Oljeplattformer sårbare for hackere

Produksjonssystemene risikerer angrep fra både hackere, virus og ormer.

Tidligere var oljeplattformene et beskyttet samfunn der produksjonen ble styrt av lukkede prosesser som ikke hadde noen tilkobling til verden utenom. I dag er bildet endret: I såkalte «integrerte operasjoner» er kontakten mellom offshore og land blitt transparent, og mange av prosessene ute på plattformen styres av folk på land og via vanlige pc-er i nettverk.

Dette har mange fordeler, men én ulempe er dalende informasjonssikkerhet. Når nettverk på land er koblet til nettverk offshore, øker risikoen for virusangrep og hackere som kan bryte seg inn.

Trusler

Forskere i SINTEF som jobber med systemutvikling og sikkerhet, mener oljeselskapene og leverandørindustrien har gjort mye godt arbeid rundt helse, miljø og sikkerhet offshore, men at de ikke har vært like flinke når det gjelder informasjonssikkerhet.

De har dybdeintervjuet en rekke nøkkelpersoner i oljebransjen for å undersøke hvordan det står til på feltet. Intervjuene stadfester at det har vært et økende antall såkalte «sikkerhetshendelser» ved produksjonssystemene de siste årene.

– Skrekkscenariet er jo at en hacker bryter seg inn og overtar styringen av hele plattformen, sier forsker Martin Gilje Jaatun. – Dette har heldigvis ikke skjedd, men vi har fått høre om flere hendelser som kunne ha utviklet seg til noe dramatisk. Blant annet har virusangrep forårsaket at elektronisk utstyr i et prosessmiljø ble ustabilt.

Hendelser

Fortsatt er det slik at en plattformsjef har mulighet til å overstyre alt som skjer ute på plattformen. Men utviklingen går mot ubemannede og robotiserte plattformer – og da kan elektronisk utstyr lettere bli eksponert for angrep.

– Intervjurundene avdekker at det mangler en kort, oversiktlig plan som sier noe om hvordan man skal takle slike spesifikke hendelser i organisasjonen. Og mens scenariotrening ofte benyttes i offshoremiljøet for å forebygge risiko, er slik trening sjelden på området for informasjonssikkerhet, sier Jaatun.

Noen av informantene oppga også at de var usikre på om negative hendelser førte til læring og endring i framtidig aktivitet. De var redde for at slik læring ble raskt glemt.

Videre arbeid

Arbeidet med informasjonssikkerhet i offshorebransjen har vist at det er ytterligere behov for å få målt effekten av sikkerhetsarbeid. Det vil være nødvendig å utvikle nye målemekanismer som kan vise hvordan forskjellig håndtering av sikkerhetshendelser påvirker forhold som inntjening og oppetid.

Åse Dragland