Assessing the Security Landscape within the Aquaculture Industry: An In-Depth Cybersecurity Risk Analysis with a Leading Industry Player

Abstract

Havbruk er Norges nest største eksportnæring etter olje og gass, og er avgjørende for å opprettholde bosetting og aktivitet langs kystlinjen. Digitalisering av næringen på tvers av verdikjeden øker produktiviteten og vår forståelse av fisken, miljøet, og hvordan de påvirker hverandre. Dette medfører at systemer og komponenter blir mer sammenkoblet, noe som kan øke både sannsynligheten og påvirkningen av cyberangrep.

Matforsyning er kategorisert som en samfunnskritisk funksjon, og Direktoratet for samfunnssikkerhet og beredskap fremhever at forstyrrelser i matforsyningen kan føre til uro og utrygghet i befolkningen. Mens andre kritiske bransjer som olje og gass har gjennomgått omfattende forskning for å forbedre cybersikkerheten, noe som har resultert i bransjespesifikke retningslinjer og praksiser, ser det ut til at akvakultur henger etter.

For å undersøke, fremheve, og potensielt styrke cybersikkerheten innen akvakulturnæringen, gjennomfører denne avhandlingen en høy-nivå risikovurdering av en ledende aktør i bransjen med mål om å avdekke risikoer på tvers av verdikjeden. Å gjennomføre en case-studie med en av verdens største produsenter av oppdrettslaks gir tilgang til oppdaterte bransjespesifikke data i risikovurderingsprosessen.

Denne avhandlingen viser hvordan en høy-nivå risikovurdering som følger rammeverket NIST 800-30 kan gjennomføres, og gir innblikk i systemene og den tekniske arkitekturen innen næringen. Avhandlingen identifiserer også systemer og komponenter på tvers av verdikjeden, noe som muliggjør sammenligning med andre industrier som kan legge til rette for kunnskapsoverføring på tvers. Risikovurderingsprosessen gir også innsikt i trusler, sårbarheter, risikoer og nåværende sikkerhetsnivå, noe som belyser hvilken del av verdikjeden som er mest sårbar, og hvor en hendelse kan ha størst innvirkning. Videre foreslås sikkerhetskontroller som kan bidra til å redusere eller mitigere risikoene som oppdages under risikovurderingen, noe som kan benyttes som en retningslinje for innsatsen innen cybersikkerhet i bransjen.

The aquaculture industry is Norway’s second largest export industry after oil and gas, and is vital for settlement and activity along the Norwegian coast. The industry is currently undergoing rapid digitization across the value chain, which increases productivity and our understanding of the fish, the environment, and the interaction between the two. But as business processes become more digitized, systems and components become more interconnected, potentially increasing both the probability and impact of cyberattacks.

Food supply is on the list of critical national functions, and The Norwegian Directorate for Civil Protection points out that a disruption in access to food in the event of a crisis can lead to insecurity and increased tension. Whereas other critical industries such as oil and gas have undergone extensive research to improve cyber security, resulting in industry-specific guidelines and best practices, aquaculture seems to be falling behind.

To investigate, highlight and potentially increase cyber resilience within the aquaculture industry, this thesis conducts a high-level risk assessment of a leading industry player, highlighting cyber risks across the value chain. Using one of the world's largest producers of farmed salmon as a case study subject provides access to updated industry-specific data used as input to the risk assessment process.

This thesis demonstrates how a high-level risk assessment using the NIST 800-30 risk assessment framework can be performed, and gives insight into the systems and technical architecture of the industry. It also identifies systems and components across the value chain, which enables comparison with other industries that can facilitate the adoption of existing knowledge and practices. The risk assessment process gives insight into prevalent threats, vulnerabilities, risks, and current security posture, which highlights what part of the value chain are most vulnerable, and where an incident could have the most impact. Furthermore, security controls that can help reduce or mitigate the risks discovered during the risk assessment are proposed, which can serve as a guideline for cyber security efforts within the industry.