Kartlegging av tiltak for håndtering av OT-cybersikkerhet i norsk petroleumsindustri. En kvalitativ studie av menneskelige og organisatoriske faktorer som påvirker håndtering av OT cybersikkerhet.

Økt digitalisering og et dynamisk trusselbilde har ført til økt oppmerksomhet rundt cybersikkerhet i operasjonelle teknologisystemer (OT) på norsk sokkel. OT- systemer, som styrer industrielle prosesser, har tidligere operert i isolert tilstand, men kobles nå i økende grad mot IT-nettverk som et resultat av digitalisering. Denne konvergensen åpner for økt datatrafikk mellom IT og OT, og eksponerer OT-miljøene for et trusselbilde de ikke opprinnelig er designet for å imøtekomme. Denne masteroppgaven undersøker hvordan OT- cybersikkerhet håndteres i den norske petroleumsindustrien, med fokus på organisatoriske og menneskelige faktorer. Oppgaven er gjennomført som en del av SINTEFs forskningsprosjekt Cybersecurity Barrier Management (CBM), hvilket har som formål å utvikle kunnskap og veiledning for å styrke cybersikkerheten i industrielle kontroll- og sikkerhetssystemer. Teorigrunnlaget bygger på et sammensatt rammeverk basert på en MTO-tilnærming og inkluderer tradisjonelle sikkerhetsperspektiver for å gi et helhetlig utgangspunkt for å analysere teknologiske, organisatoriske og menneskelige forhold. Rammeverket redegjør også for relevante begreper og konsepter som anses å være nødvendig i henhold til oppgavens formålsbeskrivelse. Studien benytter kvalitativ forskningsmetode, og bygger på semistrukturerte intervjuer med sentrale aktører i bransjen, kombinert med en systematisk litteraturgjennomgang. Intervjudataene er analysert ved hjelp av en stegvis deduktiv induktiv metode (SDI). Resultatene viser at det forekommer variasjoner i hvordan OT cybersikkerhet organiseres, forstås og praktiseres på norsk sokkel. Organisatoriske forhold som struktur, ressurstilgang og sikkerhetskultur påvirker i stor grad cybersikkerhetstiltakenes effektivitet. Det er tegn til økt samhandling på tvers av fagmiljøer, men fortsatt betydelig forbedringspotensialer knyttet til rolleavklaring, koordinering og helhetlig tilnærming. Studien viser også at formelle rammer alene ikke er tilstrekkelig, og tiltak påvirkes i særlig stor grad av individuelle fortolkninger og etterlevelse av krav. Oppgaven bidrar med empirinær innsikt i et felt hvor det pågår mye ny forskning, og søker å belyse hvordan teknologiske, menneskelige og organisatoriske forhold virker sammen i arbeidet med å sikre kritisk infrastruktur mot cyberangrep.