Sårbarheter og avhengigheter i verdikjeder

Abstract

Denne oppgaven har som målsetning å adressere risikofaktorer som kan gjøre OT systemer sårbare når IT og OT konvergerer. Dette er en relativt ny problemstilling i olje- og gassindustrien og endrer risikobildet for påvirkning av sikkerheten og tilgjengeligheten til OT-systemer. Historisk sett, har OT systemer vært isolerte fra omverdenen og risikoanalyse har orientert seg rundt teknologiske faktorer og barrierer for risikoreduksjon. I det nye landskapet er det også viktig å inkludere «myke» faktorer som de menneskelige og de organisatoriske. Inntrykket fra bransjen er at «myke» risikofaktorer må vurderes sammen med teknologiske faktorer i effektiv risikostyring, men at det mangler en systematisk tilnærming for dette i arbeid med programvare. Risk OMT var et forskningsprosjekt som tok sikte på å inkludere organisatoriske, menneskelige og teknologiske faktorer i analysen. Prosjektet var rettet mot vedlikehold på prosessutstyr som potensielt kunne føre til utslipp av hydrokarboner. Denne oppgaven utforsker om dette rammeverket kan anvendes til å identifisere og kartlegge risikofaktorer knyttet til oppdatering av programvare i et OT-system. Videre søker oppgaven å utforske om Risk OMT er egnet som rammeverk for å få bedre forståelse for styring av relevante risikofaktorer. Oppgaven presenterer bakgrunnsinformasjon for å danne grunnlaget for å forstå hvordan IT og OT systemer er bygget opp med referanser til prinsipper og regulatoriske krav. Videre presenteres det teoretiske grunnlaget for oppgaven og det metodiske rammeverket. Med utgangspunkt i en arbeidsprosess som er orientert rund rollene definert i IEC 62443, ble det utført dybdeintervjuer med representanter for alle rollene. Dette dannet grunnlaget for å identifisere og kartlegge risikopåvirkende faktorer og hvilken påvirkning de har på risiko for feil.

This thesis aims to address risk factors that can make OT-systems vulnerable when IT and OT converge. This is a relatively new issue in the oil and gas industry and alters the risk landscape for the impact on the safety and availability of OT-systems. Historically, OT systems have been isolated from the outside world, and risk analysis has focused on technological factors and barriers to control the risk. In the new landscape, it is also important to include «soft» factors such as the human and organizational ones. The impression from the industry is that «soft» risk factors need to be considered along with technological factors in effective risk management, but there is a lack of a systematic approach to this in software development. Risk OMT was a research project aimed at including organizational, human, and technological factors in the analysis. The project was aimed at maintenance of process equipment that could potentially lead to hydrocarbon emissions. This thesis explores whether this framework can be applied to identify and map risk factors associated with software updates in an OT system. Furthermore, the thesis seeks to explore whether Risk OMT is suitable as a framework for gaining a better understanding of the management of relevant risk factors. The thesis presents background information to form the basis for understanding how IT and OT systems are structured, with references to principles and regulatory requirements. Furthermore, the theoretical basis for the thesis and the methodological framework are presented. Based on a work process oriented around the roles defined in IEC 62443, in-depth interviews were conducted with representatives from all the roles. This formed the basis for identifying and mapping risk-influencing factors and the impact they have on the risk of failure.