Cybersecurity Incident Management Process in Industrial ICT Systems

Abstract

Industrielle kontrollsystemer inkorporerer informasjonsteknologi (IT) komponenter, som åpner opp for muligheter for fjernstyring, avansert dataanalyse og mer. Med økt konnektivitet følger risikoen for at sikkerhet kan kompromitteres av en cybersikkerhetshendelse. Denne oppgaven vil fokusere på nåværende rutiner for hendelseshåntering av cybersikkerhetshendelser for to grupper innenfor oljeselskaper, IT og operasjonsteknologi (OT). Ved å analysere hvordan de håndterer cybersikkerhetshendelser i dag er målet å identifisere områder hvor de to gruppene burde samarbeide for å møte fremtidens trusler.

For å adressere dette, vil vi først gjennomføre et litteraturstudie, for å få forståelse for industrien og forberede en intervjuguide til intervjuene med relevante aktører. Semi-strukturerte intervjuer vil brukes som metode for å samle inn data, og ansatte fra både IT og OT fra flere norske oljeselskaper skal intervjues. Resultatene fra intervjuene viser at industrien har et høyt fokus på perioden før en hendelse skjer, og bruker mest ressurser for å forhindre en hendelse. En grunn til dette kan være at bransjen ikke har opplevd større cybersikkerhetshendelser. Videre ble det identifisert fire områder de to gruppene kan vurdere å fokusere på fremover. Disse er økt fokus på roller og ansvarsfordeling, samarbeid og mer trening, øvelse og cyber bevissthet, i tillegg til en felles definisjon for hva en cybersikkerhetshendelse er for noe.

Vi vil også utforske om andre industrier innenfor kritisk infrastruktur har møtt på de samme utfordringene som olje og gass, og om de kan utveksle erfaringer. De samme metodene vil bli brukt for å få innsyn hos to forskjellige sektorer, et selskap fra transportsektoren og et fra energisektoren. Et sentralisert miljø for både IT og OT blir trukket frem som en mulig tilnærming for økt samarbeid. Disse intervjuene viser at utfordringene ligner for alle selskapene fra de ulike industriene. Derfor burde muligheten for å dele kunnskap og erfaringer på tvers av industrier vurderes.

Industrial Control Systems (ICS) are incorporating Information Technology (IT) components, which opens up for remote access possibilities, advanced data analytic, and more. With the increased connectivity, follows the risk of safety now being compromised by a cybersecurity incident. This thesis will focus on current routines for cybersecurity incident management in two different groups from oil companies, IT and Operational Technology (OT). By analyzing how they handle cybersecurity incidents today, the goal is to identify areas where the two groups should align their interest to better face the threats of the future.

To address this, we will first conduct a literature review to get an understanding of the industry and to prepare an interview guide. Semi-structured interviews will be used as the primary data collecting method, and we will interview employees from both IT and OT of several Norwegian oil and gas companies. Results from the interviews show that the industry has a high focus on the period before an incident happens, spending the most resources on preventing an incident from occurring. One reason for this could be that the industry has yet to experience larger cybersecurity incidents. Furthermore, areas that should be considered a focus for the two groups moving forward were identified. These are increased focus on responsibility and role distribution, cooperation, and more training, exercising and awareness. Lastly, the need to define a clear definition of a cybersecurity.

We also want to explore if industries from other critical infrastructure have faced the same challenges and whether the oil and gas industry can learn from their experiences. The same methods will be used to gain insight from two different sectors, one company from the energy sector and one in the transport domain. A centralized environment for IT and OT is highlighted as a possible approach for better cooperation. These interviews show that the challenges they address are similar to those from the oil and gas industry. Therefore, sharing knowledge and experiences across industries should be considered.