5-IKT og HMS i fremtiden - Petroleumstilsynet

IKT- sikkerhet og HMS i fremtiden
hvordan håndtere sikkerhet og usikkerhet?
Torleif Husebø
Petroleumstilsynet
Tor Onshus
NTNU
1

Innhold
Integrerte operasjoner
Perspektivet
IKT sikkerhet
Hvordan ta høyde for det ’usannsynlige’
HMS i et IO perspektiv
Hvordan kan IO bidra til å bedre HMS
2

Integrerte operasjoner
mer bruk av
informasjonsteknologi
endrede
arbeidsprosesser
Bedre ressursutnyttelse
og HMS
Bilder: The Economist og Baker
3

Integrerte operasjoner
- det scenariske perspektivet (olf)
Begrenset integrasjon
Integrasjon mellom
land og hav
Potensial
Integrasjon mellom selskaper
Tradisjonelle prosesser
• Frittstående felt
• Spesialiserte enheter på land
• Periodisk støtte fra land
2005
Generasjon 1
• Integrering mellom sentra
offshore og på land
• Kontinuerlig støtte fra land
Generasjon 2
• Integrering mellom operatørenes
og tjenesteleverandørenes
kompetansesentra
• Sterkt automatiserte prosesser
• Døgn- og ukekontinuerlige
operasjoner (24/7)
2010 2015
Tidshorisont
4

Reguleringen
Petroleumsloven - §10-1 om forsvarlig virksomhet
RF §8 Forsvarlig petroleumsvirksomhet
RF §9 Prinsipper for risikoreduksjon
Styringsforskriften
Styring av risiko
Styringselementer
Ressurser og prosesser
..
Innretnings- og aktivitetsforskriften
Tekniske systemkrav
Operasjonelle krav
5

IKT sikkerhet
Bilde: CNN

Lover og forskrifter
IR§31-33: SIS
Systemet skal kunne utføre tiltenkte funksjoner uavhengig av andre systemer
IR§32: NAS
Fra det sentrale kontrollrommet skal det være mulig å manuelt aktivisere
funksjoner som bringer innretningen til en sikker tilstand ved svikt i de
programmerbare delene av systemet.
7

Digital Infrastruktur sokkelen - oversikt
Aberdeen
FCC
6310
Aberdeen
6340
Snorre
Gullfaks
Visund
Statfjord
Kvitebjørn
East
of
Shetland
Forties
6320
6320
Huldra
Veslefrikk
Oseberg
West
of
Sleipner
Heimd
Everest
6340
6320
6320
Sleipner
6320
Brage
Heimdal
Grane
Troll
Draupner
NSC
Ula
Ekofisk
Valhall
6340
6320
Kollsnes
Bergen
Kårstø
Stavanger
6320
Kilde: OLF
8

Ende til ende kompleksitet
A Rig Owner
LAN
Radio Link
(OilCompany,
TampNet++)
Statoil-opererte
fiberkabel stamnett
på norsk sokkel
Skarv
Åsgard
Heidrun
Kristin
(2005)
Stjørdal
Trondheim
Tjeldbergodden
Troll +
Veslefrikk/
Huldra
Kollsnes
Bergen
Kårstø
Stavanger
Sleipner
Draupner
Oslo
Snorre
Kvitebjørn
Gullfaks +
Statfjord og Visund Oseberg
Heimdal
Grane
Ekofisk, Ula, Valhall
Status: Draft England
1
Norne
Harstad
Internet(Song,Telenor,BKK,Catch++)
SOIL
Extranet (Song,
Telenor,BKK,BaneTele,Catch++)
Oil Company
LAN/fiber
(Tampnett,Telenor,BaneTele,NSC,WestNet,Telia
Sonera++)
Service
Company
Service Company
WAN/LAN
§ Opp til 7-8 aktører involvert I kjeden fra A til B
§ Alt utstyr, inkludert linjer må overvåkes 24/7/365
§ Systemet må ha tilstrekkelig security, pålitelighet og regularitet
Kilde:OilCamp
B
9

Jo mer detaljer jo mer komplisert?
PCS
ATM
ATM
CISCO
Virtual
LAN
CISCO
Virtual
LAN
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
ATM
10

Teknisk nett, historisk tilfeldighet og
kaos?
Teknisk system i kontornett.
Bypass av brannvegg.
Alle ser alle i et flatt
teknisk nett,
uavhengig av funksjon
og kritikalitet.
S@W
11

Nettverket bryter sammen
20. juni 2006 – Katastrofealarm
Ett døgn uten IKT-støtte i nytt papirløst sykehus
Én uke uten trådløs IP-telefoni
Én uke med skjerpet beredskap
Stort kommunikasjonsbehov
Internt
Eksternt
12

Dette skjer vel ikke hos oss?
Plattform nede på grunn av nettverkstilkobling
Laget for bare å lese..
Stengte ned plattform fra land
Valgte feil nettnummer
HMS relaterte?
Ikke noen som er rapportert som IKT problem
Er IKT hendelser bedriftshemmeligheter?
13

Er løsningene robuste mhp?
Det vi ikke har tenkt på
Klarer vi å holde oversikten
Uønsket nettrafikk
Tekniske grensesnitt og integrasjon
Har vi en plan B?
Hva er egentlig risikoen?
Er vi enige om det?
14

Hvilke gap ser vi?
Hva gjør vi?
Forskjellige miljøer og kulturer
Kunnskap
Samarbeide
Sikkerhet
Produksjon
15

Standarder og Retningslinjer
OLF-104: Information Security Baseline Requirements for production,
Safety, and Support ICT Systems
ISBR har16 krav til PCSS/ICT
– Mest på administrative tiltak
– Åpen på tekniske tiltak
SeSa: Secure safety (PDS-Forum)
Tekniske tiltak
NISCC: National Infrastructure Security Co-ordination Centre
Good Practice Guide - Process Control and SCADA Security
USA: Roadmap to Secure Control Systems in the Energy Sector
16

OPC
server
SIS
OS
WinXP
PS
ESD
Process network
OS
SAS network (duplicated)
VxWorks
OPC Client
HS
PCS
status server
Control room
DMZ
Access
approval
Work
permit
All trenger ikke
tilgang til alt
17

HMS i et IO perspektiv

HMS i et IO perspektiv
Petroleumsvirksomheten i Norge skal være verdensledende på HMS
Også innføringen av integrerte operasjoner må sees i et HMS
perspektiv – hvordan skal HMS best forbedres gjennom integrerte
operasjoner?
Noen utfordringer
Implementeringen av IO går raskt
Store endringer i arbeidsprosesser – raskt
’Verden blir mindre’ – kulturelle forskjeller
Hvordan ta tilstrekkelig høyde for det
’usannsynlige’?
19

Sosio-tekniske system endringer – hvordan
møter myndighetene utfordringen?
Kompetanse
System
endringer
næringen
Kompetanse Arbeidsprosesser
Oppfølging
ytelse og
kultur
System
endringer
myndigheter
Globalisering og IKT:
• Outsourcing
• Samarbeid I sann tid
• Integrasjon av informasjon I sann tid
Organisatoriske/
tekn. løsninger
Tilsyn og
veiledning
•Implementering av teknologi
•Strategier for samarbeid
•Utvikling av arbeidsprosesser
20

Hvorfor vurderer Ptil integrerte operasjoner
som en sosio-teknisk endring
Innebærer store endringer i organisasjon, teknologi og hvordan
mennesker som ressurs benyttes – større fokus på MTO begrepet
Frekvente, raske og parallelle endringer av arbeidsprosessene både
på land og på sokkelen
Utløser et potensial for spesifikke risikoreduserende tiltak (HMS
nivå)
Mange usikkerheter relatert til hvordan IO vil påvirke HMS nivået
Roller og ansvar
Arbeidsprosesser - HMS styringssystemer
Kultur
Kompetanse
21

HMS relaterte utfordringer:
– Styre endringen
– Endre styringen
Kontrollere HMS konsekvensene:
Klare og konsistente mål for endrings-
prosessene inkludert ny teknologi
Forbedre HMS styringen:
Benytte IO prinsippene, metodene og
løsninger for å forbedre HMS styringen,
selskapsinternt og i samarbeid med
leverandørene
IO
mål
HMS
mål
HMS
nivå
IO i HMS ledelse
Menneske – Teknologi - Organisasjon
HC- lekkasjer
Brønn integritet
Vedlikeholds styring
Personskader
22

Endre styringen ved hjelp av IO
Endringsledelse
Styring av
informasjon
Kvalitetssikring
Risiko identifikasjon Risiko analyse og beslutnings grunnlag
• Proaktiv og effektive
beslutninger
• Økt samhandling
• Økt tillit og utvikling av
partnerskap
• Tverrfaglig
• Nye IKT løsninger
• Sanntids data
• Data med større verdipotensial
• Optimalisert aktivitetsstyring
Data kontroll
Målsetting og planlegging
Ressurs styring
- Kompetanse
- Personell
- Systemer
Barriere kontroll
Sikkerhets kritiske aktiviteter
23

HMS i et IO perspektiv
Klare HMS mål må etableres på et strategisk nivå
Redusere risikopåvirkende forhold
Trepartssamarbeid
Utnytte implementeringen av IO som et verktøy i forbedret HMS
styring
Sette klare mål for IKT sikkerhet og identifisere og implementere
nødvendige tiltak
Økt fokus på relevant FOU
24

PTILS rolle
Haleheng eller Gallionsfigur?
arkitekt, entusiastisk pådriver eller kritisk tilskuer
Trengs det endringer i forskriftene?
Kommer Ptil til å koordinere andre IKT tilsyn?
Kommer OLF-104 inn i regelverket?
25

Aristoteles, 384-322 f.Kr.
Aristoteles, 384-322 f.Kr.
Takk for oss!
Det er sannsynlig at
noe usannsynlig vil
skje
26