Sammendrag
Petroleumsindustrien blir stadig mer digitalisert, noe som fører til en sammenkobling av IT- og OT-systemer. Sammenkoblingen fører til at trusselbildet til OT-systemene utvides til å også omfatte cybersikkerhetstrusler. Tradisjonelt har sikkerhet for OT-systemer handlet om safety, ved å sikre fysiske verdier og hindre ulykker. Med økt sammenkobling blir det nødvendig å også vurdere security, ved å sikre data og informasjon. En barriere er et tiltak for å hindre eller minske konsekvensene av uønskede hendelser. Barrierer brukes i sikkerhetsstyring for OT-systemer, men det har vært mindre vanlig å se på bruk av barrierekonseptet for cybersikkerhet. Oppgaven ser på hvordan barrierekonseptet kan brukes for cybersikkerhet. Ettersom tekniske tiltak i seg selv ikke er nok til å håndtere cyberangrep, har vi sett på ikke-tekniske barrier. Vi har brukt teknologivitenskap som undersøkelsesdesign, med en analysefase, en nyskapningsfase og en evalueringsfase. For å samle inn informasjon har vi gjort en litteraturstudie og gjennomført samtaler med representanter fra industrien i flere runder. I nyskapningsfasen tok vi utgangspunkt i et ransomware-angrep mot et OT-system i petroleumsindustrien. Videre identifiserte vi ikke-tekniske barrierer som kunne hindre eller minske konsekvensene av angrepet. En del av oppgaven inkluderte også å undersøke hvilke krav fra ISA/IEC 62443-2-1 som bør være dekket av de ikke-tekniske barrierene. Deretter ble metoden vi brukte for å identifisere barrierene generalisert slik at den kunne brukes for andre angrepsscenarioer. Resultatet av arbeidet var MICS, en metode for identifisering av ikke-tekniske cybersikkerhetsbarrierer. MICS kan brukes til å analysere nye angrepsscenarioer før eller etter de har skjedd. Metoden innebærer at scenarioet skal detaljeres i henhold til MITRE-rammeverket for å få oversikt over de ulike stegene en angriper må gå gjennom for å utføre angrepet. Hensikten er å se hvor man bør sette inn barrierer for å stoppe angrepet. Ved å i tillegg inkludere krav fra ISA/IEC 62443-2-1 i MICS vil det bidra til at industrien lettere kan anvende standarden. Med MICS har vi identifisert ikke-tekniske barrierer for cybersikkerhet, noe som viser at barrierebegrepet er mulig å anvende på cybersikkerhetstiltak.