En konservativ holdning til digitalisering i olje og gass bransjen har ført til at de ligger bak når det gjelder digital utvikling. Nå har derimot digitalisering fått en betydelig større plass på bransjens dagsorden. Det tapte skal tas igjen – og det skal gå fort. Bransjen er sårbar, og besitter mye sensitiv informasjon. Det ikke rom for å slurve med IT-sikkerheten.

Jobber du innen olje-og gass? Da bør du lese dette.

Rask digitalisering i olje og gass bransjen

DNV GLs årlige rapport (referanse: https://www.dnvgl.com/oilgas/publications/industry-outlook-reports.html)  viser at digitalisering har rykket raskere oppover på agendaen i olje- og gassbransjen i Norge enn i resten av verden. Det er mye som skal tas igjen, og det på kort tid. Behovet for effektivisering, økt lønnsomhet, modernisering og å tiltrekke seg ung arbeidskraft er sterke drivere for utviklingen. Implementering av automatiserte digitale løsninger som kostnadsbesparende tiltak, går raskt.

Det er avgjørende at det parallelt med digitaliseringen arbeides med å etablere en forståelse av risiko og sårbarhet knyttet til den digitale omstillingen. Først da vil man få oversikt over hvilke sikkerhetstiltak som er nødvendig for å ivareta IT-sikkerheten. Å finne gode løsninger som ivaretar verdiskapning og sikkerhet, bør derfor være det overordnede målet.

Sårbare for hacking

I motsetning til de fleste andre bransjer, er store deler av olje- og gassbransjen av nasjonal betydning og av internasjonal interesse, både blant venner og fiender. Dersom sensitiv informasjon havner på avveie, kan konsekvensene være enorme. Ikke bare for selskapet, men også for øvrig befolkning. Frykten er naturligvis destruktiv terror mot kritisk infrastruktur. For bransjen selv er nedetid en konsekvens som kan medføre store kostnader.

Samarbeid på tvers av landegrenser

Bransjens store samarbeidsprosjekter på tvers av organisasjoner og landegrenser, eller outsourcing av sentrale aktiviteter, kan skape sikkerhetsmessige utfordringer. To selskaper kan være tette samarbeidspartnere på ett prosjekt og konkurrere på et annet. Det skaper en hårfin balansegang, hva kan deles og hva bør holdes hemmelig?

Uklare samarbeidsavtaler vedrørende informasjonsdeling og behandling av data, er derfor utfordringer som kan utgjøre en risiko. Mange bedrifter har liten innsikt i samarbeidspartnernes IT-sikkerhet.

Slike samarbeid stiller også krav til deling av data eller mobile enheter. Skybasert lagring eller usikrede nettverk kan gi store sikkerhetshull dersom det ikke eksisterer en helhetlig plattform for IT-sikkerhet. Sikkerheten må ivaretas i og mellom alle ledd. Les mer om dette her.

Utstrakt bruk av IoT (internet of things)

Også internet of things kan utgjøre en stor sikkerhetstrussel mot bransjen. Videokameraer, mikrofoner, bevegelsessensorer osv. kan gi tilgang til ufrivillig overvåkning eller og avlytting. Stadig mer bruk av sensorer og automatikk som er koblet til nettverket, skaper enorme effektivitetsgevinster og mulighet til å overvåke utstyr på en mye bedre måte som aldri før har vært mulig. Dette introduserer imidlertid også potensielle muligheter for uvedkommende til å ta kontroll over kritiske elementer i infrastrukturen og bruke dette for å iverksette målrettede angrep og aksjoner, eller god gammeldags utpressing. Les mer her.

Konkrete tiltak for IT-sikkerhet

GDPR – en mulighet!

Det nye GDPR-direktivet som trer i kraft mai 2018, setter nye og strenge krav til IT-sikkerheten. Direktivet er en nødvendighet og bør ses på som en mulighet til å oppdatere seg på trusselbildet. En sikkerhetsanalyse vil gi en god oversikt over sikkerheten i dine systemer. Hva en slik analyse viser, kan du lese mer om her.

Implementering av konkrete sikkerhetstiltak gjør bedriften rustet for å møte de digitale truslene som garantert vil dukke opp. Dersom du ikke griper denne muligheten nå, vil det bli vanskelig å ta igjen det tapte. Mer om direktivet og hvordan det bør gripes an, kan du lese om her.

Få på plass en beredskapsplan

En vurdering av sårbarhet og risiko er avgjørende for å kunne vurdere arbeidet videre. Dette bør være en sentral del av beredskapsarbeidet. Det er ikke alt du kan beskytte deg mot, men er du godt forberedt, vil du kunne redusere skadeomfanget av et dataangrep. Lurer du på hva en beredskapsplan bør inneholde, får du gode tips her.

Sett krav til samarbeidspartnere

Det hjelper lite om du har sikret dine systemer, dersom dine samarbeidspartnere eller leverandører ikke har det. Sørg for gode avtaler med samarbeidspartnere, med avklaringer hva gjelder samarbeidet og ikke minst krav til deres håndtering av dine data.

For å lykkes med den raske digitale omstillingen som vi ser i olje- og gassbransjen, må IT-sikkerhet utgjøre en stor del av den digitale dagsordenen. Først da vi bransjen kunne evne å løse dagens, og morgendagens utfordringer.