– Dette er arbeidsplasser for tusenvis av kolleger. Dersom det blir kjent hvor åpent det er inn til det aller helligste på våre plattformer og anlegg, er vi redde for konsekvensene av å blottstille risikoen, sier en sentralt plassert ekspert i Statoil til NRK.
Gjennom samtaler med Statoil-eksperter har NRK fått kjennskap til minst seks oljeplattformer som bare har én sikkerhetsbarriere mot utenomverden. Det bekrefter flere uavhengige kilder.
Kontrollsystemet er hjernen og hjertet og herfra kan alt på plattformen styres. Barrierer inn hit er helt nødvendig.
NRK kjenner også navnet på plattformene, men vi velger å ikke identifisere disse, nettopp for å forhindre at ondsinnede skal utnytte informasjonen.
Trolig er også omfanget større enn de seks plattformene som NRK har identifisert.
– Vi som jobber ute og som kjenner til hullene i sikkerhetssystemene er livredde for at det en dag skal gå galt, forteller en annen av Statoils eksperter oss.
Vedkommende har lang fartstid og arbeider mye ute på plattformer.
- Les også: En tastefeil stoppet Statoil
INNRØMMER PROBLEMET: Statoils informasjonsdirektør Bård Glad Pedersen sier at Statoil oppgraderer der det er mulig.
Foto: ScanpixStatoil oppgraderer der det er mulig
Sjefsforsker ved Forsvarets forskningsinstitutt, Rune Lausund forteller at det er sterk økning i cyberangrep rettet mot oljesektoren. Han bekrefter at det er risikabelt å ha en eneste brannmur.
– Bare en enkelt sikkerhetsbarriere mot internett vil skape en veldig sårbarhet og vil være en stor utfordring.
Statoils ledelse bekrefter at brannmurer på gamle plattformer er en relevant problemstilling.
– Vi gjør oppgradering der det er mulig, og etablerer barrierer på andre områder der vi kan, sier Statoils informasjonsdirektør Bård Glad Pedersen til NRK.
– Vi kan ikke kommentere hvilke tekniske barrierer eller sikringer vi har på anleggene og plattformene våre, fordi det i seg selv kan redusere sikkerheten. Men vi har fullt fokus på dette, sier Pedersen.
Plattformene ligger langt ute i havet, de er store arbeidsplasser og bolig for tusenvis av oljearbeidere. Et angrep eller et uhell kan få store konsekvenser for mange mennesker, og for miljø.
– Vi har snakket med ansatte som er redde for dette med brannmurer, hva sier du til det?
– Vi er opptatt av å få tilbakemeldinger fra brukerne, det kan bidra til å øke sikkerheten, sier Glad Pedersen.
Statoil satte i gang egen granskning av IT-sikkerheten i selskapet denne uken etter NRKs reportasjer.
Gamle styringssystemer
Problemet er at mange av plattformene er gamle. De er bygget i en annen tid, før internett og før alt ble digitalt. Den gang opererte plattformene som helt lukkede systemer.
Mange av Statoils oljeplattformer har styringssystemer som er opptil 30 år gamle, får NRK opplyst.
I løpet av 1990-tallet og utover er plattformene blitt koblet samme i et felles nettverk.
IT-eksperter forteller at det er nærmest umulig å få bygget flere brannmurer mot de gamle styringssystemene.
Dette problemet gjelder ikke bare for Statoil, men også for andre oljeselskaper som driver gamle plattformer.
Det vil koste opp mot en milliard kroner å oppgradere hver enkelt plattform slik at det etableres nye brannmurer og tilfredsstillende og oppdatert sikring, ifølge opplysninger NRK har fått.
KOSTBART OG VANSKELIG: Gamle styringssystemer er tilpasset en tid før internett og det er vanskelig å etablere nye brannmurer, sier Sofie Nystrøm i Senter for Cyber og informasjonssikkerhet
Foto: Oda HveemEkspert: – De tar en kalkulert risiko
– Det er veldig vanskelig å lage barrierer rundt gamle kontrollsystemer på plattformene. Men her har man tatt en kalkulert risiko, forteller Sofie Nystrøm, direktør for Senter for Cyber og informasjonssikkerhet på NTNU.
– Men burde systemene da være koblet til Internett?
– Man tar en kalkulert risiko, gjentar Nystrøm, som også er medlem av regjeringens digitale sårbarhetsutvalg.
Nasjonal sikkerhetsmyndighet følger nøye med på sikkerheten i oljebransjen. Statoil er en av kundene deres som kjøper tjenester for å bli beskyttet mot fiendtlige digitale angrep fra utsiden.
I 2014 stoppet NSM et massivt angrep mot Statoils kontrollsystemer.
– Utfordringen er at de gamle styringssystemene aldri var laget for å være en del av et større nettverk, sier direktør for cybersikkerhet Hans Christian Pretorius i NSM.
– Det at man kan nå systemene fra utsiden gjennom et nettverk er utfordrende. Til det trengs det gode sikkerhetsmekanismer, sier Pretorius.
Kjent for ledelse, men ikke ansatte
Problemene med de gamle styringssystemene er kjent for eksperter og for ledelse i oljeselskapene, men flertallet av dem som jobber ute i Nordsjøen vet ikke om denne sårbarheten og risikoen.
I rapporten om Digital Sårbarhet som kom i 2015 står det svart på hvitt: «Mange av innretningene på norsk kontinentalsokkel er designet for en levetid på mellom 15 og 25 år, og en rekke av disse har fått samtykke til forlenget levetid. Det betyr at mye av utstyr og programvare er utdatert og lite tilpasset dagens digitale sårbarheter.»
Forsvaret har mange av de samme styringssystemene som Statoil har. Der har man ikke koblet det gamle systemet inn mot internett.
Maktesløse
Før styrte Statoils egne ansatte på plattformene vedlikehold på brannmurer og på teknisk nett.
At dette nå gjøres fra land, bidrar til at ansatte blir ekstra urolige.
Statoil har satt dette arbeidet ut til indiske HCL, og mesteparten av jobben gjøres fra den andre siden av kloden
Statoils interne rapporter viser at innleide IT-arbeidere på den andre siden ofte ikke bryr seg om å innhente lokal godkjenning, og går inn bak brannmuren uten at de lokalt ansatte på plattformene har godkjent dette.
– Vi føler oss maktesløse. Stadig oppdager vi at IT-folk på den andre siden av jorden gjør arbeid på brannveggen eller i kontrollsystemet, uten at vi vet om det, og uten at vi kan se eller kontrollere det de gjør, forteller en som jobber med sentrale oppgaver på en plattform.
- Les også: Åpner fjerde granskning av Statoil
- Les også: Her har de 40.000 oljejobbene forsvunnet
