– Vi har konkludert. Hendelsen på Mongstad burde vært innrapportert, sier i Asbjørn Ueland, sjefingeniør i Petroleumstilsynet.
Over tre måneder er brukt på IT-tilsynet i Statoil. Rundt 100 interne Statoil-rapporter om IT-hendelser i oljeselskapet er gjennomgått.
– Det har vært lite tradisjon i oljenæringen for å innrapportere IT-hendelser til myndighetene, sier Ueland.
Etter å ha lest rapportene om rundt 100 IT-hendelser i Statoil, mener tilsynet at kun tastefeilen som rammet oljeraffineriet Mongstad er rapporteringspliktig.
- Les:
Flere IT-hendelser i Statoil har involvert utenlandske underleverandører og arbeid utført fra India. Statoil-ansatte har uttalt til NRK at utflagging av IT til India utgjør en ekstra risiko.
Nedetid for brannmurer er ikke kritisk
Det har vært tilfeller der brannmurer på oljeplattformer har vært nede flere dager i strekk, fordi indiske IT-arbeidere har glemt å sette opp brannmurer igjen etter arbeid utført fra India. Tilsynet konkluderer med at hendelser med brannmurer ikke trenger å være rapporteringspliktige.
- Les:
- Les:
– En brannmur er en brannmur, like fullt så har du et nettverk av beskyttelsesmekanismer, der brannmuren er en av dem, sier Ueland i Petroleumstilsynet.
Fagforeningstopp for ingeniører i Statoil er uenig.
– Sikkerhetssystemene som er bak brannmuren trenger faktisk den beskyttelsen brannveggen skal gi mot uautorisert tilgang. Det virker som om Petroleumstilsynet ikke har forstått dette og det er bekymringsfullt, sier nestleder Jorunn Birkeland i NITOs Petroleumsutvalg.
Kritiske til rapporten
Dagens regelverk er forklaringen på at hendelser med brannmurer ikke er rapporteringspliktige, ifølge tilsynet.
Fagforeningen Tekna, som organiserer mange av IT-ingeniørene i Statoil, er uenig.
– Vi mener slike hendelser bør være rapporteringspliktige. Selv om konsekvensen av den enkelte hendelse kan være liten, så kan summen av hendelser bli alvorlige, sier Lise Randeberg, president i Tekna.
NITO mener tilsynet er for overfladisk.
– Vi er glade for at Petroleumstilsynet nå mener at Mongstad-hendelsen burde vært innrapportert. Men både rapporten og selve tilsynet er preget av at dette er et nytt område for Petroleumtilsynet, Det hele er blitt svært avgrenset, reell risiko er på en måte ikke i "scope." Vi håper de går dypere til verks neste gang, sier Birkeland i NITO.
Fant ingen avvik
Store deler av rapporten er unntatt offentlighet, og tilsynet har ikke funnet det nødvendig å påpeke såkalte avvik.
– Vi har mottatt rapporten og vil gå grundig gjennom den. Tilsynet identifiserer ingen avvik, men et forbedringspunkt når det gjelder varsling som vi vil følge opp, sier informasjonsdirektør Bård Glad Pedersen i Statoil.
– Er dere enige med Petroleumstilsynet i at hendelsen på Mongstad burde vært innrapportert`?
– Vi forholder oss til at Petroleumstilsynet har kommet til den konklusjonen og vil selvsagt følge opp det, svarer Pedersen.
Måtte leie inn eksperthjelp
For å gjennomgå rapportene leide tilsynet inn eksterne konsulenter i PwC.
Det er kun Statoils internrapporter som er gjennomgått i revisjonen.
– Risikoen ved utflagging av IT er det aktuelt å gjennomgå på et senere tidspunkt, sier sjefingeniør Ueland.