Context-Based Real-Time OT-IT Systems Integrity Management

CORESIM sitt hovedmål er å utvikle beslutningsstøtte for å kunne velge best mulig håndtering av et cyberangrep på et Cyber Fysisk System (CFS), både med hensyn på kost og prosessintegritet. Fokuset for prosjektet er på CFS innenfor olje og gass, og kraft (inkludert kraft fra land for olje og gassinstallasjoner), men resultatene er forventet å kunne brukes på tvers av CFS domener. Motivasjonen for prosjektet er å kunne forhindre fysisk skade på utstyr, slik som var tilfelle i Stuxnet-angrepet hvor flere hundre sentrifuger i et kjernekraftverk ble ødelagt, og å forhindre avbrudd i en industriprosess slik som var resultatet av cyberangrepet i Ukraina i 2015, hvor over 225,000 abonnenter mistet strømmen. Prosjektet har som mål å (1) bygge kompetanse og metodikker for å innlemme prosesskompetanse og informasjon i cybersikkerhetsovervåkning, deteksjon og hendelseshåndtering med formål å beskytte Cyber Fysiske Systemer (CFS) som et bidrag til beskyttelse av kritisk infrastruktur, og (2) etablere muligheten for automatisert beslutningsstøtte og hendelseshåndtering av cyberangrep for å beskytte integriteten til CFS og de underliggende industrielle prosessene. Forventede resultater: - Gjenbrukbare modeller av Cyber Fysiske Systemer for Olje og Gas og for Kraft. - Rammeverk for å modellere prosesstilstand, karakteristika, og kontekst for å muliggjøre deteksjon av uønsket prosessoppførsel. - Kapabiliteter for å identifisere og klassifisere cyberangrep på en slik måte at det er mulig å forstå alternative konsekvenser og årsaker (hvorfor angrepet er mulig å utføre). - Gjenbrukbare modeller for å forstå et Cyber Fysiske System (CFS) og de involverte prosessene slik at det er mulig å bestemme hva som er best mulig håndtering av et cyberangrep.

Cyber-attacks on Cyber Physical Systems (CPS) can have detrimental impact also in the physical world, with potential consequences to both operational personnel and the underlying physical process, as experienced in the Stuxnet and Ukraine Power Grid attacks. Petroleum production facilities are a key infrastructure for Norway. On a drilling rig, an attack might deactivate the blow-out preventer, with potential consequences similar to the Macondo incident (https://snl.no/Deepwater_Horizon-ulykken). The project aims to develop knowledge and methodologies for process-aware cyber security for modern systems control. This shall be achieved through complementing current Industrial Control System (ICS) Intrusion Detection Systems (IDS) with domain specific knowledge-based models and methods that consider the function of the whole CPS, forming a basis for process-aware risk analysis for attack response advisory. Such development shall help enable a robust and relevant response to cyber-attacks, with avoidance of unnecessary downtime and loss of revenue or public services due to false alarms or low-risk attacks. Planned collaboration with Equinor, Statnett, Kongsberg Maritime, Siemens Energy, ABB Motion, the Petroleum Safety Authority (Ptil) and the Norwegian Water Resources and Energy Directorate (NVE) will ensure involvement from both public and private sector in the project, while covering both the petroleum sector and its power supply. Knowledge transfer between research and industry partners shall be ensured through close collaboration throughout the project by means of quarterly status meetings and through two (2) case studies annually where project results will be tested and evaluated. The project shall employ a postdoc through project partner NTNU with Prof.dr. Sokratis Katsikas as the main supervisor and Prof.dr. Siv Hilde Houmb as co-supervisor. The project will also aim to involve students on bachelor and MSc level at NTNU.