Cybersecurity Barrier Management

Målet med prosjektet er å utvikle ny kunnskap og veiledning for å sikre industrielle kontroll og sikkerhetssystemer mot cyberangrep. Med flere aktivitetsgrupper av trusselaktører rettet mot petroleumssektoren, øker antallet offentlig kjente cyberangrep, og avslører et større trussellandskap. Samtidig har økt digitalisering medført økt sårbarhet. Cyberangrep mot kontroll- og sikkerhetssystemer i petroleumsindustrien kan gi fysisk skade på innretninger og personell om bord, og det kan ramme leveringssikkerheten til Europa. Digitalisering kan også benyttes for å øke sikkerheten, eksempelvis ved å ha god kontroll på barrierene som skal bidra til å forhindre at en ulykke inntreffer. Barrierene, både tekniske (slik som inntrengningsdeteksjonssystemer) og ikke-tekniske (slik som operatører i kontrollsenter for overvåking av de industrielle kontrollsystemene), kommer i tillegg til normale kontrolltiltak og retter seg mot håndtering av unormale situasjoner. Barrierestyringssystemer er innført for tradisjonell sikkerhet mot utilsiktede hendelser, men i mindre grad mot tilsiktede hendelser som cyberangrep. Etablering av barrierestyring innen cybersikkerhet og integrering av dette med eksisterende sikkerhetsbarrierestyring er fokus i dette prosjektet. Arbeidet skjer i nært samarbeid med Equinor og Aker BP, et forum for cybersikkerhet i industrielle kontrollsystemer (CDS-forum med ca. 30 deltakende selskaper), og eksterne eksperter. Noen av hovedfunnene og resultatene så langt inkluderer store forskjeller i praksis, utvikling av en felles tilnærming, etablering og bruk av sikringsnivå, samt et flytskjema som viser en prosess for kontinuerlig risikoanalyse og risikoreduksjon basert på overvåking av trusler, sårbarheter og barrieresvekkelser. Forskjeller i praksis skyldes blant annet at tradisjonell sikkerhetsbarrierestyring gjennomføres på ulike måter, samt at man legger ulike standarder og retningslinjer til grunn for styring av cybersikkerhet i industrielle kontrollsystemer. Et hovedresultat i prosjektet er utviklingen av en felles tilnærming for å identifisere cybersikkerhetsbarrierer og stille krav til disse. Denne tilnærmingen eller metodikken er fleksibel slik at den tar høyde for de nevnte selskapsspesifikke ulikhetene. Barrierene, og cybersikkerhet mer generelt, kan følges opp blant annet gjennom å stille krav til sikringsnivå for systemer og utstyr som inngår i de industrielle kontrollsystemene, samt krav til modenhetsnivå til de som utvikler og opererer disse systemene. En sikkerhetsvurdering kan gjøres basert på sikringsnivået og modenhetsnivået. I prosjektet ser vi på hvordan dette kan gjennomføres på en praktisk måte. Siden risikobildet er mer dynamisk for cybersikkerhet sammenliknet med sikkerhet for utilsiktede hendelser ser prosjektet også på overvåking av trusler og sårbarheter i tillegg til status på barrierene, samt håndtering av alle slike endringer. Et av de foreløpige resultatene er et flytskjema som viser en prosess for kontinuerlig risikoanalyse og risikoreduksjon basert på overvåking av trusler (gjennom trusseletterretningsinformasjon), sårbarheter og barrieresvekkelser. De endelige resultatene vil sammenstilles i en retningslinje for integrert sikkerhets og cybersikkerhets barrierestyring.

The overall project objective is to provide new research-based knowledge and guidance for cybersecurity barrier management as a continuous process during development and operation (incl. maintenance) of ICS in the petroleum industry, covering both technical and non-technical aspects, bridging the safety and cybersecurity domains. Digitalization calls for novel concepts to be able to exploit the potential in digitalization while at the same time managing a considerable growth in cybersecurity threats. Main challenges addressed in this project are protection of ICS to security threats and software upgrade procedures to ensure that newly discovered cyber-security threats are resolved fast. There is a need to develop new research-based knowledge on establishment and follow-up of cybersecurity requirements for technical as well as non-technical barrier elements, and to investigate and develop new innovative work processes for improved interaction between the office IT systems and ICS. The challenge of mastering the interdependencies between safety and cybersecurity is still significant and will be a major challenge for many years to come. The industry needs more practical guidelines and standardized approaches for integrating the safety and security domain to ensure that cybersecurity does not interfere with the proper safe operation of the production process. There is also a need to build new scientific knowledge on the transition from unidirectional to continuous processes for operation and maintenance of ICS, in a context with a multitude of suppliers.