logo
    Kontakt oss
    Tilbake

    Sikring av legacy-systemer i olje- og gassindustrien: Slik møter du IEC-62443 kravene uten utskiftning av eksisterende infrastruktur

    Av Stig Mortvedt | 16. januar 2025

    Implementering av OT-sikkerhet: Fra kartlegging til kontinuerlig forbedring.

    Cybersikkerhet i OT-miljøer: Et ledelsesansvar

    De fleste virksomheter innen olje- og gassindustrien står overfor en kritisk utfordring: Hvordan sikre legacy-systemer mot moderne cybertrusler uten å kompromittere driftsstabilitet eller påføre uforholdsmessige kostnader? Det finnes flere løsninger som gir deg fantastisk monitorering og innsikt, men hvilke løsninger er det som faktisk beskytter OT-nettet?

    Med nye regulatoriske krav som NIS2-direktivet og IEC-62443 standardene, har dette gått fra å være en teknisk utfordring til å bli et strategisk ledelsesspørsmål.

     

    Kritiske sårbarheter i dagens OT-infrastruktur

    Utdaterte systemer og operativ risiko

    Mange aktører opererer fortsatt med systemer som ble implementert før cybersikkerhet ble en kritisk faktor. Disse systemene utgjør ikke bare en teknisk utfordring, men representerer en direkte risiko for HMS og operasjonell kontinuitet. Vår erfaring er at teknikerne ofte har god innsikt og forståelse for dagens krav og behov, mens ledelsen som sitter med ansvaret i mindre grad har denne kompetansen. Vi ser på noen av utfordringene:

    Den skjulte kostnaden ved manglende segmentering

    Tradisjonelt har mange virksomheter operert med flat nettverksstruktur mellom IT og OT-systemer. Dette skaper en betydelig sikkerhetsrisiko hvor et angrep kan spre seg uhindret på tvers av kritiske systemer. Typiske kritiske utfordringer du bør kjenne til:

    • Ukontrollert spredning: Et sikkerhetsbrudd i én del av nettverket kan raskt spre seg til kritiske systemer uten naturlige barrierer eller kontrollpunkter.
    • Manglende oversikt: Flat nettverksstruktur gjør det vanskelig å overvåke og kontrollere datatrafikk mellom ulike systemer og enheter.
    • Komplisert feilsøking: Ved sikkerhetshendelser blir det utfordrende å isolere og identifisere problemkilden når alt er koblet sammen i samme nettverk.
    • Økt angrepsflate: Hver kobling mellom IT og OT-systemer representerer en potensiell inngangsport for ondsinnede aktører.
    • Regulatoriske utfordringer: Manglende segmentering gjør det vanskelig å etterleve moderne sikkerhetsstandarder og regulatoriske krav som NIS2.

    Patching-paradokset

    Legacy-systemer mangler ofte mulighet for tradisjonell sikkerhetsoppdatering. Dette skaper et dilemma hvor kritisk infrastruktur forblir sårbar selv når trusler er kjente. Legacy-systemer i industrielle miljøer står overfor store utfordringer når det gjelder sikkerhetsoppdateringer:

    Tekniske barrierer:

    • Mange systemer kjører på spesialtilpasset programvare som ikke kan oppdateres uten å risikere å miste funksjonalitet
    • Enkelte systemer har begrenset lagringskapasitet eller prosessorkraft som hindrer moderne sikkerhetsløsninger
    • Proprietære systemer kan mangle støtte for standard sikkerhetsprotokoller

    Operasjonelle konsekvenser:

    • Nedetid for sikkerhetsoppdateringer er ofte ikke akseptabelt i 24/7-operasjoner
    • Testing av oppdateringer kan være komplisert i integrerte systemer
    • Enkelte leverandører tillater ikke modifikasjoner av systemene uten å ugyldiggjøre garantier

    Økonomiske implikasjoner:

    • Kostnadene ved å erstatte fungerende legacy-systemer kan være betydelige
    • Spesialtilpassede sikkerhetsløsninger krever ofte betydelige investeringer
    • Balansen mellom operasjonell risiko og sikkerhetsinvesteringer blir kompleks

    Forretningsmessige implikasjoner for ledelsen

    Juridisk ansvar og "compliance"

    Som reder eller ledelse har du et direkte ansvar for cybersikkerheten i dine OT-systemer. NIS2-direktivet stiller spesifikke krav til sikring av kritisk infrastruktur, med potensielt betydelige konsekvenser ved manglende etterlevelse.

    Operasjonell risiko og nedetid

    Et vellykket cyberangrep kan resultere i omfattende driftsstans. I olje- og gassindustrien kan dette bety millioner i tapte inntekter per dag, i tillegg til potensielle HMS-hendelser. En løsning med utgangspunkt i IT-sikkerhet vil mest sannsynlig ikke være dekkende for OT-nettet, og spesielt ikke over litt tid. 

    Konkurranseevne i et digitalisert marked

    Manglende cybersikkerhet kan hindre nødvendig digitalisering og modernisering, noe som direkte påvirker virksomhetens evne til å konkurrere effektivt.

     

    Praktisk tilnærming til OT-sikkerhet

    Trinnvis implementering av IEC-62443

    En effektiv sikkerhetsstrategi starter med en grundig kartlegging av eksisterende systemer og deres sårbarheter. IEC-62443 gir et rammeverk for systematisk sikring av industrielle kontrollsystemer.

    Moderne løsninger for legacy-systemer

    Med spesialiserte "endpoint protection"-løsninger kan levetiden på eksisterende utstyr forlenges med flere år, samtidig som sikkerheten ivaretas. Dette gir en betydelig ROI sammenlignet med full utskiftning av systemer.

    Praktiske løsningsstrategier

    • Implementering av nettverks segmentering og sikkerhetsbarrierer rundt sårbare systemer
    • Bruk av spesialiserte sikkerhetsløsninger designet for "legacy"-systemer
    • Risiko basert tilnærming til sikkerhet hvor kritiske systemer prioriteres
    • Gradvis modernisering av systemer basert på risiko og forretningsmessig betydning

    Disse utfordringene krever en helhetlig tilnærming til sikkerhet som balanserer operasjonelle behov, tekniske begrensninger og sikkerhetskrav. Moderne sikkerhetsløsninger må derfor være fleksible nok til å beskytte "legacy"-systemer uten å kompromittere deres funksjonalitet eller stabilitet.

    solution-strategies

     

    Kjenner du til TXOne Networks OT-sikkerhetsløsning?

    Last Mile tilbyr TXOne Networks spesialiserte sikkerhetsløsninger designet spesifikt for å beskytte industrielle OT-miljøer innen alle bransjer. Deres tilnærming kombinerer tre kritiske strategier:

    1. Lock Down: Etablerer pålitelige tilgangslister for endepunkter og nettverk
    2. Segment: Implementerer effektiv nettverks segmentering for å hindre spredning av trusler
    3. Reinforce: Beskytte eiendeler på nettverksnivå uten å forstyrre kontinuerlig drift

    Dette gir virksomheter mulighet til å beskytte "legacy"-systemer og ikke-patchbare enheter mot moderne cybertrusler, samtidig som man opprettholder operasjonell stabilitet. For ledelsen betyr dette redusert risiko for driftsforstyrrelser og bedre etterlevelse av regulatoriske krav, mens teknisk personell får verktøyene de trenger for å implementere effektiv cybersikkerhet uten å kompromittere eksisterende operasjoner.

    txone-illustration

     

    Hvordan sikre kontinuerlig produksjon og oppetid for fremtiden?

    Balansering av innovasjon og sikkerhet

    Ved å implementere riktige sikkerhetsløsninger nå, legger dere grunnlaget for fremtidig digitalisering og innovasjon uten å kompromittere sikkerheten. Det finnes løsninger på OT siden som sikrer driften i mange år fremover.

    Langsiktig verdiskapning

    Investeringer i OT-sikkerhet må ses i sammenheng med den totale verdiskapningen: redusert risiko, økt driftsstabilitet, og mulighet for digital transformasjon. 

     

    Konklusjon og neste steg

    Som leder i olje- og gassindustrien er det kritisk å ta aktive grep for å sikre legacy-systemer mot moderne cybertrusler. Ved å implementere en gjennomtenkt sikkerhetsstrategi kan man både møte regulatoriske krav og sikre langsiktig konkurranseevne.

    Ta kontakt med oss i Last Mile for en uforpliktende gjennomgang av hvordan vi kan hjelpe deg med å sikre dine OT-systemer på en kostnadseffektiv måte.

    Temaer

    OT-cybersikkerhet Olje og gass TXOne

    Stig Mortvedt's photo

    Av: Stig Mortvedt

    Stig Mortvedt er business manager Cyber Security løsninger for kritisk infrastruktur i Last Mile AS. Han har bred erfaring fra både salg, forretningsutvikling og ledelse i ulike bransjer, både som leverandør, forhandler og sluttbruker. Han har over 25 års erfaring fra Telecom og IT-bransjen hvor han hovedsakelig jobbet innen salg og ledelse både nasjonalt og internasjonalt. De siste 10 årene har han jobbet med fokus på forretningsutvikling innen industrisektoren og hvordan man skal sikre OT-infrastrukturen med fleksible, skalerbare og brukervennlige cyber løsninger. Stig er økonom og er opptatt av å få kommunisert nytteverdi og behov for endringsledelse til beslutningstakere slik at investeringene blir lønnsomme, og norske industriarbeidsplasser blir bevart.