OLJEDOKUMENTER: I forbindelse med artikkelserien «Null CTRL» har Dagbladet funnet fem åpne og søkbare servere med detaljerte, tekniske dokumenter om norsk oljebransje. 
Arkivfoto: Eirik Helland Urke / Dagbladet
OLJEDOKUMENTER: I forbindelse med artikkelserien «Null CTRL» har Dagbladet funnet fem åpne og søkbare servere med detaljerte, tekniske dokumenter om norsk oljebransje. Arkivfoto: Eirik Helland Urke / DagbladetVis mer

Sensitive oljedokumenter lå åpent på nett

Statoil: - Svært bekymringsfullt.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Totalt har Dagbladet funnet fem åpne og søkbare servere med detaljerte, tekniske dokumenter vedrørende aktivitet på norsk sokkel. Eierne er underleverandører eller konsulenter for store oljeselskaper som opererer i Norge.

- Vi synes dette er svært bekymringsfullt. Vi har samme forventninger til sikkerheten hos våre underleverandører som oss selv, sier informasjonsdirektør Jannik Lindbæk jr. i Statoil når Dagbladet gir en overordnet beskrivelse av problematikken.

De er ett av flere oljeselskaper som er berørt av den sviktende datasikkerheten. Når Dagbladet gir en mer konkret beskrivelse av innholdet på de ulike serverne, ønsker ikke Statoil å kommentere saken spesifikt, fordi de ikke ønsker å uttale seg om andre selskaper. De understreker imidlertid at de har «skarpt fokus på informasjonssikkerhet».

- Absolutt ikke offentlig På de åpne serverne Dagbladet fant i forbindelse med artikkelserien «Null CTRL», finnes blant annet detaljert informasjon om hva slags styringssystemer som brukes på ulike installasjoner i Nordsjøen, programvare, passord, tekniske tegninger og svært detaljert informasjon om oljerør, ventiler og instrumenteringsløsninger - for å nevne noe.

- Det ligger blant annet informasjon om boreutstyr her. Jeg har lenge trodd at jeg har tatt en del grep for å holde dette låst, men jeg ser jo her at dette ikke har virket så godt. Eventuelt er det et eller annet jeg har bomma på, sier en ingeniør, som hadde store deler av sin backup-disk åpent tilgjengelig på nettet.

Artikkelen fortsetter under annonsen

- Er dette kritisk informasjon?

FOKUS: Informasjonsdirektør i Statoil, Jannik Lindbæk Jr., understreker overfor Dagbladet at de har skarpt fokus på informasjonssikkerhet og forventer det samme fra leverandører og samarbeidspartnere. Foto: Kent Skibstad / NTB Scanpix
FOKUS: Informasjonsdirektør i Statoil, Jannik Lindbæk Jr., understreker overfor Dagbladet at de har skarpt fokus på informasjonssikkerhet og forventer det samme fra leverandører og samarbeidspartnere. Foto: Kent Skibstad / NTB Scanpix Vis mer

- Det kommer an på hvem som ser på det. Men dette skal absolutt ikke være offentlig, sier mannen, som blant annet har hatt flere oppdrag for Aker Solutions.

Vinsjer og boremaskiner På disken hans lå blant annet programvare til å styre store vinsjer og boremaskiner. Dette er en oppskrift på hvordan utstyret brukes hvis det blir lastet inn på en kontroller og en operatør bruker et betjeningspanel for å operere det.

Dersom man er koblet direkte til kontrolleren, er det også mulig å simulere operatørsignaler.

En annen av de åpne serverne Dagbladet har funnet, tilhører en ingeniør i Aker Solutions. Her lå blant annet rapporter, presentasjoner og programfiler. Også denne lå åpen ved en feil.

Datatap Dagbladet har beskrevet innholdet på serverne overfor Aker Solutions.

- Vi, som de fleste andre, har gjort oss noen erfaringer med det som kan se ut som datatap. Vi jobber fortløpende med dette, både med tanke på å søke i eksterne kilder og å øke kunnskapen til våre ansatte, skriver kommunikasjonssjef Bunny Nooryani i en e-post etter at de har gjennomgått opplysningene.

De ønsker ikke å gå nærmere inn på hvordan de jobber med datasikkerhet.

DATATAP: Kommunikasjonssjef Bunny Nooryani i Aker Solutions opplyser til Dagbladet at de har erfaringer med «det som kan se ut som datatap», og at dette er noe de jobber fortløpende med. Foto: Aker Solutions
DATATAP: Kommunikasjonssjef Bunny Nooryani i Aker Solutions opplyser til Dagbladet at de har erfaringer med «det som kan se ut som datatap», og at dette er noe de jobber fortløpende med. Foto: Aker Solutions Vis mer

- Når jeg har diskutert temaet med våre sikkerhetseksperter, kommer alle til samme konklusjon: At vi ikke bør dele hvordan vi innretter oss for å beskytte oss mot denne situasjoner. Jo mer vi forteller, desto mer sårbare blir vi. Derfor ønsker vi ikke å beskrive våre erfaringer eller løsninger rundt problemstillingen.

Store oljeplattformer En annen server inneholdt inspeksjonsrapporter og mapper med oljeselskapenes egne standarder, noen av dem med kommentarer fra selskapene og diskusjoner om krav til utstyr.

Selskapet Krohne, som leverer målesystemer til oljebransjen, hadde også interne dokumenter i en åpen server. Her fantes blant annet informasjon om prosjekter på over 30 norske oljeplattformer, som opereres av noen av verdens største oljeselskaper.

Krohne oppdaget selv feilen før Dagbladet tok kontakt.

Administrerende direktør Eivind Omarhaug forklarer at det var en server-oppgradering som førte til at enkelte mapper utilsiktet ble gjort tilgjengelig.

- Det var kun snakk om eldre, uaktuelle dokumenter, og sett i lys av at vi raskt oppdaget feilen og fikk sperret tilgang, anser vi at skadeomfanget er meget begrenset, skriver han i en e-post til Dagbladet, men presiserer at selskapet tar hendelsen veldig alvorlig.

Endrer rutiner - Vi har endret våre interne IT-rutiner slik at vi er sikre på at tilsvarende ikke vil skje igjen.  

HADDE ÅPEN DISK: En ingeniør med oppdrag for oljeindustrien gjorde disken sin tilgjengelig for alle ved en feil. Her lå blant annet detaljert informasjon om hva slags styringssystemer som brukes på ulike prosjekter i Nordsjøen. Foto: Øistein Norum Monsen / Dagbladet
HADDE ÅPEN DISK: En ingeniør med oppdrag for oljeindustrien gjorde disken sin tilgjengelig for alle ved en feil. Her lå blant annet detaljert informasjon om hva slags styringssystemer som brukes på ulike prosjekter i Nordsjøen. Foto: Øistein Norum Monsen / Dagbladet Vis mer

Dagbladet har beskrevet innholdet på serverne til Petroleumstilsynet, som på dette stadiet kun kan gi følgende, generelle kommentar:

- Det er viktig at selskapene har systemer som sikrer at sensitiv informasjon ikke kommer på avveie. Dette er særlig viktig med tanke på sikkerhetskritisk informasjon knyttet til sikring og beredskap. Per nå vet vi ikke om informasjonen som dere viser til er av en slik art, og om dette faller inn under vårt myndighetsområde, som er sikkerhet, skriver pressekontakt Eileen Brundtland i en e-post til Dagbladet.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer