Russisk sikkerhetsekspert: – Datasystemer på gamle oljeplattformer må skiftes

Noen av datasystemene på oljeplattformene i Nordsjøen er så gamle at de utgjør en risiko. – Systemene som styrer plattformene bør skiftes jevnlig, advarer russisk sikkerhetsselskap.

Russer og Statoil

GAMMEL PLATTFORM PÅ VIKTIG OLJEFELT: I 1979 startet man produksjonen på Statfjord A. Datasystemene som styrer plattformen fikk en større oppgradering i 2006. Plattformen har en vekt på 600 000 tonn, og den totale høyden er på 270 meter. Statfjordfeltet ligger rett vest for munningen av Sognefjorden. Feltet har vært helt sentralt for Norge som oljenasjon.

Foto: Harald Pettersen/ Kasparsky Lab / Statoil ASA/ Kasparsky Lap

I Nordsjøen står flere gamle plattformer som fremdeles bidrar betydelig til landets inntekter, de eldste er fra 70-tallet.

– Datasystemene på gamle plattformer må oppgraderes jevnlig, sier Andrey Nikishin, en av direktørene i det russiske sikkerhetsselskapet Kaspersky Lab.

– Man kan oppgradere styringssystemer på oljeplattformer lag for lag, men det er ikke den beste løsningen. Systemene er ofte utdaterte allerede etter 10- 15 år, påpeker russeren.

Problemet for de eldste plattformene er at det nær sagt er umulig å skifte ut systemene. Likevel er plattformene koblet til Internett. Sentrale kilder i Statoil som kjenner til risikoen på de gamle plattformene, forteller NRK, at de er livredde.

– Kjenner du til noen som har hacket seg inn på norske oljeinstallasjoner?

Andrey Nikishin

- Teknisk er det teoretisk mulig å angripe alle selskaper, sier Andrey Nikishin, direktør for Future Technologies Projects i Kaspersky Lab, et av verdens største sikkerhetsselskaper.

Foto: Kasparsky Lab

– Ingen kommentar, jeg har ingen kommentar til det, sier russeren.

Risikoen kjent i hackermiljøer

Det er mange utfordringer med de gamle plattformene:

  • plattformene ble bygget før Internett var påtenkt, systemene er koblet til Internett, noe som gjør dem sårbare
  • det er svært kostbart og komplisert å skifte ut overvåkingssystemene
  • på flere plattformer lappes det på systemene i stedet for å skifte dem ut
  • angrepene mot styrings- og kontrollsystemer i olje- og gassektoren har mangedoblet seg på få år
  • mye programvare og utstyr er utdatert og lite tilpasset digitale sårbarheter
  • i praksis har det kun en teknisk barriere, brannmur, mellom kontrollrommet og omverdenen. På ny plattformer er det minst tre barrierer.
  • Minst seks av Statoils plattformer har utarter styringssystemer

Det er komplekse systemer som styrer oljeplattformene. Systemene håndterer, styrer og overvåker mellom 20.000 og 80.000 signaler fra plattformens kontrollrom. Oppstår en mindre gasslekkasje, gir systemet beskjed og fra kontrollrommet kan man stenge av berørt område.

Når ondsinnede stater og personer vil angripe sentral infrastruktur, står kontrollsystemene sentralt i angrepene.

Utfordring for selskaper i hele verden

Sofie Nystrøm

EN KALKULERT RISIKO: – Sårbarheten og risikoen er godt kjent hos myndigheter og selskaper, sier Sofie Nystrøm i CCIS.

Foto: Oda Hveem

– Man tar en kalkulert risiko når gamle systemer er koblet til Internett, sier Sofie Nystrøm, direktør i CCIS, NTNUs senter for cybersikkerhet.

Å oppgradere ulike datasystemer på en stor plattform kan koste nær en milliard kroner og er en tidkrevende prosess.

– Å skifte ut hele kontrollsystemet på en plattform kan ta 0,5 til 2 år. Det er en utfordring for selskaper i hele verden, sier Andrey Nikishin, sikkerhetseksperten i Kaspersky Lab.

Når det kan to år å skifte ut hele styringssystemet, er det en liten lønnsom affære hvis plattformen må stenge ned produksjonen i prosessen.

For de eldste plattformene, fra før Internett, laget man flere styringssystemer som aldri var ment og skiftes ut. I praksis er det kun en teknisk barriere, en såkalt brannmur, mellom Internett og plattformenes kontrollrom, på de gamle plattformene, det gjør dem ekstra sårbare.

Lite tilpasset dagens digitale sårbarheter

I flere offentlige rapporter er sårbarhetene i oljesektorene et tema. I en NOU om Digitale sårbarheter fra 2015 står det:

«Mange av innretningene på norsk kontinentalsokkel er designet for en levetid på mellom 15 og 25 år, og en rekke av disse har fått samtykke til forlenget levetid. Det betyr at mye av utstyr og programvare er utdatert og lite tilpasset dagens digitale sårbarheter.»

– Konstant, hver eneste dag, må man minne om viktighetene av oppgradere systemene. Men fra et cybersikkerhetsmessig perspektiv, så kan gamle systemer være trygge. Men teknisk er det teoretisk mulig å angripe alle selskaper og alle infrastrukturer. Spørsmålet er ikke om man blir angrepet men NÅR, sier Nikishin.

I noen forskningsmiljøer kalles SCADA, det vanligste styrings- og kontrollsystemet, for et digitalt våpen.

Les også: En tastefeil stanset Statoil

Laster innhold, vennligst vent..
Laster innhold, vennligst vent..

SISTE NYTT

Siste meldinger