I Nordsjøen står flere gamle plattformer som fremdeles bidrar betydelig til landets inntekter, de eldste er fra 70-tallet.
– Datasystemene på gamle plattformer må oppgraderes jevnlig, sier Andrey Nikishin, en av direktørene i det russiske sikkerhetsselskapet Kaspersky Lab.
– Man kan oppgradere styringssystemer på oljeplattformer lag for lag, men det er ikke den beste løsningen. Systemene er ofte utdaterte allerede etter 10- 15 år, påpeker russeren.
Problemet for de eldste plattformene er at det nær sagt er umulig å skifte ut systemene. Likevel er plattformene koblet til Internett. Sentrale kilder i Statoil som kjenner til risikoen på de gamle plattformene, forteller NRK, at de er livredde.
– Kjenner du til noen som har hacket seg inn på norske oljeinstallasjoner?
- Teknisk er det teoretisk mulig å angripe alle selskaper, sier Andrey Nikishin, direktør for Future Technologies Projects i Kaspersky Lab, et av verdens største sikkerhetsselskaper.
Foto: Kasparsky Lab– Ingen kommentar, jeg har ingen kommentar til det, sier russeren.
Risikoen kjent i hackermiljøer
Det er mange utfordringer med de gamle plattformene:
- plattformene ble bygget før Internett var påtenkt, systemene er koblet til Internett, noe som gjør dem sårbare
- det er svært kostbart og komplisert å skifte ut overvåkingssystemene
- på flere plattformer lappes det på systemene i stedet for å skifte dem ut
- angrepene mot styrings- og kontrollsystemer i olje- og gassektoren har mangedoblet seg på få år
- mye programvare og utstyr er utdatert og lite tilpasset digitale sårbarheter
- i praksis har det kun en teknisk barriere, brannmur, mellom kontrollrommet og omverdenen. På ny plattformer er det minst tre barrierer.
- Minst seks av Statoils plattformer har utarter styringssystemer
Det er komplekse systemer som styrer oljeplattformene. Systemene håndterer, styrer og overvåker mellom 20.000 og 80.000 signaler fra plattformens kontrollrom. Oppstår en mindre gasslekkasje, gir systemet beskjed og fra kontrollrommet kan man stenge av berørt område.
Når ondsinnede stater og personer vil angripe sentral infrastruktur, står kontrollsystemene sentralt i angrepene.
Utfordring for selskaper i hele verden
EN KALKULERT RISIKO: – Sårbarheten og risikoen er godt kjent hos myndigheter og selskaper, sier Sofie Nystrøm i CCIS.
Foto: Oda Hveem– Man tar en kalkulert risiko når gamle systemer er koblet til Internett, sier Sofie Nystrøm, direktør i CCIS, NTNUs senter for cybersikkerhet.
Å oppgradere ulike datasystemer på en stor plattform kan koste nær en milliard kroner og er en tidkrevende prosess.
– Å skifte ut hele kontrollsystemet på en plattform kan ta 0,5 til 2 år. Det er en utfordring for selskaper i hele verden, sier Andrey Nikishin, sikkerhetseksperten i Kaspersky Lab.
Når det kan to år å skifte ut hele styringssystemet, er det en liten lønnsom affære hvis plattformen må stenge ned produksjonen i prosessen.
For de eldste plattformene, fra før Internett, laget man flere styringssystemer som aldri var ment og skiftes ut. I praksis er det kun en teknisk barriere, en såkalt brannmur, mellom Internett og plattformenes kontrollrom, på de gamle plattformene, det gjør dem ekstra sårbare.
Lite tilpasset dagens digitale sårbarheter
I flere offentlige rapporter er sårbarhetene i oljesektorene et tema. I en NOU om Digitale sårbarheter fra 2015 står det:
«Mange av innretningene på norsk kontinentalsokkel er designet for en levetid på mellom 15 og 25 år, og en rekke av disse har fått samtykke til forlenget levetid. Det betyr at mye av utstyr og programvare er utdatert og lite tilpasset dagens digitale sårbarheter.»
– Konstant, hver eneste dag, må man minne om viktighetene av oppgradere systemene. Men fra et cybersikkerhetsmessig perspektiv, så kan gamle systemer være trygge. Men teknisk er det teoretisk mulig å angripe alle selskaper og alle infrastrukturer. Spørsmålet er ikke om man blir angrepet men NÅR, sier Nikishin.
Les også: En tastefeil stanset Statoil
