| dc.description.abstract | Den økte bruken av informasjonsteknologi (IT) i industrielle styringssystemer (ICS) utsetter ICS for tidligere ukjente trusler. Følgelig har cybersikkerhet blitt en del av barrierestyringen som er ansvarlig for å ivareta helse, sikkerhet og miljø (HMS) på norsk kontinentalsokkel. De sofistikerte cyberangrepene, Stuxnet, Industroyer og Trisis, har vist at trusselaktører målrettet angriper ICS. Med et trusselbilde der sofistikerte trusselaktører er i stand til å forstyrre olje- og gassinstallasjoner gjennom cyberangrep, er det følgelig behov for å forstå hvordan installasjoner på norsk sokkel bør beskyttes mot cyberangrep. Denne masteroppgaven tar sikte på å bestemme hvordan implementerte cybersikkerhetsbarrierer på norsk sokkel er i samsvar med utvalgte veiledninger for cybersikkerhet i industrielle styringssystemer.
For å svare på problemstillingen ble en gap-analyse gjennomført mellom de implementerte cybersikkerhetsbarrierene hos en operatør på norsk kontinentalsokkel, og tre utvalgte veiledninger for cybersikkerhet i industrielle styringssystemer. Gap-analysen ble gjennomført som en case-studie av en enkelt virksomhet hvor virksomhetens dokumentasjon av cybersikkerhetsbarrierer dannet grunnlaget for gap-analysen. De tre utvalgte veiledningene var NIST Cybersecurity Framework, Center for Internet Security (CIS) Controls, og IEC 62443 3-3. I tillegg ble fem utvalgte barrierer med identifiserte gap diskutert i detalj. Masteroppgaven inkluderer også et litteratursøk som ble brukt til å utforme et trusselbilde for norsk kontinentalsokkel.
Gap-analysen viser at de interne kravene til barrierer i virksomheten dekker 53 av 108 (49%) subkategorier i NIST CSF, 46 av 190 subkontroller (24%) i CIS Controls, og 20 av 51 (39%) systemkrav i IEC 62443 3-3. Disse tre resultatene viser signifikante gap mellom de implementerte cybersikkerhetsbarrierene og tiltakene som foreslås i de tre veiledningene. Av den grunn konkluderer masteroppgaven med at dokumentasjonen av virksomhetens cybersikkerhetsbarrierer ikke samsvarer fullt ut med de anbefalinger som presenteres i de tre veiledningene. Videre, ved å undersøke de fem barrierene med identifiserte gap, konkluderes det med at cybersikkerhetsbarrieremodellen bør oppdateres. Følgelig er det behov for videre forskning for å lage en komplett cybersikkerhetsbarrieremodell tilpasset anbefalingene fra veiledninger for cybersikkerhet i industrielle styringssystemer. | |
| dc.description.abstract | The increased use of Information Technology (IT) in Industrial Control Systems (ICS) exposes ICS to previously unencountered threats. Consequently, cyber security has gained recognition as a barrier responsible for safeguarding Health, Safety, and Environment (HSE) on the Norwegian Continental Shelf (NCS). The sophisticated cyber attacks, Stuxnet, Industroyer, and Trisis, have shown the advanced capabilities of threat actors targeting ICS. With sophisticated threat actors capable of disrupting oil and gas installations through cyber attacks, there is consequently a need to understand how installations should be protected. This master thesis aims to determine how implemented cyber security barriers on the NCS align with selected best practices for ICS cyber security.
A gap analysis was performed between the implemented cyber security barriers of an operator on the NCS, and three selected ICS cyber security guidelines and best practices. The gap analysis was conducted as a single-case holistic case study on the documentation of cyber security barriers of the operator. The three selected best practices were the NIST Cybersecurity Framework, the Center for Internet Security (CIS) Controls, and the IEC 62443 3-3. Additionally, five inadequately addressed cyber security activities from the gap analysis are examined in detail, and a literature review was performed to create a threat landscape for the NCS.
The gap analysis shows that there are gaps between the operator's requirements to cyber security barriers and the guidelines, where NIST CSF had 53 out of 108 subcategories covered (49%), CIS Controls had 46 out of 190 sub-controls (24%) covered, and IEC 62443 3-3 had 20 out of 51 system requirements covered (39%). These three results show significant gaps between the implemented cyber security barriers of the operator and the recommendations of all three guidelines, and the cyber security requirements of the operator cannot be regarded as fully aligned with best practices. Additionally, by examining five inadequately addressed cyber security activities, it was discovered that the cyber security barrier elements should be updated. Consequently, there is a need for further research to create a comprehensive cyber security barrier model aligned with the best practices. | |
