IT-risikostyring av offshoreinstallasjoner

Abstract

Denne oppgaven vil kartlegge hvorvidt det er et behov for bedre risikoanalyser og rutiner ettersom offshoreinstallasjonene på norsk sokkel får stadig økt innføring av digitaliserte styrings- og sikkerhetssystemer. Oppsiden av denne utviklingen er stor, der reserveøkning og produksjonsoptimalisering representerer et potensiale på 250 milliarder norske kroner. Oppgaven har belyst hvilke eksisterende rutiner og krav som er iverksatt for å sørge for sikkerheten til disse systemene. Den har kommet fram til at selv om det finnes styrende dokumenter som anbefaler utførelse av risikoanalyser for IT-systemene, finnes det ingen konsensus i bransjen på hvordan de skal gjennomføres.

Oppgaven har undersøkt hvilke trusler som er med å utgjøre en risiko på offshoreinstallasjoner, og samlet relevante hendelser som er med å bygge opp om argumentasjonen for grundigere analyser. Det identifiseres en mangel på dokumentasjon av uavhengighet mellom systemer, samt en manglende forståelse for hvilke konsekvenser et angrep eller svikt i IT-systemene kan forårsake.

Med utgangspunkt i en tradisjonell risikoanalyse for offshoreinstallasjoner har oppgaven undersøkt hvilke metoder og verktøy som er mest hensiktsmessig å inkludere i en IT-risikoanalyse. Forutsetningene for å analysere tradisjonell risiko er annerledes enn for IT-risiko, der en har en kontinuerlig innføring av ny teknologi og arbeidsrutiner. Det er stor usikkerhet involvert i kartlegging og analysering av IT-risiko, og det er behov for en metode som tar høyde for den usikkerheten gjennom å belyse faktorene som kan produsere avvik mellom prediksjonene og de faktiske konsekvensene av en hendelse.

En økonomisk modell som baserer seg på forventet nytteteori er konstruert for å vise hva som skjer hvis en operatør ikke har mulighet til å vurdere eventuell IT-risiko når de skal investere i sikkerhetstiltak. Denne demonstrerer at vi får en overinvestering i eventuelle sikkerhetstiltak dersom IT ikke betraktes som et alternativ.