IT-sikkerhetspolicy for Integrerte operasjoner

Masteroppgave i informasjons- og kommunikasjonsteknologi 2007 – Høgskolen i Agder, GrimstadVed å benytte IKT i alle ledd i oljeindustrien, vil man oppnå hurtigere og bedre beslutninger, og med hjelp av sanntidsdata kan man integrere arbeidsprosesser på tvers av fag og mellom organisasjoner. Denne utviklingen blir i oljenæringen kalt Integrerte operasjoner (IO). Ved hjelp av IO kan operasjoner styres uavhengig av avstand og geografisk lokasjon. Det er satt inn store ressurser på dette feltet, og allerede i dag ser man vellykkede implementeringer av Integrerte operasjoner. Med Internett som en del av bærenettverket for data produsert i oljenæringen, vil trafikken i utgangspunktet være svært utsatt. Bruk av Internett åpner for trusler utenfra, dersom man ikke tar tilstrekkelig høyde for IKT-sikkerheten. I dette prosjektet ser vi på trusler som er knyttet til tilpassning av SAS-systemer til IO. SAS (Safety and Automation Systems) er systemer som omhandler sikkerhet og automasjon, og inkluderer bl.a. brann- og gassdeteksjon, nødavstengning og prosesskontroll. Som et utgangspunkt for å identifisere truslene tar vi for oss hendelsesforløpet til en mislykket boreoperasjon på Snorre A-plattformen. Hendelsesforløpet er beskrevet i en granskningsrapport av Petroleumstilsynet, og vi benytter denne rapporten for å beskrive et scenario om hvordan de enkelte avvik kunne vært unngått dersom Integrerte operasjoner hadde vært inkludert i driften. Scenariet benyttes videre for å identifisere hvilke tjenester som er en del av Integrerte operasjoner, og på den måten lage en ramme rundt begrepet. Deretter avdekkes de vesentligste trusler mot disse tjenestene. For å dekke opp om truslene presenteres et sett av IT-sikkerhetspolicyer. Disse er basert på OLFs anbefaling nr. 104, og standarden NS-ISO/IEC 17799. Policyene er delt inn i ulike temaer og teknologier, og er presentert som vedlegg i slutten av rapporten. Videre ser vi på enkelte sikkerhetsfremmende løsninger for implementering i Integrerte operasjoner. Rollebasert aksesskontroll (RBAC) blir vurdert som aksesskontrollmetode, og vi foreslår også andre tiltak og løsninger for å øke informasjonssikkerheten ved tilpassning av SAS-systemer mot Integrerte operasjoner

IT-sikkerhetspolicy for Integrerte operasjoner

Ved å benytte IKT i alle ledd i oljeindustrien, vil man oppnå hurtigere og bedre beslutninger, og med hjelp av sanntidsdata kan man integrere arbeidsprosesser på tvers av fag og mellom organisasjoner. Denne utviklingen blir i oljenæringen kalt Integrerte operasjoner (IO). Ved hjelp av IO kan operasjoner styres uavhengig av avstand og geografisk lokasjon. Det er satt inn store ressurser på dette feltet, og allerede i dag ser man vellykkede implementeringer av Integrerte operasjoner. Med Internett som en del av bærenettverket for data produsert i oljenæringen, vil trafikken i utgangspunktet være svært utsatt. Bruk av Internett åpner for trusler utenfra, dersom man ikke tar tilstrekkelig høyde for IKT-sikkerheten. I dette prosjektet ser vi på trusler som er knyttet til tilpassning av SAS-systemer til IO. SAS (Safety and Automation Systems) er systemer som omhandler sikkerhet og automasjon, og inkluderer bl.a. brann- og gassdeteksjon, nødavstengning og prosesskontroll. Som et utgangspunkt for å identifisere truslene tar vi for oss hendelsesforløpet til en mislykket boreoperasjon på Snorre A-plattformen. Hendelsesforløpet er beskrevet i en granskningsrapport av Petroleumstilsynet, og vi benytter denne rapporten for å beskrive et scenario om hvordan de enkelte avvik kunne vært unngått dersom Integrerte operasjoner hadde vært inkludert i driften. Scenariet benyttes videre for å identifisere hvilke tjenester som er en del av Integrerte operasjoner, og på den måten lage en ramme rundt begrepet. Deretter avdekkes de vesentligste trusler mot disse tjenestene. For å dekke opp om truslene presenteres et sett av IT-sikkerhetspolicyer. Disse er basert på OLFs anbefaling nr. 104, og standarden NS-ISO/IEC 17799. Policyene er delt inn i ulike temaer og teknologier, og er presentert som vedlegg i slutten av rapporten. Videre ser vi på enkelte sikkerhetsfremmende løsninger for implementering i Integrerte operasjoner. Rollebasert aksesskontroll (RBAC) blir vurdert som aksesskontrollmetode, og vi foreslår også andre tiltak og løsninger for å øke informasjonssikkerheten ved tilpassning av SAS-systemer mot Integrerte operasjoner