Tredjepartsleverandører er ikke bare nyttige støttespillere i olje- og gassindustrien – de er helt avgjørende for å holde driften i gang. Men hver gang en ekstern aktør får fjernaksess til dine OT-systemer, åpner du også døren for potensielle sikkerhetsbrudd.
Så hvordan balanserer du operasjonell nødvendighet med kravet til cybersikkerhet?
På en offshore-installasjon finner vi ofte:
Turbinleverandører som må kunne gjøre fjernsupport og diagnostikk
Automasjonsleverandører med eksklusiv tilgang til proprietære systemer
Prosessleverandører som er de eneste som kan konfigurere kritisk utstyr
OEM-teknikere som har monopol på garanti-godkjent vedlikehold
Eksempel: En gassturbin trenger akutt vedlikehold. Bare leverandørens sertifiserte teknikere kan koble seg til uten å ugyldiggjøre en garanti verdt flere millioner kroner. Alternativet? Helikoptertransport, stans i produksjonen og potensielt flere dager med nedetid.
Tredjepartsleverandører er altså ikke valgfrie – de er forretningskritiske.
En fersk studie fra Ponemon Institute viser at industriselskaper i snitt gir 77 tredjepartsleverandører tilgang til sine OT-miljøer. En fjerdedel har over 100.
På norsk sokkel ser vi typisk:
Hovedleverandører
Underleverandører med egne spesialiserte team
Internasjonale aktører
Maritime partnere og rederier
Hver enkelt utgjør en potensiell inngangsport til dine mest sensitive systemer.
Et kjent scenario:
Operatør stiller krav til sikkerhet
Hovedleverandør implementerer løsningene
Underleverandør utfører det praktiske arbeidet
Alle peker på hverandre når noe går galt
Til slutt er det virksomheten som sitter med det faktiske ansvaret. Og da må også tilgangskontrollen forankres der.
Mange installasjoner på norsk sokkel benytter fortsatt utstyr som:
Er 10–20 år gammelt
Ikke kan oppdateres (patches)
Benytter proprietære protokoller
Kun kan betjenes av autorisert personell grunnet garantivilkår
Tradisjonelle VPN-løsninger gir ikke tilstrekkelig sikkerhet:
Alt-eller-ingenting-tilgang
Delt brukerkonto på tvers av leverandører
Lite logging og vanskelig overvåking
Kompleks administrasjon
I praksis har tredjepartsleverandører tilgang til dine mest kritiske OT-systemer. Derfor bør de behandles som det de faktisk er: privilegerte brukere.
Still deg disse spørsmålene:
Vet vi nøyaktig hva hver leverandør kan aksessere?
Kan vi begrense tilgangen til kun det de trenger?
Kan vi overvåke og logge alt de gjør?
Kan vi stoppe en "remote" økt umiddelbart ved mistanke?
Zero Trust-tilgang på applikasjonsnivå
→ Gi tilgang til kun den turbinkontrolleren, SCADA-serveren eller HMI-en som trengs.
Agentless tilgang
→ Leverandøren kobler seg til via nettleser – ikke tung klientinstallasjon.
Full sporbarhet, overvåkning og opptak
→ Alle økter logges og kan overvåkes i sanntid eller spilles av i etterkant.
Granulær tilgangskontroll
→ Unike brukere med rollebaserte rettigheter og tidsavgrenset tilgang.
Legacy-støtte med moderne sikkerhet
→ Moderne autentisering kan beskytte eldre systemer – uten å bytte dem ut.
Tradisjonell tilnærming:
VPN gir tilgang til hele kontrollnettet
Leverandør kan uforvarende nå andre kritiske systemer
Svak logging, og manuell åpning/lukking av brannmurer
Med Cyolo Zero Trust-løsning:
Unik, tidsavgrenset URL for oppdraget
MFA og spesifikk tilgang kun til turbinsystem
Sanntidslogging og mulighet for overvåkning
Automatisk fjerning av tilgang etter endt økt
IEC 62443 og NIS2-direktivet krever:
Granulær tilgangskontroll
Full sporbarhet og logging
Bevisbar etterlevelse og risikoreduserende tiltak
For å møte disse kravene, må du dokumentere hvem som hadde tilgang til hva, når, og hvorfor.
Kostnaden ved usikker tredjepartstilgang:
Produksjonsstans og tap ved cyberangrep
Ugyldiggjorte garantier
Compliance-brudd og bøter
Omdømmetap i en kritisk sektor
Fordelene med moderne tilgangsstyring:
Forutsigbare kostnader (per bruker eller per økt)
Redusert administrasjon og høyere effektivitet
Innebygd etterlevelse
Rask og trygg respons på driftshendelser
Som OT-sikkerhetspartner for industrielle virksomheter har vi sett hvor avgjørende god tilgangsstyring er. Vår erfaring er at de som lykkes:
Behandler leverandører som privilegerte brukere
Velger OT-spesifikke løsninger – ikke generelle IT-verktøy
Prioriterer brukeropplevelse og rask tilgang
Planlegger for å møte kravene i IEC 62443 og NIS2
✅ Kartlegg alle tredjepartsaktører med OT-tilgang
✅ Evaluer dagens risiko og kontrollmekanismer
✅ Vurder løsninger basert på Zero Trust
✅ Planlegg for nye regulatoriske krav
Vil du vite mer om sikker fjernaksess til i dine OT-miljøer?
Last Mile har lang erfaring med å industrielle løsninger i kritisk infrastruktur. Ta kontakt for en uforpliktende gjennomgang av dine utfordringer og muligheter.