| dc.description.abstract | De industrielle kontrollsystemene som opererer offshore petroleumsinstallasjoner har gjennomgått et stort skifte og er nå i økende grad styrt av fjerntilgangsløsninger. Dette gir åpenbart mange fordeler, men økt integrering gjør samtidig kritiske kontrollsystemer, som tidligere var beskyttet av deres naturlige isolasjon, svært sårbare for cyberangrep. Flere rapporter og standarder beskriver sikkerhetspraksis for industrielle systemer. Disse har imidlertid en tendens til å være enten utdaterte eller for vage i sine faktiske anbefalinger. I tillegg, ettersom dette er dagens beste praksis, anbefaler de også bare velprøvde løsninger uten å ta i betraktning nyere forskning eller de siste fremskrittene i feltet. Denne oppgaven vil derfor undersøke hvordan innovative løsninger og ny teknologi kan brukes til å utvikle et sett med nye sikkerhetsanbefalinger for fjerntilgangsløsninger til norske petroleumsselskaper.
Først ble en litteraturstudie gjennomført for å identifisere nåværende og ny teknologi brukt i fjerntilgangsløsninger. Ved hjelp av workshops med to relevante norske petroleumsselskaper analyserte vi deres nåværende fjerntilgangsløsninger for å bestemme funksjonelle krav samt for å finne mulige trusler mot systemene. Dette ga også innsikt for å definere to fokusområder i den eksisterende løsningen, nemlig filoverføring og generell tilgangshåndtering. Til slutt utførte vi en SWOT-analyse for å evaluere forskjellige løsninger med bakgrunn i de valgte kriteriene; sikkerhet, brukervennlighet og kostnadseffektivitet. Den samlede listen over analyserte teknologier er: VPN, Zero Trust, Next-generation brannmur, OT-spesifikk brannmur, dedikert datamaskin, Sheep Dipping, Sandboxing, og Unidirectional Gateway.
Analysen identifiserte flere aspekter som kan forbedre fjerntilgangsløsningene norske petroleumsselskaper bruker i dag. Dette resulterte i fem anbefalinger; fra små og enkle endringer til komplekse arkitekturelle transformasjoner. Kort oppsummert anbefales norske petroleumsselskaper å bevege seg mot en Zero Trust arkitektur, samt bruke både Next generation- og OT-spesifikke brannmurer. De bør også implementere Sandboxing for å bedre sikre filoverføringer til kritiske systemer og bruke Unidirectional Gateways for å overholde alle read-only tilgangskrav. Analysen viser at disse anbefalingene gir tydelige positive effekter når de vurderes mot kriteriene sikkerhet, brukervennlighet og kostnadseffektivitet. | |
| dc.description.abstract | Industrial Control Systems (ICS) that manage offshore petroleum installations have undergone a major shift and now increasingly depend on remote access solutions (RAS). Although such solutions have many advantages, the increased connectivity also exposes critical ICS to a new type of threat, i.e., cyberattacks. While many reports and standards outline security best practices for the industry, they tend to be either old or too vague in their actual recommendations. Furthermore, as these are current best practices, they only recommend proven solutions without considering recent research and the latest advances in the field. Thus, this thesis will explore how innovative solutions and emerging technologies can be used to develop new remote access security recommendations for Norwegian petroleum companies.
A literature review was conducted to identify present and emerging remote access solutions and technology. Based on workshops with two Norwegian petroleum companies, their current RAS were analyzed to determine their functional requirements, as well as potential threats to the systems. The workshops provided insights into two main focus areas regarding existing solutions, i.e. file transfer and general access management. Finally, a SWOT analysis was performed to evaluate potential new solutions in light of the three selected criteria: security, user-friendliness, and cost-effectiveness. The list of analyzed technologies included the following: VPN, Zero Trust, Next-Generation Firewall, OT-specific Firewall, Dedicated Desktop, Sheep Dipping, Sandboxing, and Unidirectional Gateway.
This analysis suggested several improvements that could be made to the current RAS used by Norwegian petroleum companies. The results offered five recommendations, ranging from small and basic changes to complex architectural transformations. In brief, it is recommended that Norwegian petroleum companies take steps towards implementing a Zero Trust architectural security model and utilize both Next-Generation and OT-specific firewalls. They should also implement a sandboxing solution in order to better secure file transfers to critical systems and utilize Unidirectional Gateways for all read-only access requirements. An analysis of these recommendations demonstrates largely positive effects when evaluated with regards to security, user-friendliness, and cost-effectiveness. | |
