Lilly Pijnenburg Muller og Lars Gjemnes, forskere ved NUPI. Foto: NUPI/Ole Jørgen Bratland/ Statoil

Derfor mener de norske oljeinstallasjoner er sårbare for digitale angrep

Uklare ansvarsforhold og for få fagfolk er blant risikomomentene, ifølge ny NUPI-rapport.

Publisert

Norge leverer rundt 30 prosent av gassen og 10 prosent av oljen som EU årlig importerer. På global basis er Norge den tredje største eksportøren av olje og gass.

Denne posisjonen gjør at det ikke kan utelukkes at Norge er et naturlig mål for digitale angrep som ønsker å ramme energimarkedet i Europa.

Flere svakheter avdekket

I en fersk NUPI-rapport fremgår flere forhold som kan gjøre Norge sårbar for digitale angrep mot denne type infrastruktur.

– I rapporten peker vi på noen utfordringer, basert på de intervjuene vi har gjennomført. Informasjonsdeling er vanskelig, måten tilsyn gjøres på i petroleumssektoren var det delte syn på, vi har stor kompetansemangel i Norge i dag og det er fortsatt noen tilsynelatende uklarheter med tanke på hvem som gjør hva i en krisesituasjon, oppsummerer en av forfatterne, NUPI-forsker Lars Gjesvik.

Abonner på Sysla Teknologi:

I 2014 ble flere enn 50 norske olje- og energiselskaper utsatt for digitale angrep. Flest av disse var rettet mot Statoil, ifølge rapporten. Gjesvik har kartlagt trusselbildet sammen med sine forsker-kolleger Lilly Pijnenberg Muller og Karsten Friis.

Uklare ansvarsforhold

Det betente politiske forholdet mellom Russland og Vesten, og da spesielt Russlands anneksjon av Krim-halvøya, har ført til et økt fokus på såkalt hybrid krigføring, som skiller seg fra tradisjonell, militær krigføring.

Et Ukrainsk energiselskap ble rammet i Petya-angrepet i fjor sommer.

Ifølge både PST og Etterettnigstjenesten, er Kina og nettopp Russland de landene som utfører flest digitale angrep mot norske mål.

Ansvarsfordelingen dersom noe skulle skje, er ikke klar, viser rapporten.

– For statens del er det utfordrende å ikke ha oversikt over sikkerhetshendelser innad i Norge. Hvis de ikke får rapporter fra privat sektor om hva som foregår er det fryktelig vanskelig å vite om man f.eks. har å gjøre med et angrep som spenner over flere sektorer, hvem som burde varsles, hvor omfattende situasjonen er osv. For næringen er det jo en utfordring at man ikke vet hva man står ovenfor, forklarer NUPI-forskeren.

Advarer shippingnæringen mot digitale pirater

I rapporten peker forskerne også på at denne trusselen ikke har fått like mye oppmerksomhet som andre sikkerhetsrtrusler i olje-sektoren.

– Spionasje skjer nok jevnlig

Denne ble rapporten lagt fram i forbindelse med en paneldebatt om nettopp sikkerhetstrusler mot petroleumssektoren.

– Hovedpoengene i rapporten var i første omgang å sette dette inn i en større kontekst, og vise at selv om det er lite sannsynlig at man vil se petroleumssektoren bli angrepet digitalt per nå, så er det mulig. Det er også viktig å understreke her at det er snakk om sabotasje, ikke spionasje, og at spionasje nok skjer jevnlig, sier Gjemnes.

– Den tryggeste utdanningen du kan ta

Han og kollegene mener en av hovedutfordringene er at Norge har for små kompetansemiljøer knyttet til digital sikkerhet i petroluemsnæringen.

– Det er klart at Norge har ressursmangel på dette, og både det offentlige og private selskaper fisker i stor grad etter de samme folkene, sier Gjesvik, som legger til at dette ikke er et særnorsk problem.

– Alle stater sliter med å utdanne nok kompetente folk med kompetanse på IT og sikkerhet. Det er nok vanskelig å finne en tryggere utdanning å ta enn de som er rettet mot dette, sier han.

Gjesvik utelukker ikke at Norge, ved et reelt stor-skala angrep, vil være avhengig av hjelp. Enten fra eksterne miljøer eller andre staters myndigheter.

– Det vil variere. Det vil være veldig avhengig av hvem som står bak og hva de er ute etter. Mange av selskapene på norsk sokkel er internasjonale, og kan ha ressurser i morselskapet som blir aktuelle. NorCERT i Norge har en del kapasitet, blant andre. Hvor lenge det holder, vil være avhengig av situasjonen, sier Gjemnes

Del på
facebooktwitterlinkedinemail