Statoil nedsetter utvalg etter IT-svikt

Publisert

Statoil vil granske sin egen IT-sikkerhet på grunn av flere uheldige hendelser etter at IT-arbeidet ble satt bort til et selskap i India.

– Arbeidet skal bringe full klarhet i aktuelle forhold, og vi gjennomgår på ny hendelser, tidligere bekymringsmeldinger og relevante interne rapporter. Gruppen vurderer om det er nødvendig med nye tiltak for å styrke IT-sikringen i Statoil, sier Anders Opedal, konserndirektør for sikker og effektiv drift i Statoil, til NTB.

Statoil måtte fredag møte hos Petroleumstilsynet for å redegjøre for situasjonen etter flere tilfeller der sikkerheten ved Statoils anlegg kan ha blitt satt i fare.

Etter at Statoil i 2012 satte bort IT-arbeidet til et indisk selskap, har det vært en rekke potensielt farlige situasjoner på Statoils anlegg og plattformer, ifølge NRK.

På innsiden av Mongstad

NRK har funnet dokumentasjon på 29 hendelser hvor indiske IT-arbeidere har brutt barrierer til Statoils plattformer og landanlegg og til Statoil sentralt– men flere kilder opplyser til NRK at omfanget er mye større.

Sikkerhetsbristen ble oppdaget etter en hendelse på Mongstad i 2014. En indisk IT-operatør hadde ved en tastefeil stanset bensinlasting på Mongstad-raffineriet. Tastefeilen førte hm samtidig inn i en server han ikke skulle hatt tilgang til, og han kom bak brannmuren i datasystemet til landets største raffineri.

– Gjennomgangen etter hendelsen på Mongstad viser at det har vært flere hendelser der medarbeidere hos vår leverandør har hatt tilganger de ikke burde hatt, og dette har medført tiltak og forbedringer av sikkerheten, sier Opedal.

Vurderer kontrakt

– Viser hendelsene at IT-sikkerhetsarbeidet i Statoil ikke har vært godt nok?

– Vi jobber systematisk med IT-sikkerhet og har et sterkt fagmiljø på området, men til grunn for alt vårt sikkerhetsarbeid ligger en holdning om at vi alltid kan bli bedre. Derfor går vi åpent og grundig inn i dette med mål om å styrke sikkerheten ytterligere, sier Opedal.

– Skal utvalget vurdere om IT-arbeidet bør hentes hjem igjen til Norge?

– Vi skal vurdere hvordan vi kan styrke IT-sikkerheten i Statoil. Dette kan også få konsekvenser for hvordan vi organiserer arbeidet, men det er for tidlig å konkludere her, sier Opedal.

Han forteller at selskapet vil få gjennomført en tredjepartsverifikasjon av risikoforhold når Statoil skal vurdere om kontrakten med den indiske leverandøren skal forlenges eller ikke.

Han sier forhold som fremkommer under utvalgets arbeid og aktuelle aksjoner, vil bli drøftet med tillitsvalgte.

– Samtidig ber vi om forståelse for at i noen tilfeller kan åpenhet om sikkerhetsvurderinger og sikkerhetstiltak i seg selv utfordre integriteten til våre barrierer, sier Opedal. (©NTB)