ble berørt av minst ett betydelig cyberangrep i 2016, og det antas at mange angrep ikke blir oppdaget eller offentliggjort. På bakgrunn av et felles industriprosjekt lanserer DNV GL nå en retningslinje for beste praksis (recommended practice, RP) som kan anvendes globalt, DNVGL-RP-G108. Retningslinjen tar for seg hvordan olje- og gass operatører og leverandører kan håndtere den nye cybertrusselen.

Produksjonsanlegg med kritiske nettverkssegmenter som tidligere har vært  isolerte, og som nå er koblet til nettverk, kan gjøre operasjonell teknologi (OT) mer sårbar. Ifølge en nylig undersøkelse1 mener 59 % av olje- og gasselskapene at det er større risiko forbundet med OT enn med informasjonsteknologi (IT). For å håndtere trusler mot OT er det nødvendig med kunnskap utover generell informasjonssikkerhet. Domenekompetanse innen olje og gass behøves, særlig i forbindelse med automatiserte, ubemannede, integrerte og eksterne operasjoner som er tilgjengelige på nett.

Offshore Europe 2017 day 2  DNV press conference
Offshore Europe 2017 – DNVs pressekonferanse

Les også: Er dere cyber-ready? Sjekk cyberberedskapen for å få et raskt overblikk over hvordan din virksomheten ligger an.

Den nye retningslinjen «Recommended practice for cyber security in the oil and gas industry based on IEC 62443» (Cybersikkerhet i olje- og gassindustrien basert på IEC 62443) er et resultat av et toårig felles industriprosjekt (joint industry project – JIP) gjennomført i samarbeid med Shell Norge AS, Statoil, Woodside, Lundin Norway, Siemens, Honeywell, ABB, Emerson og Kongsberg Maritime. Petroleumstilsynet har observert arbeidet og utvekslet erfaringer med gruppen ut fra et regulatorisk perspektiv. Retningslinjen er basert på IEC 62443-standarden, internasjonal praksis og bransjeerfaring, og tar hensyn til HMS-krav og IEC 61511-standarden for funksjonell sikkerhet. Den beskriver en skreddersydd tilnærming for olje- og gassindustrien til hvordan sikkerhet kan bygges opp, med vekt på OT.

– Aktører i bransjen må være trygge på at sikkerhetstiltak er effektive mot hyppigere og mer avanserte cyberangrep, som i økende grad blir mer kostnadskrevende og vanskeligere å gjenopprette skadene etter. Håndtering av utfordringer knyttet til cybersikkerhet har derfor blitt et sentralt fokusområde for olje- og gassektoren, og det er større bevissthet om hvilke krav som må oppfylles. Frem til nå har sektoren manglet veiledning for hvordan de skal oppfylle disse kravene. Den nye retningslinjen, utviklet i samarbeid med sentrale aktører, setter søkelys på OT, sammen med IT, slik at olje- og gassektoren kan beskytte operasjonene sine, sier Pål Børre Kristoffersen, JIP Project Manager, DNV GL – Oil & Gas

Pål Børre Kristoffersen, JIP Project Manager, DNV GL – Oil & Gas

DNVGL-RP-G108 omfatter hvordan standarder i IEC 62443-serien skal brukes i prosjekter og operasjonelle faser, og gir en standardisert tilnærming for gjenbruk i prosjekter. Den er skreddersydd for olje- og gassoperasjoner både onshore og offshore. IEC-standardene fastsetter hva som skal gjøres, mens DNV GL sin retningslinje beskriver hvordan. Implementering vil føre til:

  • redusert risiko for uønskede hendelser knyttet til cybersikkerhet
  • kostnadsbesparelser for operatører ved at ressursene som er nødvendige for å fastsette krav og oppfølging reduseres
  • kostnadsbesparelser for entreprenører og leverandører på bakgrunn av standardiserte designkrav fra operatører
  • forenklede kontroller for myndigheter og kontrollører på grunn av felles krav og felles samsvarskrav.

Julie Fallon, Senior Vice President Engineering, Woodside uttaler: – Ved at cybersikkerheten for OT tilpasses til IEC 62443 vil vi kunne lære av, og bidra til, kunnskap og ferdigheter i bransjen. Den nye retningslinjen gir praktisk veiledning til hvordan IEC standarden skal anvendes innen olje og gass.

– Konvergensen mellom OT, IT og engineering er avgjørende for å lykkes med sikkerhetsstyring av OT. Prosessen med dette felles bransjeprosjektet som ledet til retningslinjen har satt teamet i stand til å utnytte bransjens beste praksiser, dele kunnskap og øke ferdighetene, legger hun til.

Julie Fallon, Senior Vice President Engineering, Woodside
Julie Fallon, Senior Vice President Engineering, Woodside

En felles uttalelse fra leverandørene involvert i utviklingen av retningslinjen:  – Våre kunder i olje- og gassektoren står i stor grad overfor de samme typene cybertrusler. Muligheten til å standardisere det vi leverer til kundene våre er viktig for å redusere cyberrisiko og redusere kostnader. Fremfor alt vil det øke sikkerheten, tilgjengeligheten og påliteligheten til systemer kontrollert av OT. Organisasjonene som drifter systemene kan også håndtere cyberrisiko ved å implementere trinnene fastsatt i standardene: identifisere, beskytte, oppdage, respondere og gjenopprette. I prosessen med å utarbeide denne retningslinjen har vi samarbeidet både med konkurrenter og kunder om veiledning for bruk av standardene i IEC 62443-serien.

DNVGL-RP-G108 kan lastes ned her.

Stikkord: , , ,

Denne artikkelen er skrevet av DNV GL som er kunde av enerWE AS

DNV GL

DNV GLs formål er å sikre liv, eiendom og miljø. Med dette som drivkraft gjør vi organisasjoner i stand til å fremme sikkerhet og bærekraft i sin virksomhet. Vi opererer i over 100 land, hvor våre profesjonelle og engasjerte medarbeidere står parat til å hjelpe våre kunder til å gjøre verden tryggere, smartere og grønnere innenfor maritime, olje- og gass, og energibransjen og andre bransjer. I olje og gassindustrien, er DNV GL den ledende tekniske rådgiveren. Vi bidrar med et bredere perspektiv på komplekse forretningsmessige og teknologiske risikoer i globale og lokale markeder. Ved å skape en nøytralt arena for industrisamarbeid skaper og deler vi kunnskap med kundene våre og setter nye standarder for utvikling og implementering av ny teknologi. Våre uavhengige eksperter gjør kundene våre i stand til å ta de rette valgene for en tryggere, smartere og grønnere fremtid.