Statoils oljeraffineri på Mongstad
Foto: Marit Hommeldal / NTB Scanpix

Tastefeilen som stoppet Statoil

MONGSTAD (NRK): Da en indisk IT-arbeider stanset produksjonen på Mongstad på grunn av en tastefeil, oppdaget Statoil at outsourcing til India hadde satt sikkerheten i fare.

Anne Cecilie Remen
Line Tomter byline
Journalist

Vinden sto på fra sør, det var lett regn i luften, klokken var 02.07 natt til onsdag 21. mai 2014.

En last på 50.000 kubikk bensin var i ferd med å blandes for å bli lastet over til et tankskip på raffineriet Mongstad.

På den andre siden av kloden i India var det tidlig morgen. En IT-ansatt i det indiske storselskapet HCL skulle utføre vedlikehold på en server i Norge.

Kunden var Statoil. Vedlikeholdsarbeidet var forsinket.

I iveren etter å gjøre jobben ferdig, kom IT-konsulenten i skade for å sette fingeren på feil tast på PC-en. Tastefeilen førte ham inn i gal server. En server han ikke skulle hatt adgang til.

Han var inne bak brannmuren i datasystemet til landets største raffineri Mongstad.

Serveren var merket og det fremgikk tydelig at den førte ham inn i et produksjonsanlegg hos Statoil. Inderen forsto likevel ikke hvor han var kommet inn. For å løse problemet ville han restarte PC-en sin.

Datasystemet advarte den indiske IT-konsulenten mot å gå videre. Han ignorerte advarselen.

Den indiske IT-arbeideren forsto raskt at han hadde gjort en feil da han startet opp PC-en og gikk inn i serveren. Han fikk panikk og ba kollegaene i India om hjelp. I løpet av kort tid var det 22 uautoriserte pålogginger i Statoils datasystem fra India for å få i gang serveren igjen.

Dette lyktes dem ikke. Produksjonen stanset.

Utdrag fra intern rapport Statoil

ADVARSEL: Slik så advarselen ut som den indiske IT-arbeideren fikk på dataskjermen sin

Foto: Skjermdump

– Vi driver ikke akkurat med sjokoladeproduksjon

Jan Erik Feste og Trine Holsen

EN SIKKERHETSRISIKO: De tillitsvalgte Jan Eirik Feste og Trine Holsen i Statoil mener at de indiske IT-arbeiderne utgjør en sikkerhetsrisiko.

Foto: Anne Cecilie Remen / NRK

Hendelsen på Mongstad er ikke unik. NRK har funnet dokumentasjon på 29 hendelser hvor indiske IT-arbeidere har brutt barrierer på plattformer, landanlegg og sentralt i Statoil. Sentrale kilder i Statoil opplyser til NRK at omfanget er mye større.

Statoil driver med olje- og gassproduksjon. Dette er høyeksplosive prosesser. Mye er styrt og kontrollert av datasystemer. Teknisk svikt her kan få fatale konsekvenser.

– Vi driver ikke akkurat med sjokoladeproduksjon. Gjøres det feil her, kan det fort oppstå svært farlige situasjoner, sier hovedverneombud Erik Neverdal til NRK.

Intern rapport: – Sikkerheten er i fare

Drøye to år før hendelsen på Mongstad hadde Statoil satt driften av IT-systemene av både teknisk nett og kontornett til det indiske IT-selskapet HCL. Hundrevis av Statoil-ansatte er gradvis blitt erstattet av indiske IT-arbeidere.

Interne rapporter NRK har fått tilgang til avdekker at Statoil har fryktet for sikkerheten på sine anlegg på grunn av outsourcingen til India.

I en rapport fra 2014 skriver Statoil: «Den siste tids opptrapping av hendelser kan fort sette sikkerheten i fare.»

StatoiI skriver videre. «Dette føyer seg inn i rekken av problemer etter outsourcing.»

– Siden hendelsen på Mongstad har vi gjennomført flere tiltak, blant annet på opplæring, sier informasjonsdirektør Bård Glad Pedersen i Statoil til NRK.

På anleggene er vi avhengig av at IT-ressurser ikke bare har kompetanse på Windows, men også har kjennskap og forretningsforståelse for anleggene der maskinene benyttes."

Statoil-rapport

Hell i uhell

Statoil hadde flaksen på sin side denne maidagen på Mongstad. Erfarne medarbeidere var på plass og handlet raskt.

Da den datastyrte prosessen kollapset, overtok de norske ansatte styringen manuelt. Etter et par timers avbrudd kunne blandingen av olje og lastingen starte igjen som normalt like etter klokken ni samme morgenen.

Da hadde bare en liten del av bensinblandingen rent ut i sjøen. Forurensingen ble begrenset. Statoil sto i fare for å tape 30–40 millioner kroner på hendelsen, men tapet ble begrenset til under en million kroner.

Hovedvernombud Erik Neverdal

IKKE SJOKOLADEFABRIKK: Vi jobber i en bedrift hvor det er risiko for at feil kan føre til alvorlige ulykker, sier hovedverneombud Erik Neverdal på Mongstad.

Foto: Anne Cecilie Remen / NRK

Småpenger for Statoil, men hendelsen viste noe langt mer alvorlig: Statoil hadde ikke kontroll på hvem som hadde tilgang til alle anlegg.

Hadde tilgang til det helligste

Ifølge informasjon NRK har fått fra sentrale kilder i Statoil hadde over 100 ansatte i det indiske selskapet såkalt masteradgang til hele Statoils dataanlegg sommeren 2014.

I en intern rapport skriver Statoil:

«Vedlikeholdspersonell i GBS/HCL har tilgang til samtlige tekniske nettverk på alle Statoils anlegg som er knyttet opp til brannmuren».

I klartekst betyr det at de kunne stoppe all produksjon på alle Statoils anlegg, eller gi andre tilgang til å gjøre det samme. De kunne lage åpninger helt ute fra internett og til de mest beskyttede systemet på alle anlegg.

– For mange har hatt tilgang til systemet, men vi har ryddet opp i dette nå, sier informasjonsdirektør Glad Pedersen i Statoil.

Det er betenkelig at personell i eksterne selskaper, uten dokumentert kompetanse som sikrer en grunnleggende forståelse for funksjon og sammenhenger på de involverte prosessnære systemene, har driftsansvaret for denne infrastrukturen. Den store geografiske og kulturelle avstanden til ekstern leverandør øker den opplevde risiko og muligens også den faktiske risiko.

Statoil, intern rapport høst 2014

Mangler kompetanse

Utfordringene stopper ikke her.

I flere rapporter påpekes det at de innleide IT-konsulentene mangler den nødvendige kompetansen.

Statoil skriver:

«Det er uklart hvilke kompetansekrav og opplæring som ligger til grunn når tilgang blir gitt, og hvordan disse tilgangene blir fulgt opp over tid.»

Videre omtaler Statoil høsten 2014 risikoen ved outsourcing etter diverse hendelser slik:

«Det er betenkelig at personell i eksterne selskaper, uten dokumentert kompetanse som sikrer en grunnleggende forståelse for funksjonene og sammenhenger på de involverte prosessnære systemene, har driftsansvaret for infrastrukturen. Den store geografiske og kulturelle avstandene til ekstern leverandøren øker den opplevde risiko og muligens også den faktiske risiko.»

En rekke ansatte NRK har snakket med bekrefter at det fortsatt oppleves at de indiske konsulentene mangler den nødvendige kompetansen.

– Vi opplever stadig at de indiske IT-folkene ikke skjønner hva vi holder på med. Det virker ikke som de forstår at vi driver med olje- og gassproduksjon, men tror de jobber mot et vanlig kontor, sier tillitsvalgt Trine Holsen.

Glad Pedersen

BLITT BEDRE: Statoils informasjonsdirektør Bård Glad Pedersen mener Statoil har lært og at flere tiltak er gjennomført for å bedre IKT-sikkerheten.

Foto: www.kentskibstad.no, Skibstad, Kent / NTB scanpix

Foreløpig har dette bare ført til økonomiske tap, men det kan fort føre til menneskelige tap, sier hovedtillitsvalgt Jan Eirik Feste ved Mongstad.

Statoil har heller ikke varslet Petroleumtilsynet om disse IKT-hendelsene.

Det ser ikke ut til at man lærer av hendelser på tvers i Statoil.

Statoil-rapport, 2014

Ingen sikkerhetssjekk

Da Statoil gransket IKT-hendelsene oppdaget selskapet at de indiske IT-ansatte ikke hadde vært gjennom en sikkerhetssjekk før de ble ansatt.

«Sjekk av CV/referanser er ikke tilstrekkelig for å avdekke historikk i for eksempel rulleblad», skriver Statoil i en rapport.

– Vi er stadig i dialog med våre leverandøren om hvordan dette skal utføres og kan ikke gå mer i detalj, sier Pedersen.

Statoil har også ved flere anledninger mistet oversikt over hvem som har vært inne på landanleggene deres.

Det har ført til at de har måttet evakuere produksjonsanlegg på norsk jord fordi datanettet som styrer adgangskontrollen har sviktet. I interne rapporter kalles hendelsene for evakuering, men Statoils direktør vil ikke bruke ordet evakuering.

Sleipner T

IKKE LOKAL GODKJENNELSE: Oljeplattformen Sleipner har flere ganger opplevd at indiske IT-arbeidere har logget seg inn på teknisk nett uten godkjennelse

Foto: STAFF / Reuters

Det indiske selskapet HCL har også ansvaret for drift og vedlikehold av adgangskontrollen. Ansatte på blant annet på Kårstø og Kollsnes fått beskjed om å forlate jobben og gå ut portene inntil Statoil hadde kontroll. Det har også vært flere uautoriserte innlogginger på teknisk nett på plattformer som Troll A, Sleipner og Statfjord, værdata til helikopter og plattformene har falt ut, hele nettet til Statoil har i perioder vært nede. Listen over potensielt farlige situasjoner er lang.

Har ikke gjennomført alle tiltak

I etterkant av tastefeilen i India foreslo et internt utvalg en rekke grep for å sikre IKT-sikkerheten på anleggene bedre. Blant annet fikk færre personer såkalt mastertilgang til Statoil.

I dag har ikke over 100 eksterne lenger supernøkkel til alle Statoils anlegg, men et par håndfull HCL-ansatte har det fremdeles.

Men det mest gjennomgripende tiltaket som det interne utvalget foreslo gjennomført har Statoil ikke gjort.

«Det anbefales å tilbakeføre drift av Acess@Plant (brannmur, servere og nettverk) på anleggene til internt personell som allerede er eller har vært involvert i disse løsningene. Da sikrer man nærhet til systemene, og mulighet til å kommunisere direkte med brukerne av systemene på anleggene».

Ansatte i Statoil opplever daglig utfordringer med IKT-sikkerhet og med stabilitet i systemene.

– Det er ikke blitt noe bedre, sier hovedverneombud Erik Neverdal ved Mongstad.

Flere rapporter peker på at Statoil ikke lærer av sine feil og tidligere erfaringer.

Det pekes på at ansvarlige i interne synergirapporter lister opp tiltak som det i ettertid ikke viser seg blir iverksatt.

Inderen mistet jobben

En mann i India var uheldig og tastet feil på PC-en. Hans uforsiktighet førte til en intern gransking. Men hovedpersonen selv har aldri bidratt til å forklare hvordan han havnet bak brannmuren på Mongstad.

Da Statoil ba HCL om å få snakke med IT-konsulenten fikk selskapet beskjed om at han ikke lenger jobbet hos dem. Alle hans tilganger ble stoppet to dager etter Mongstad-hendelsen.

– Dette er ikke en personalpolitikk vi liker. Det må være lov for en medarbeider å gjøre en feil, sier hovedtillitsvalgt Jan Eirik Feste ved Mongstad.

HCL har ikke villet svare på NRKs spørsmål om den uheldige IT-arbeiderens skjebne eller andre spørsmål om Statoil-kontrakten.

I stedet skriver selskapets nordiske sjef Pankaj Tagra i en e-post: «HCL Technologies (HCL) og Statoil har med suksess jobbet sammen i fire år, og HCL har levert betydelige verdier til Statoil. Dette er et resultat av tett samarbeid og gjensidig tillit mellom våre to organisasjoner. Styrken i samarbeidet er videre demonstrert gjennom den nylig forlengingen av vår kontrakt.»

Les mer om utflagging av IT-jobber her