logo
    Kontakt oss
    Tilbake

    Sikker tredjepartstilgang i olje og gass: Fra nødvendighet til kontroll

    Av Stig Mortvedt | 3. juli 2025

    Zero Trust remote access for olje og gass

    Tredjepartsleverandører er ikke bare nyttige støttespillere i olje- og gassindustrien – de er helt avgjørende for å holde driften i gang. Men hver gang en ekstern aktør får fjernaksess til dine OT-systemer, åpner du også døren for potensielle sikkerhetsbrudd.

    Så hvordan balanserer du operasjonell nødvendighet med kravet til cybersikkerhet?

     

    Du kan ikke drive uten leverandørene

    På en offshore-installasjon finner vi ofte:

    • Turbinleverandører som må kunne gjøre fjernsupport og diagnostikk

    • Automasjonsleverandører med eksklusiv tilgang til proprietære systemer

    • Prosessleverandører som er de eneste som kan konfigurere kritisk utstyr

    • OEM-teknikere som har monopol på garanti-godkjent vedlikehold

    Eksempel: En gassturbin trenger akutt vedlikehold. Bare leverandørens sertifiserte teknikere kan koble seg til uten å ugyldiggjøre en garanti verdt flere millioner kroner. Alternativet? Helikoptertransport, stans i produksjonen og potensielt flere dager med nedetid.

    Tredjepartsleverandører er altså ikke valgfrie – de er forretningskritiske.

     

    Det skjulte problemet: 77 leverandører med tilgang

    En fersk studie fra Ponemon Institute viser at industriselskaper i snitt gir 77 tredjepartsleverandører tilgang til sine OT-miljøer. En fjerdedel har over 100.

    På norsk sokkel ser vi typisk:

    • Hovedleverandører 

    • Underleverandører med egne spesialiserte team

    • Internasjonale aktører

    • Maritime partnere og rederier

    Hver enkelt utgjør en potensiell inngangsport til dine mest sensitive systemer.

     

    Hvem har ansvaret for sikkerheten?

    Et kjent scenario:

    • Operatør stiller krav til sikkerhet

    • Hovedleverandør implementerer løsningene

    • Underleverandør utfører det praktiske arbeidet

    • Alle peker på hverandre når noe går galt

    Til slutt er det virksomheten som sitter med det faktiske ansvaret. Og da må også tilgangskontrollen forankres der.

     

    Når gamle systemer møter nye trusler

    Mange installasjoner på norsk sokkel benytter fortsatt utstyr som:

    • Er 10–20 år gammelt

    • Ikke kan oppdateres (patches)

    • Benytter proprietære protokoller

    • Kun kan betjenes av autorisert personell grunnet garantivilkår

    Tradisjonelle VPN-løsninger gir ikke tilstrekkelig sikkerhet:

    • Alt-eller-ingenting-tilgang

    • Delt brukerkonto på tvers av leverandører

    • Manglende MFA funksjonalitet

    • Lite logging og vanskelig overvåking

    • Kompleks administrasjon

     

    Løsningen: Behandle leverandører som privilegerte brukere

    I praksis har tredjepartsleverandører tilgang til dine mest kritiske OT-systemer. Derfor bør de behandles som det de faktisk er: privilegerte brukere.

    Still deg disse spørsmålene:

    • Vet vi nøyaktig hva hver leverandør kan aksessere?

    • Kan vi begrense tilgangen til kun det de trenger?

    • Kan vi overvåke og logge alt de gjør?

    • Kan vi stoppe en "remote" økt umiddelbart ved mistanke?

     

    Fem prinsipper for moderne tredjepartstilgang

    1. Zero Trust-tilgang på applikasjonsnivå
      → Gi tilgang til kun den turbinkontrolleren, SCADA-serveren eller HMI-en som trengs.

    2. Agentless tilgang
      → Leverandøren kobler seg til via nettleser – ikke tung klientinstallasjon.

    3. Full sporbarhet, overvåkning og opptak
      → Alle økter logges og kan overvåkes i sanntid eller spilles av i etterkant.

    4. Granulær tilgangskontroll
      → Unike brukere med rollebaserte rettigheter og tidsavgrenset tilgang.

    5. Legacy-støtte med moderne sikkerhet
      → Moderne autentisering kan beskytte eldre systemer – uten å bytte dem ut.

     

    Praktisk eksempel: Sikkert vedlikehold av offshore-turbin

    Tradisjonell tilnærming:

    • VPN gir tilgang til hele kontrollnettet

    • Leverandør kan uforvarende nå andre kritiske systemer

    • Svak logging, og manuell åpning/lukking av brannmurer

    Med Cyolo Zero Trust-løsning:

    • Unik, tidsavgrenset URL for oppdraget

    • MFA og spesifikk tilgang kun til turbinsystem

    • Sanntidslogging og mulighet for overvåkning

    • Automatisk fjerning av tilgang etter endt økt

     

    Regulatoriske krav skjerpes

    IEC 62443 og NIS2-direktivet krever:

    • Granulær tilgangskontroll

    • Full sporbarhet og logging

    • Bevisbar etterlevelse og risikoreduserende tiltak

    For å møte disse kravene, må du dokumentere hvem som hadde tilgang til hva, når, og hvorfor.

     

    Kostnad vs. risiko

    Kostnaden ved usikker tredjepartstilgang:

    • Produksjonsstans og tap ved cyberangrep

    • Ugyldiggjorte garantier

    • Compliance-brudd og bøter

    • Omdømmetap i en kritisk sektor

    Fordelene med moderne tilgangsstyring:

    • Forutsigbare kostnader (per bruker eller per økt)

    • Redusert administrasjon og høyere effektivitet

    • Innebygd etterlevelse

    • Rask og trygg respons på driftshendelser

     

    Last Mile sin tilnærming

    Som OT-sikkerhetspartner for industrielle virksomheter har vi sett hvor avgjørende god tilgangsstyring er. Vår erfaring er at de som lykkes:

    • Behandler leverandører som privilegerte brukere

    • Velger OT-spesifikke løsninger – ikke generelle IT-verktøy

    • Prioriterer brukeropplevelse og rask tilgang

    • Planlegger for å møte kravene i IEC 62443 og NIS2

     

    Neste steg – hva bør du gjøre nå?

    ✅ Kartlegg alle tredjepartsaktører med OT-tilgang
    ✅ Evaluer dagens risiko og kontrollmekanismer
    ✅ Vurder løsninger basert på Zero Trust
    ✅ Planlegg for nye regulatoriske krav

     

    Vil du vite mer om sikker fjernaksess til i dine OT-miljøer?
    Last Mile har lang erfaring med å industrielle løsninger i kritisk infrastruktur. Ta kontakt for en uforpliktende gjennomgang av dine utfordringer og muligheter.

    Temaer

    OT-cybersikkerhet Cyolo Olje og gass industriell datakommunikasjon Industrielt nettverk

    Stig Mortvedt's photo

    Av: Stig Mortvedt

    Stig Mortvedt er business manager Cyber Security løsninger for kritisk infrastruktur i Last Mile AS. Han har bred erfaring fra både salg, forretningsutvikling og ledelse i ulike bransjer, både som leverandør, forhandler og sluttbruker. Han har over 25 års erfaring fra Telecom og IT-bransjen hvor han hovedsakelig jobbet innen salg og ledelse både nasjonalt og internasjonalt. De siste 10 årene har han jobbet med fokus på forretningsutvikling innen industrisektoren og hvordan man skal sikre OT-infrastrukturen med fleksible, skalerbare og brukervennlige cyber løsninger. Stig er økonom og er opptatt av å få kommunisert nytteverdi og behov for endringsledelse til beslutningstakere slik at investeringene blir lønnsomme, og norske industriarbeidsplasser blir bevart.