På bakgrunn av et felles industriprosjekt lanserer DNV GL nå en retningslinje for beste praksis (recommended practice, RP) som kan anvendes globalt, DNVGL-RP-G108. Retningslinjen tar for seg hvordan olje- og gass operatører og leverandører kan håndtere den nye cybertrusselen.

Produksjonsanlegg med kritiske nettverkssegmenter som tidligere har vært  isolerte, og som nå er koblet til nettverk, kan gjøre operasjonell teknologi (OT) mer sårbar. Ifølge en nylig undersøkelse1 mener 59 % av olje- og gasselskapene at det er større risiko forbundet med OT enn med informasjonsteknologi (IT). For å håndtere trusler mot OT er det nødvendig med kunnskap utover generell informasjonssikkerhet. Domenekompetanse innen olje og gass behøves, særlig i forbindelse med automatiserte, ubemannede, integrerte og eksterne operasjoner som er tilgjengelige på nett.

Den nye retningslinjen «Recommended practice for cyber security in the oil and gas industry based on IEC 62443» (Cybersikkerhet i olje- og gassindustrien basert på IEC 62443) er et resultat av et toårig felles industriprosjekt (joint industry project – JIP) gjennomført i samarbeid med Shell Norge AS, Statoil, Woodside, Lundin Norway, Siemens, Honeywell, ABB, Emerson og Kongsberg Maritime. Petroleumstilsynet har observert arbeidet og utvekslet erfaringer med gruppen ut fra et regulatorisk perspektiv. Retningslinjen er basert på IEC 62443-standarden, internasjonal praksis og bransjeerfaring, og tar hensyn til HMS-krav og IEC 61511-standarden for funksjonell sikkerhet. Den beskriver en skreddersydd tilnærming for olje- og gassindustrien til hvordan sikkerhet kan bygges opp, med vekt på OT.

– Aktører i bransjen må være trygge på at sikkerhetstiltak er effektive mot hyppigere og mer avanserte cyberangrep, som i økende grad blir mer kostnadskrevende og vanskeligere å gjenopprette skadene etter. Håndtering av utfordringer knyttet til cybersikkerhet har derfor blitt et sentralt fokusområde for olje- og gassektoren, og det er større bevissthet om hvilke krav som må oppfylles. Frem til nå har sektoren manglet veiledning for hvordan de skal oppfylle disse kravene. Den nye retningslinjen, utviklet i samarbeid med sentrale aktører, setter søkelys på OT, sammen med IT, slik at olje- og gassektoren kan beskytte operasjonene sine, sier Pål Børre Kristoffersen, JIP Project Manager, DNV GL – Oil & Gas

DNVGL-RP-G108 omfatter hvordan standarder i IEC 62443-serien skal brukes i prosjekter og operasjonelle faser, og gir en standardisert tilnærming for gjenbruk i prosjekter. Den er skreddersydd for olje- og gassoperasjoner både onshore og offshore. IEC-standardene fastsetter hva som skal gjøres, mens DNV GL sin retningslinje beskriver hvordan. Implementering vil føre til:              

• redusert risiko for uønskede hendelser knyttet til cybersikkerhet
• kostnadsbesparelser for operatører ved at ressursene som er nødvendige for å fastsette krav og oppfølging reduseres
• kostnadsbesparelser for entreprenører og leverandører på bakgrunn av standardiserte designkrav fra operatører
• forenklede kontroller for myndigheter og kontrollører på grunn av felles krav og felles samsvarskrav.

Julie Fallon, Senior Vice President Engineering, Woodside uttaler: – Ved at cybersikkerheten for OT tilpasses til IEC 62443 vil vi kunne lære av, og bidra til, kunnskap og ferdigheter i bransjen. Den nye retningslinjen gir praktisk veiledning til hvordan IEC standarden skal anvendes innen olje og gass.

– Konvergensen mellom OT, IT og engineering er avgjørende for å lykkes med sikkerhetsstyring av OT. Prosessen med dette felles bransjeprosjektet som ledet til retningslinjen har satt teamet i stand til å utnytte bransjens beste praksiser, dele kunnskap og øke ferdighetene, legger hun til.

En felles uttalelse fra leverandørene involvert i utviklingen av retningslinjen:  – Våre kunder i olje- og gassektoren står i stor grad overfor de samme typene cybertrusler. Muligheten til å standardisere det vi leverer til kundene våre er viktig for å redusere cyberrisiko og redusere kostnader. Fremfor alt vil det øke sikkerheten, tilgjengeligheten og påliteligheten til systemer kontrollert av OT. Organisasjonene som drifter systemene kan også håndtere cyberrisiko ved å implementere trinnene fastsatt i standardene: identifisere, beskytte, oppdage, respondere og gjenopprette. I prosessen med å utarbeide denne retningslinjen har vi samarbeidet både med konkurrenter og kunder om veiledning for bruk av standardene i IEC 62443-serien.

DNVGL-RP-G108 kan lastes ned her.