Sikkerhetssystemene offshore blir stadig mer koblet sammen: Samme produsent leverer styre- og sikkerhetssystemer og felles software og brukergrensesnitt benyttes i ulike systemer. I tillegg er integrerte operasjoner innført og det er økt signaloverføring mellom systemer.
Regelverket stiller derimot krav om tilstrekkelig uavhengighet mellom sikkerhetsbarrierene, og at sikkerhetssystemene skal kunne utføre tiltenkte funksjoner uavhengig av andre systemer.
Petroleumstilsynet har derfor med assistanse fra SINTEF gjennomført et prosjekt hvor målsettingene har vært å vurdere hvor sikkerhetskritisk koblinger er, og å avdekke om enkelte slike koblinger er uakseptable.
Kartlegging
Det er gjennomført tilsyn hos tre operatører og tre leverandører av sikkerhetssystemer.
I rapporten har SINTEF flg. hovedkonklusjoner:
• industrien arbeider ikke systematisk med å sjekke at systemer er uavhengige av hverandre.
• uønskede IKT hendelser og trusler slik som virusangrep og nettstorm har til nå
ført til at installasjoner har stengt ned. Industrien synes ikke å ha full kontroll på om slike trusler også kan medføre sikkerhetsmessig konsekvenser i framtida.
• risikobildet generelt er noe uklart og bevisstheten bør styrkes i form av økt bruk av risiko- og sårbarhetsanalyser, bedre samarbeid mellom fagdisipliner (IKT / prosess / automatisering /instrument / telekom) og en generell kompetanseheving.
• de fleste installasjoner er ikke forberedt verken teknisk eller organisatorisk på
fjerntilgang. Det mangler både analyser og tekniske tiltak før dette kan tas i bruk over alt.
Petroleumstilsynet vil nå følge opp så industrien tar tak i svakhetene som er avdekket i rapporten. Se rapport til høyre på siden:
Les også tema om IT-sikkerhet i Gemini: Det nye trusselbildet
