OT-sikkerhet i olje- og gasssektoren

Olje- og gassbransjen er den norske sektoren med historisk sett mest modne OT-sikkerhetsposisjon. Dette skyldes primert Ptil (Petroleumstilsynet) sine krav til informasjonssikkerhet pa sokkelen, kombinert med at store aktorer som Equinor, TotalEnergies og Aker BP har investert tungt i OT-sikkerhet. IEC 62443 og ISA 99 er standarder som er godt forankret i sektorens leverandorkjede. (Petroleumstilsynet, 2025)

Likevel er sektoren langt fra risikofri. Offshore-plattformers OT-miljoer er komplekse, med hundrevis av PLS og SCADA-systemer fra ulike leverandorer og epoker. Integrerte operasjoner (IO), der plattformer styres delvis fra land, skaper OT-tilkoblinger som krever streng tilgangskontroll.

Equinors OT-sikkerhetsarbeid som referansemodell

Equinor er ofte nevnt som en av de mest modne aktorer i OT-sikkerhet globalt i oljesektoren. Selskapet har etablert et dedikert OT-sikkerhetsprogram med eget OT-SOC, systematisk eiendelsoppdagelse og intern kompetanse pa industrielle kontrollsystemer. Equinors tilnarming er basert pa IEC 62443, med tilpasninger for offshore-miljoer og integrerte operasjoner. (Equinor Cybersecurity Report, 2024)

[UNIQUE INSIGHT] Equinors tilnarming til leverandorsikkerhet er sarlig relevant. De krever at alle OT-leverandorer dokumenterer samsvar med IEC 62443 og gjennomgar Equinors egne leverandorsikkerhetsvurderinger. Dette presset gjennom forsyningskjeden har hevet det generelle sikkerhetsnivaet i sektoren, og er en modell andre sektorer kan lare av.

Petroleumstilsynets krav til OT-sikkerhet

Ptil stiller eksplisitte krav til informasjonssikkerhet pa norsk sokkel gjennom rammeforskriften og styringsforskriften. Disse kravene dekker bade IT og OT-systemer. Ptils veileder til informasjonssikkerhet i petroleumsvirksomheten er en detaljert guide til best practice for sektoren, og refererer til IEC 62443 og ISO 27001 som relevante standarder. (Ptil, 2025)

Statkraft og Statnetts OT-sikkerhetsutfordringer

Statkraft og Statnett er norske statseide selskaper med kritiske og ulike OT-utfordringer. Statkraft drifter over 350 vannkraftanlegg med tilhorende OT-systemer, mange i fjerntliggende omrader med begrenset kommunikasjonsinfrastruktur. Statnett drifter det norske transmisjonsnettet og har en rolle som tilsvarar en sentral nervesystem for norsk strom. (Statnett, 2025)

For begge selskapene er eiendelsoppdagelse en kritisk utfordring: de har tusenvis av OT-enheter, mange fra 1980-1990-arene, spre over hele Norge. Systematisk kartlegging og sarbarhetsovervaking av slike miljoer krever dedikerte OT-sikkerhetsplattformer og betydelig intern kompetanse.

SCADA-systemer i energisektoren

SCADA-systemer i energisektoren er atypisk store og komplekse sammenlignet med andre sektorer. Et enkelt SCADA-system kan overvake og styre hundrevis av substasjoner og kraftanlegg over et stort geografisk omrade. Dette gjor dem til attraktive enkeltmalsettinger: kompromittering av ett SCADA-system kan gi kontroll over en hel region. (NERC CIP Standards, 2024)

SCADA-systemer i energisektoren bruker typisk protokoller som DNP3, IEC 60870-5-101/104 og IEC 61850. Disse protokollene ble designet for palitelig kommunikasjon, ikke sikkerhet. Kryptering og autentisering er ettermontert i nyere versjoner, men eldre implementeringer mangler disse egenskapene.

Regulering: NVE, NSM og Digitalsikkerhetsloven

Norsk kraftsektor er regulert av NVE (Norges vassdrags- og energidirektorat) med eksplisitte krav til driftssikkerhet og IKT-sikkerhet. NVEs beredskapsforskrift stiller krav til robusthet og sikring av kraftanlegg og -systemer. Digitalsikkerhetsloven (NIS2-implementering) legger i tillegg pa krav til risikostyring, hendelsesrapportering til NSM, og sikkerhetstiltak. (NVE, 2025)

NSM er koordinerende myndighet for Digitalsikkerhetsloven og samarbeider med NVE og Ptil om sektorspasserte krav. For kraftsektoren betyr dette at selskaper pa over 250 ansatte eller med kritisk markedsandel ma implementere systematiske OT-sikkerhetstiltak og rapportere alvorlige hendelser til NSM innen 24 timer.

Praktiske OT-sikkerhetstiltak for energisektoren

For norsk energisektor anbefaler vi folgende prioriterte tiltak:

1. SCADA-herding: Implementer autentisering og kryptering for all SCADA-kommunikasjon, prioriter IEC 61850 og DNP3 Secure Authentication
2. Nettverkssegmentering: Separasjon mellom SCADA og forretningsnett med DMZ er minimumskrav; bruk data-dioder for enveis dataflyt der mulig
3. Remote access-sikring: All fjerntilgang til OT-systemer (inkl. leverandortilgang) ma MFA-beskyttes og logges
4. Offline backup: PLS-programmer og konfigurasjonsfiler ma sikkerhetskopieres offline regelmassig
5. OT-spesifikk trusselintelligens: Abonner pa NSM-varsler og sektoriell trusselinformasjon fra KraftCERT
6. Tabletop-ovelser: Gjennomfor arlige kriseberedskapsovelser inkludert cyberscenarioer mot OT-systemer

Ofte stilte spørsmål

Hva er KraftCERT og hvilken rolle spiller de?

KraftCERT er det norske kraftsektorens sektorvise sikkerhets- og beredskapssenter. De tilbyr trusselintelligens, varsling og hendelseshardtering spesielt for kraftsektoren. Alle norske kraftselskaper anbefales a vare KraftCERT-deltakere for a fa tidlig varsling om sektorrelevante trusler og tilgang til koordinert hendelsesrespons. (KraftCERT, 2025)

Hva er Ptil-kravene til OT-sikkerhet pa sokkelen?

Ptil krever at operatorer pa norsk sokkel har et systematisk sikkerhetsstyringssystem som inkluderer informasjonssikkerhet for bade IT og OT. Kravene er hjemlet i rammeforskriften paragraf 16 og styringsforskriften. Ptil gjennomforer tilsyn og kan ilegge paleg ved manglende oppfyllelse. IEC 62443 og ISO 27001 er anerkjente standarder for oppfyllelse av kravene. (Ptil, 2025)

Kan AMS-malere (smartmalere) utgjore en OT-sikkerhetsrisiko?

Ja, men risikoen er primert pa systemniva. Enkeltmalere kan ikke enkelt brukes til angrep pa kraftnettet, men et kompromittert AMS-headend-system som kommuniserer med millioner av malere kan misbrukes til masseavbrudd. Sikring av AMS-infrastrukturens backend er dermed mer kritisk enn enkeltmalerne. (NVE, 2024)

Er norsk vannkraft mer utsatt enn olje/gass?

Pa noen mater ja. Olje/gass-sektoren har mer moden sikkerhetskultur og strengere regulering fra Ptil. Vannkraftsektoren har eldre OT-utstyr i mer spredte og geografisk tilgjengelige anlegg, og har historisk hatt lavere OT-sikkerhetsbudsjetter. Digitaliseringen av kraftsektoren oker risikoen. KraftCERT-samarbeid og NVE-krav driver forbedring. (KraftCERT, 2025)

Konklusjon

Norsk energisektor star overfor en kombinasjon av okende trusler og okende digitaliseringsambisjoner. Dette spenningsforholdet krever at OT-sikkerhet integreres i all energiinfrastrukturplanlegging, fra nye vindparker til digitalisering av eksisterende kraftstasjoner.

NSM, Ptil og NVE gir et regulatorisk rammeverk. KraftCERT gir sektoriell trusselintelligens. Det internasjonale rammeverket finnes i IEC 62443. Det som gjenstår for mange norske energiselskaper er systematisk implementering av disse prinsippene i faktiske OT-miljoer.