– Mer omfattende svikt i Equinors IT-sikkerhet

IT-svakhetene i Equinor handler om mer enn finansiell rapportering, påpeker leder Jorunn Birkeland i NITO Petroleum. De kan også få betydning for sikkerheten ved produksjonsanleggene.

Jorunn Birkeland, leder i NITO Petroleum, mener at Equinor har gjort mye, men ikke nok med IT-sikkerheten.

Stian Lysberg Solum / NTB
  • Erlend Skarsaune (Stavanger Aftenblad)
Publisert:

I 2012 ble vesentlige deler av IT-driften i Equinor (da Statoil) satt ut. Indiske HCL ble nå en storleverandør av IT-tjenester til selskapet, inkludert kritiske oppgaver på infrastruktur på anleggene, tross klare advarsler internt fra fagmiljø og tillitsvalgte.

De var bekymret for feilhandlinger på blant annet brannveggene som beskytter anleggenes industrielle IT-system.

To år senere kunne disse notere seg at de dessverre fikk rett. På grunn av en tastefeil stanset en IT-konsulent i India en lasteoperasjon på Mongstad-raffineriet utenfor Bergen. NRK kunne vise til at hendelsen ikke var unik. Minst 29 ganger hadde indiske IT-arbeidere brutt barrierer på plattformer, landanlegg og sentralt i selskapet. I Equinor fryktet ansatte for sikkerheten.

Hør fersk episode av podkasten Det vi lever av:

Flere svakheter

Nå er IT-sikkerhet igjen et tema, etter at energikjempen i sin egen årsrapport omtaler vesentlige svakheter internt:

  • Den vesentlige svakheten i selskapets kontroll med brukertilgang til IT-systemer kan øke faren for nettangrep.
  • Manglende IT-kontroll utgjør samlet en vesentlig svakhet i internkontrollen av finansiell rapportering.
  • IT-svakheter gir for dårlig kontroll forbundet med salg og kjøpt av olje og gass, inkludert endringer i lagerbeholdning og krafthandel.
  • Kan oppstå feil i selskapets finansielle rapportering som ikke ville blitt oppdaget umiddelbart, sier selskapet selv.
  • Men – svakhetene kan også få betydning for sikkerheten til industrielle system, sier flere kilder.

Equinor avviser fortsatt at svakhetene i IT-kontroller for datasystemene som støtter finansiell rapportering, kan ha konsekvenser for kritiske anleggssystemer.

– Svakhetene omtalt i årsrapporten omfatter kun IT-kontroller av datasystemene knyttet til finansiell rapportering. Ingen av disse IT-systemene har direkte påvirkning på sikkerhetssystemene for anlegg eller kan medføre tap av menneskeliv, sier talsperson Rikke Sjøberg.

Nådeløs

Jorunn Birkeland er en av dem som ikke er enig. Hun var i en årrekke sentral NITO-tillitsvalgt i Equinor og jobbet særlig med industrielle IT-systemer, automasjon og sikkerhet. Nå har hun sluttet i selskapet etter å ha nådd pensjonsalderen på 65 for sokkelansatte, men er fortsatt aktiv i fagforeningen NITO (Norges ingeniør- og teknologiorganisasjon) og leder NITO Petroleum.

Hun sitter også i bransjens eget Sikkerhetsforum på vegne av fagforeningen.

– At svakhetene ved IT-sikkerheten blir omtalt så konkret i årsrapporten, viser at dette er svært alvorlig. Ellers ville de aldri nådd til overflaten. Rapporten har riktignok mest fokus på risiko for kvaliteten på regnskapet og den finansielle rapporteringen. Av forståelige grunner: Finansverdenen er nådeløs hvis den ikke har tillit til Equinors finansielle kontrollsystemer, sier Birkeland.

Hun påpeker at årsrapporten bruker sterke ord når den generelt karakteriserer viktigheten av å ha høyt nivå på IT-sikkerhet.

–Mangelfull kontroll på IT-sikkerhet kan medføre nettangrep, driftsforstyrrelser og fare for «tap av liv», sier rapporten. At selskapet tar dette så alvorlig, er jo veldig bra.

Ikke i mål

For Birkeland er det imidlertid bekymringsfullt at Equinor har brukt over ett år på å rette opp i sikkerhetssviktene i de finansielle systemene, uten å komme i mål.

– Selv om det er brukt mye ressurser på utbedringer kreves det mer enn en tror av både tid og arbeid. At de ikke er i mål med å reparere kjente svakheter, sier noe om kompleksiteten. Så kan dette også være et symptom på mer grunnleggende problem i organiseringen av IT-arbeid. IT-porteføljen i Equinor er kompleks og unik. Det er jo et stort mangfold av avansert teknologi og anlegg som skal driftes.

Hun mener at Equinor-ledelsen i mange år har sett på IT som en administrativ kostnad som må holdes så lav som mulig, og ikke en helt sentral del for å skape verdier og redusere risiko.

Eller som Birkeland påpeker: Mange mener noe om IT, men få har nødvendig teknisk innsikt.

– Dette gjenspeiles i ledelsens prioritering av for eksempel egen kompetanse og vedlikehold. Å få tak i nok og riktig kompetanse for å holde tritt er krevende. IT er et område der kompetanse forvitrer veldig fort og det skal svært stor innsats til for å bygge tapt kompetanse opp igjen.

Les på E24+

Statoil vil granske IT-sikkerheten etter Mongstad-glipp

Ikke ment for internett

– På hvilken måte kan du si at dette handler om mer enn de finansielle systemene?

– Både de konkrete IT-svakhetene og de potensielle bakenforliggende årsakene kjenner vi igjen. Dette er et varsko også for andre system enn regnskap og finans. Alvorlige svakheter i administrative system vil også kunne gi økt sårbarhet for de industrielle IT-systemene på anleggene. Det kan høres søkt ut, men alle IT-system er i stor grad koblet sammen. Det er nettopp infrastrukturen, med solide brannvegger og tilgangskontroll som skal sikre at uvedkommende ikke kommer inn på for eksempel et anleggs sikkerhetssystem.

Birkeland påpeker at mange av Equinors anlegg er gamle og fortsatt har datasystem som ikke ble bygget for å være koblet til administrative storsystem og internett.

– Derfor er det ekstra viktig at selskapet rent generelt har bærekraftige systemer for kontroll på at kun autorisert personell får tilgang, når de trenger det. Kompetanse og tillit er også sentralt. Kommer en først innenfor brannmuren til et system eller et anlegg, da har en tilgang til veldig mye.

I 2014 stanset en IT-konsulent en lasteoperasjon ved raffineriet på Mongstad. Det førte til oppvask i Equinor om IT-sikkerheten.

Hommedal, Marit / NTB scanpix
Les også

Store svakheter ved IT-sikkerheten i Equinor

Etterlyser ressurser

Birkeland var med på det partssammensatte arbeidet med å tette sikkerhetshullene etter IT-glippen på Mongstad. Da hadde mye IT-ansvar blitt satt ut til andre.

Hun mener at det som omtales i årsrapporten viser at Equinor ennå ikke er ferdig med oppryddingsjobben.

– Mye bra er gjort av Equinor og den generelle sikkerheten er blitt bedre. Allmennkunnskapen hos både egne ansatte og leverandører er blitt hevet. Vi er ikke sterkere enn det svakeste ledd, så dette er viktig. De som jobber med de tekniske forbedringene har også gjort en kjempejobb. Men IT-svakhetene årsrapporten beskriver, er et sterkt signal om mangler innen kompetanse.

Les også

Indiske IT-arbeidere får ikke tilgang til Statoils brannmurer

Den viktigste oppgaven etter Mongstad-svikten var å bygge opp igjen en kompetent gruppe internt i selskapet for å kunne ta tilbake kritiske oppgaver på infrastruktur mot anleggene.

– Det tok over to år å bygge opp igjen en relativ liten spesialistgruppe slik at de mest kritiske oppgavene kunne tas tilbake fullt ut. Men det er nok fortsatt for få ressurser med utførende spisskompetanse i selskapet og det trengs en større forståelse i ledelsen for behovene.

Birkeland er ikke sikker på om Equinor har lært nok av Mongstad-hendelsen, hverken hvorfor det skjedde og det påfølgende arbeidet med å bygge opp igjen fagmiljøet.

– Equinor har fortsatt en stor jobb å gjøre, slik de skriver i rapporten. Spørsmålet er om de nå har funnet rett «medisin». Vi ser at sterke krefter i ledelsen ønsker færre egne ansatte og mer kjøp av tjenester. Ressursene med utførende fagekspertise er for få og må brukes på tvers i for stor grad. De dras i alle retninger. Fagmiljøene har behov for å jobbe dedikert og bygge kompetanse, dette må det tilrettelegges for. Rådet blir: Lytt enda grundigere til fagmiljøene og de tillitsvalgte i arbeidet med organiseringen av IT og IT-sikring i tiden framover.

Les også

Riksrevisjonen kritisk til NVE: Ikke godt nok forberedt på dataangrep

– Mye forbedringsarbeid

Equinor avviser altså at svakhetene ved IT-sikkerheten for finansiell rapportering som omtales i årsrapporten også kan implisere IT-systemene for de industrielle anleggene.

– Så Equinor har full kontroll på IT-infrastrukturen inn mot anleggene?

– Vi jobber systematisk og kontinuerlig med å forstå og håndtere cybersikkerhetsrisiko for både anleggssystemer og kontorsystemer, for å beskytte folk og operasjoner.

– Har dere gjort nok for å lære av Mongstad-hendelsen?

– Siden Mongstad hendelsen i 2014 har selskapet gjennomført mye forbedringsarbeid på cyber-sikring både for anleggssystemer og kontorsystemer. Equinor jobber hele tiden for å bedre og sikre IT-infrastrukturen samt driften av denne, etter hvert som teknologiutviklingen og digitaliseringen økes og risikobildet endres, sier Sjøberg.

Les på E24+

– Pandemien har gjort norske selskaper mer utsatt for cyberangrep

Publisert:

Her kan du lese mer om

  1. Datasikkerhet
  2. Equinor
  3. AftenbladetE24
  4. IT-tjenester

Flere artikler

  1. Store svakheter ved IT-sikkerheten i Equinor

  2. Frykter Opedal-kutt rammer sikkerheten til oljearbeidere

  3. Petroleumstilsynet: Bekymret for sikker drift på Equinors plattformer

  4. Equinor-sjefen vil skjerpe sikkerheten – får klart svar

  5. Avviser at vedlikeholdskutt førte til brann: – Ikke noen sammenheng