Mange i Statoil har kjempet en lang kamp om kontroll over egne sikkerhetskritiske datasystemer.
– Dette er et skritt i riktig retning, og vi er glade for at ledelsen lytter til innspillene fra ansatte, sier NITO-tillitsvalgt Jorunn Birkeland i Statoil.
Heretter skal Statoils egne medarbeidere utføre vedlikehold av IT- brannmurene, og ikke ansatte i den indiske IT-giganten HCL på den andre siden av kloden.
I går fortalte NRK at Statoil har bestemt at indiske IT-arbeidere mister tilganger på Statoils oljeplattformer og landanlegg
– Statoil vurderer flere tiltak for å bedre IT-sikkerheten, sier informasjonsdirektør Bård Glad Pedersen.
Underleverandøren HCL vil ikke uttale seg. Selskapets PR-avdeling skriver i en e-post at HCL av prinsipp om konfidensialitet ikke kommenterer kundeforhold.
Avtalen med Statoil er et prestisjeoppdrag. Kontrakten går ut neste år og spørsmålet eksperter stiller seg er om dette kan påvirke prosessen med å fornye den.
En klar innrømmelse
– Statoil har gått på en sikkerhetssmell, og det er riktig og klokt å gjøre noe med det. Dette er en innrømmelse om at Statoil ikke har hatt god kontroll på IT-sikkerheten, sier Per Morten Hoff, tidligere leder for IKT Norge.
HCL-ansatte i India har siden 2012 hatt full tilgang til IT-brannveggene som skal beskytte sikkerhets- og styringssystemene på Statoils plattformer og anlegg. Etter hvert mistet Statoil oversikten over hvor mange eksterne som hadde passord til selskapets mest kritiske beskyttelsessystem.
– Statoil har åpenbar vært for liberale og utdelt for mange sentrale og viktige tilganger til eksterne, sier Hoff.
Rom for forbedringer
– Vi har hatt gode systemer for IT-sikkerhet, men må ha som utgangspunkt at man alltid kan bli bedre. Derfor satte vi ned utvalget for å gjennomgå IT-sikkerheten og identifisere tiltak som kan styrke sikkerheten ytterligere, sier informasjonsdirektør Glad Pedersen i Statoil.
NRK har fortalt om en rekke hendelser knyttet til outsourcing i Statoil de siste årene. En rekke interne rapporter påpeker at mange indiske IT-arbeiderne mangler virksomhetsforståelse og nødvendig lokal IT-kompetanse.
- Les også Tastefeilen som stoppet Mongstad
Trendskifte
– Jeg tror og håper dette blir en vekker for andre selskaper. Jeg håper flere bedrifter tenker seg om før de setter ut vitale tilganger til eksterne og at selskapene har bedre kontroll på hvem som får tilgang til nøkkelsystemer, sier Hoff.
De siste årene har en bølge av outsourcing spredd om seg i næringslivet og i det offentlige. At Statoil bryter med trenden kan påvirke andre selskaper til å følge etter.
– Jeg tror vi ser et trendskifte. At flere vil flytte arbeidsoppgaver hjem igjen. Med økt grad av automatisering er det blitt mindre økonomiske fordeler med å outsource i lavkostland, og i tillegg har vi sikkerhetsaspektet hvor mange har dyrekjøpt erfaring, sier næringslivsleder Endre Rangnes, tidligere toppsjef i IBM Norge og EDB Business Partner, nå styremedlem i blant annet Tieto.
– At det nettopp er Statoil som tar tilbake arbeidsoppgaver hva betyr det for andre bedrifter?
– Jeg tror at det vil ha en viss smitteeffekt for andre selskaper som sliter med dyrekjøpte erfaringer, sier Rangnes.
Viktig å beholde kompetanse.
Jorunn Birkeland i NITO har vært sentral fra fagforeningenes side for å bedre IT-sikkerheten i flere år.
– Dette handler om kritisk kompetanse som vi må ha i eget hus og i landet vårt. Det er viktig at Statoil og norsk industri er i têt når det gjelder å ha denne spisskompetansen også i fremtiden, sier hun.
Birkeland påpeker at manglende kontroll på digitale systemer og lagring av data kan bli en stor risiko for et lite land som Norge.
– Dessuten handler dette om tillit. Før kjente vi dem som jobbet med brannmurer og beskyttet sikkerhetssystemene på anleggene.Vi hadde felles forståelse av risiko og arbeidsprosesser og vi snakket samme språk. Dette er en forutsetning for at denne type fjernarbeid kan aksepteres, sier Birkeland.
- Les også: Statoil gransker egen IT-sikkerhet
– Fjernarbeid på anlegg i drift er komplisert. Det ligger i sakens natur at det er forbundet med stor risiko å gjøre fjernarbeid fra den andre siden av kloden på oljeplattformer. Hvis du kommer bort i feil taster, så kan det få store konsekvenser, understreker Jorunn Birkeland.