IT-sikkerheten til Statoil er aldri gransket

Til tross for at dataangrep mot oljesektoren er rekordhøyt, har det aldri blitt utført en særskilt granskning av IT-sikkerheten til Statoil. Men nå skal IT-tabbene frem i lyset.

Oljearbeidere Oseberg feltsenter

INGEN IKT-SJEKK: Ingen myndigheter har noensinne gått inn og gransket hvordan Statoil ivaretar IT-sikkerheten etter at selskapet flagget ut IT-driften av plattformer og landanlegg til India. Petroleumstilsynet har ikke blitt informert om IT-hendelser som har ført til evakuering, nedetid for data og produksjonsstans.

Foto: Hommedal, Marit / SCANPIX

Petroleumstilsynet ga tirsdag Statoil beskjed om at de ville gjennomføre et omfattende IKT-tilsyn i selskapet.

Det er første gang Statoil blir gjenstand for et nitidig spesial tilsyn på IKT.

Tidligere har IKT vært en del av såkalte sikringstilsyn hvor større del av virksomheten er undersøkt.

– Vi vil be om innsyn i alle dokumenter i de 30 hendelsene som er omtalt i media, og vi vil også be Statoil om å få de interne synergirapportene om disse IKT-hendelsene, forteller informasjonsrådgiver Eileen Brundtland i Petroleumstilsynet til NRK.

Eileen Brundtland

IKKE IKT-GRANSKET: Petroleumstilsynet har ikke gransket IT-sikkerheten til Statoil i spesielle IKT-tilsyn etter outsourcinggen, men skal de gjennomføre et eget IKT-tilsyn og skal ansette flere IKT-folk, forteller informasjonsrådgiver Eileen Brundtland.

Foto: Anne Cecilie Remen / NRK

Etter hendelsen på Mongstad hvor en IT-arbeider tastet feil, kom inn bakveien og inn bak brannmuren og stoppet produksjonen i 2014, har det vært flere tilsvarende hendelser på plattformer og landanlegg som kunne vært potensielt farlig.

Statoil har ikke varslet Petroleumstilsynet om de hendelsene som NRK har omtalt.

Fredag var Petroleumstilsynet fornøyd med Statoils forklaring etter at selskapet ble kalt inn på teppet etter NRKs omtale av IT-tabbene.

Les også: Det er sjokkerende at de ikke griper inn

– Vi vil selvfølgelig informere Petroleumstilsynet grundig og godt, sier informasjonsdirektør Bård Glad Pedersen i Statoil.

Brannmuren nede

Siden avsløringene av IKT-ulykkene har NRK fått informasjon om flere uheldige hendelser som direkte kan knyttes til outsourcingen og som myndighetene aldri er blitt informert om.

NRK har allerede fortalt om at en tastefeil i India førte til forstyrrelser og produksjonsstopp på Mongstad.

Men også senere har det enorme landanlegget vært rammet av en alvorlig feil etter slurv i India. En indisk IT-arbeider gjorde vedlikehold på brannmuren og tok ned den tekniske barrieren. Da han var ferdig med jobben, glemte han å sette opp brannmuren igjen. Dette betød at datasystemet på Mongstad lå åpent i flere timer.

– Dette er en av flere hendelser vi nå skal granske, men jeg kan ikke kommentere på enkelthendelser, sier konserndirektør Anders Opedal i Statoil på direkte spørsmål om sikkerhetssvikten med brannmuren på Mongstad.

Selskapet vil ikke lenger avvise at noen av hendelsene burde vært rapportert til myndighetene.

– Vi har ment at dette ikke har vært kritiske hendelser, men nå skal vi se alle hendelsene i sammenheng, sier konserndirektør Anders Opedal i Statoil til NRK. Som det ble kjent mandag, har Statoil satt i gang egen gransking etter NRKs reportasjer.

NRK har snakket med flere Statoil-ansatte som er sjokkerte over omfanget av svikt i sikkerhetssystemene, men folk er redde for å stå frem av frykt for jobbene sine.

En annen alvorlig hendelse som NRK har fått kjennskap til fant sted på Kvitebjørn. Her har en indisk IT-arbeider vært innlogget bak brannmuren i to hele uker, uten at det ble oppdaget. IT-arbeideren hadde ikke tillatelse til å jobbe bak brannmuren.

Bedt om innsyn

I lengre tid har NRK forsøkt å få innsyn i om Petroleumstilsynet har gjort egne IKT-tilsyn i Statoil og hva som er undersøkt. Tilsynet har nektet NRK slik adgang i rapporter under henvisning til at det er unntatt offentlighet og vil heller ikke la seg intervjue.

Men Statoil er litt mer meddelsom.

– Nei, Petroleumstilsynet har ikke hatt tilsyn på vår IKT-sikkerhet i det siste, sier konserndirektør Anders Opedal i Statoil til NRK.

Petroleumstilsynet hevder at alle tidligere ordinære tilsyn med oljeselskapet har inkludert IKT, likevel har de store mengdene med rapporter og bekymringermeldinger i Statoil gått dem hus forbi.

Forsker: – Økende trussel

Utenfor Lillestrøm er forsvarets forskere opptatt av den økende trusselen mot oljeselskapene.

Rune Lausund

BEKYMRET: I Forsvaret er forskerne bekymret mot den økende cybertrusselen mot oljesektoren, forteller sjefforsker Rune Lausund.

Foto: Anne Cecilie Remen / NRK

– Det er en økende cyber-trussel mot oljesektoren, sier sjefsforsker Rune Lausund i Forsvarets forskningsinsistutt.

Aldri før har det vært så mange dataangrep mot oljeselskapene.

Med stigende bekymring følger forskerne med på omfanget av outsourcing til land hvor Norge ikke har et samarbeid med sikkerhetsmyndighetene. Et slikt samarbeid finnes for eksempel ikke med India.

– Man kan sitte hos underleverandører som ikke er klarerte, og gjennomføre vedlikehold på sentrale systemer for selskaper og anlegg som er viktige systemer for nasjonen, sier Lausund.

Lite fokus på IKT-sårbarhet

Leder for Digitalt Sårbarhetsutvalg, professor Olav Lysne, mener at fokuset på IKT-sikkerhet i oljebransjen må bli bedre.

– Det har vært et sterkt fokus på HMS i denne sektoren. Nå må man få et tilsvarende fokus på IKT-sikkerhet, sier Lysne.

– Alle bransjer står litt på hæla når det gjelder den digitale utviklingen. Oljesektoren er en av de sektorene jeg opplever som tilbakelent når det gjelder sårbarhetsutfordringen, sier Lysne.

– IKT-sårbarheten er økende. Jeg observerer at myndighetene ikke tar tungt tak i dette, sier Lysne.

Og det har også vært vanskelig for NRK å få myndighetspersoner i tale om Statoils datasikkerhet.

Arbeids og sosialdepartementet har ansvaret for Petroleumstilsynet, men vil ikke la seg intervjue om tilsynene av Statoil. Olje og energiminister Tord Lien (Frp) vil heller ikke kommentere granskingen av IKT-sikkerheten til Statoil.

Olje- og energiministeren sier IKT-sikkerheten i Statoil ikke er innenfor hans ansvarsområde.

– Det er Petroleumstilsynets ansvar, sier Tord Lien.

Det indiske dataselskapet HCL har ikke ønsket å svare på kritikken, annet enn at de har et godt samarbeid med Statoil.

Laster innhold, vennligst vent..
Laster innhold, vennligst vent..

SISTE NYTT

Siste meldinger