Ensuring Safe and Secure Operations in the Norwegian Petroleum Industry: A Study on Assessing Trends in Cyber Risk Levels
Abstract
Denne masteroppgaven gir verdifull innsikt i dagens praksis og utfordringer knyttet til håndtering av cybersikkerhetsrisiko i petroleumssektoren. Den utforsker eksisterende risikovurderingspraksis, rapportering av hendelser og øvelser som brukes av aktørene i bransjen. Det gjennomgås tilsyn gjennomført av Petroleumstilsynet (PTIL), og konseptet med en "tilsyn light"-tilnærming blir foreslått som en måte å forbedre evalueringen av cybersikkerhet. Oppgaven legger vekt på betydningen av informasjonsdeling innen sektoren og virkningen av relevante lover og forskrifter. Den fremhever også behovet for konsise sammendrag eller lignende informasjonskilder for å håndtere den omfattende og ustrukturerte naturen av trusselanalyser.
Dette arbeidet benytter designvitenskapelig metodikk og utfører en grundig litteraturgjennomgang for å få innsikt i dagens scenario. I tillegg blir omfattende intervjuer med nøkkelpersoner i sektoren gjennomført for å forbedre vår forståelse og få nye perspektiver om industrien. Oppgaven erkjenner ressursbegrensningene mindre operatører står overfor i å utføre grundige trusselanalyser og foreslår å dra nytte av eksterne ressurser for å styrke deres evner. Videre anbefaler oppgaven etablering av mer formelle og uformelle forum for å fremme kunnskapsutveksling om hendelser, sårbarheter, trusler og verdier blant spesialistgrupper, selskaper, sektorer og myndigheter. Den foreslår også etablering av en tydeligere og mer sentralisert mekanisme for deling av informasjon knyttet til sårbarheter.
Oppgaven understreker behovet for en koordinert tilnærming til cybersikkerhetsrisikoer i petroleumssektoren og oppfordrer til proaktive, kontinuerlig oppdaterte risikovurderinger. Den identifiserer betydelige utfordringer som mangel på standardiserte tilnærminger, utilstrekkelighet av eksisterende trusselintelligensrapporter, begrenset tilgang til informasjon, det overveldende antallet tjenesteleverandører og ressursforskjeller. Anbefalte strategier inkluderer ekstern ekspertise, robuste tiltaksplaner for hendelser og en sterk kultur for cybersikkerhet. Imidlertid er ytterligere forbedringer nødvendige når det gjelder verktøy, praksis og deling av beste praksis på tvers av bransjen. Tilsyn, "tilsyn light" og informasjonsdeling blir identifisert som avgjørende komponenter for å håndtere cybersikkerhetsrisiko i petroleumssektoren. Alt i alt gir denne oppgaven verdifull innsikt og anbefalinger for å effektivt håndtere cybersikkerhetsrisiko i petroleumssektoren og sikre beskyttelsen av kritisk infrastruktur. This master's thesis provides valuable insights into the current practices and challenges associated with addressing cyber security risks in the petroleum sector. It explores the existing risk assessment practices, incident reporting, and exercises employed by industry stakeholders. The audits conducted by the Petroleum Safety Authority Norway (PSA) are examined, and the concept of an "audit light" approach is suggested as a means to enhance cyber security evaluations. The study emphasizes the importance of information sharing within the sector and the impact of relevant laws and regulations. It also highlights the need for concise summaries or similar sources of information to address the extensive and unstructured nature of threat analysis.
This study employs the design science methodology and conducts a thorough literature review to gain insights into the present scenario. In addition, comprehensive interviews with key actors in the sector are executed to enhance our understanding and obtain new perspectives about the industry. The research acknowledges that smaller operators face limitations in conducting comprehensive threat analyses due to resource constraints. It proposes the utilization of external resources as a means to enhance their capabilities. Going forward, the study recommends establishing more formal and informal forums to foster knowledge exchange about incidents, vulnerabilities, threats, and assets among specialist groups, companies, sectors, and government authorities. It also proposes the establishment of a clearer and centralized mechanism for sharing information related to vulnerabilities.
Our research emphasizes the need for a coordinated approach to cyber security risks in the petroleum sector, calling for proactive, continuously updated risk assessments. It identifies significant challenges such as a lack of standardized approaches, the inadequacy of existing threat intelligence reports, limited information access, the overwhelming number of service providers, and resource disparities. Recommended strategies include external expertise, robust incident response plans, and a strong cyber security culture. However, further improvements are necessary in the tools, practices, and sharing of best practices across the industry. Audits, "audits light", and information sharing are identified as critical components of managing cyber security risks in the petroleum sector. Overall, this study provides valuable insights and recommendations for effectively addressing cyber security risks in the petroleum sector and ensuring the protection of critical infrastructure.