2021:00053 - Åpen Rapport Datakvalitet ved digitalisering i petroleumssektoren IKT-sikkerhet – Robusthet i petroleumssektoren 2020 Forfattere Thor Myklebust, Tor Onshus, Stefan Lindskog, Maria Vatshaug Ottermo, Mary Ann Lundteigen SINTEF Digital 2021-02-22 SINTEF Digital Postadresse: Postboks 4760 Torgarden Rapport 7465 Trondheim Sentralbord: 40005100 [email protected] Datakvalitet ved digitalisering i Foretaksregister: NO 919 303 808 MVA petroleumssektoren IKT-sikkerhet – Robusthet i petroleumssektoren 2020 EMNEORD: VERSJON DATO Data 1.1 2021-02-22 Datakilder Dataflyt FORFATTER(E) Sikkerhet Thor Myklebust, Tor Onshus, Stefan Lindskog, Maria Vatshaug Ottermo, Mary Ann Cybersikkerhet Lundteigen OT-system IT-system OPPDRAGSGIVER(E) OPPDRAGSGIVERS REF. Standarder Petroleumstilsynet Arne Halvor Embergsrud PROSJEKTNR ANTALL SIDER OG VEDLEGG: 102022556 63 (2 vedlegg) SAMMENDRAG Formålet med denne rapporten er å undersøke hvilke datakilder og data som benyttes i industrielle IKT-systemer og hvordan data behandles og prosesseres før de gjøres tilgjengelig i kontornettet. Styrker og sårbarheter knyttet til datakvalitet og sikring av data blir diskutert. Denne rapporten er en av seks SINTEF-rapporter fra prosjektet: "IKT-sikkerhet – Robusthet i petroleumssektoren 2020". Prosjektet har innhentet kunnskap om risiko, sårbarheter og IKT-sikkerhet for industrielle IKT-systemer. UTARBEIDET AV SIGNATUR Thor Myklebust Thor Myklebust Thor Myklebust (23. Feb. 2021 09:18 GMT+1) KONTROLLERT AV SIGNATUR Lars Bodsberg GODKJENT AV SIGNATUR Maria Bartnes RAPPORTNR ISBN GRADERING GRADERING DENNE SIDE 2021:00053 978-82-14-06477-3 Åpen Åpen 1 av 63 Historikk VERSJON DATO VERSJONSBESKRIVELSE 1.0 2021-01-29 Endelig rapport 1.1 2021-02-22 Endelig rapport med oppdatert forfatterliste PROSJEKTNR RAPPORTNR VERSJON 102022556 2021:00053 1.1 2 av 63 Innholdsfortegnelse Sammendrag ......................................................................................................................................... 5 Executive summary ................................................................................................................................ 6 1 Innledning ..................................................................................................................................... 7 1.1 Bakgrunn ........................................................................................................................................ 7 1.2 Mål og hensikt ................................................................................................................................ 8 1.3 Begrensninger ................................................................................................................................ 8 1.4 Begreper, definisjoner og forkortelser .......................................................................................... 9 1.5 Metode og gjennomføring ........................................................................................................... 10 1.6 Rapportstruktur ........................................................................................................................... 11 2 Datakilder og dataflyt i OT-systemer ............................................................................................ 12 2.1 Data og datakilder ........................................................................................................................ 12 2.2 Dataflyt ......................................................................................................................................... 14 2.2.1 Logisk dataflyt i henhold til Purdue-modellen................................................................. 14 2.2.2 Fysisk realisering .............................................................................................................. 16 2.2.3 Logisk dataflyt ved bruk av håndholdte enheter ............................................................. 17 2.2.4 Logisk dataflyt ved bruk av trådløse sensorer ................................................................. 19 2.3 Rammeverk og protokoller .......................................................................................................... 20 2.3.1 OPC UA ............................................................................................................................. 20 2.3.2 Profisafe ........................................................................................................................... 22 2.3.3 NAMUR Open Architecture, NE175 ................................................................................. 23 3 Krav til datakvalitet og sikring av data i OT-systemer i standarder og retningslinjer ....................... 24 3.1 Standarder for funksjonell sikkerhet ........................................................................................... 26 3.1.1 IEC 61508 og krav til data ................................................................................................ 26 3.1.2 IEC 61511 og krav til data ................................................................................................ 27 3.1.3 IEC 62061/ISO13849 og krav til data ............................................................................... 27 3.2 IKT-sikkerhetsstandarder og retningslinjer .................................................................................. 27 3.2.1 IEC 62443 ......................................................................................................................... 27 3.3 Veileder datakvalitet .................................................................................................................... 30 3.4 Utfordringer knyttet til standarder og retningslinjer ................................................................... 32 4 Styrker og sårbarheter knyttet til datakvalitet og sikring av data i OT- systemer ............................ 34 4.1 Terminologi .................................................................................................................................. 34 4.2 Behandling av data ....................................................................................................................... 35 PROSJEKTNR RAPPORTNR VERSJON 102022556 2021:00053 1.1 3 av 63 4.2.1 Prosessering ..................................................................................................................... 35 4.2.2 Tidsstempling (timestamp) .............................................................................................. 35 4.2.3 Vasking ............................................................................................................................. 36 4.3 Kontekstualisering........................................................................................................................ 36 4.4 Validering av data ........................................................................................................................ 37 4.5 Kvalitetssikring ............................................................................................................................. 37 4.6 Sikring og sårbarhet av data relatert til IKT-trusler ..................................................................... 38 4.7 Eksempler på hendelser knyttet til datakvalitet .......................................................................... 39 5 Anbefalinger ............................................................................................................................... 40 5.1 Næringen ..................................................................................................................................... 40 5.2 Ptil ................................................................................................................................................ 41 5.3 Behov for kunnskapsinnhenting. ................................................................................................. 41 Referanser ........................................................................................................................................... 43 A Vedlegg A Data definisjoner og terminologi .................................................................................. 45 B Vedlegg B Krav til datakvalitet i relevante standarder og retningslinjer ......................................... 53 B.1 IEC 61511-1:2016 ......................................................................................................................... 53 B.2 IEC 61508-3:2010 ......................................................................................................................... 56 B.3 ISO 13849-1:2015 ......................................................................................................................... 61 B.4 Data Safety Guidance (v3.2), The Data Safety Initiative Working Group (DSIWG), SCSC-127..... 62 PROSJEKTNR RAPPORTNR VERSJON 102022556 2021:00053 1.1 4 av 63 Sammendrag Innledning Formålet med denne rapporten er å undersøke hvilke datakilder og data som benyttes i industrielle IKT- systemer (OT-systemer) og hvordan data behandles og prosesseres før de gjøres tilgjengelig i kontornettet. Styrker og sårbarheter knyttet til datakvalitet og sikring av data blir diskutert. Vi har vektlagt tilgjengelighet og integritet av data og svakheter i OT-systemer som direkte kan påvirke funksjonell sikkerhet. Arbeidet er i hovedsak basert på dokumentgjennomgang og ni intervju med utvalgte oljeselskap, riggselskap og leverandører.