Sensitive oljehemmeligheter lå åpent på nett


(Dagbladet): Totalt har Dagbladet funnet fem åpne og søkbare servere med detaljerte, tekniske dokumenter vedrørende aktivitet på norsk sokkel. Eierne er underleverandører eller konsulenter for store oljeselskaper som opererer i Norge.

- Vi synes dette er svært bekymringsfullt. Vi har samme forventninger til sikkerheten hos våre underleverandører som oss selv, sier informasjonsdirektør Jannik Lindbæk jr. i Statoil når Dagbladet gir en overordnet beskrivelse av problematikken.

De er ett av flere oljeselskaper som er berørt av den sviktende datasikkerheten. Når Dagbladet gir en mer konkret beskrivelse av innholdet på de ulike serverne, ønsker ikke Statoil å kommentere saken spesifikt, fordi de ikke ønsker å uttale seg om andre selskaper. De understreker imidlertid at de har «skarpt fokus på informasjonssikkerhet».

- Absolutt ikke offentlig

PÃ¥ de Ã¥pne serverne Dagbladet fant i forbindelse med artikkelserien «Null CTRL», finnes blant annet detaljert informasjon om hva slags styringssystemer som brukes pÃ¥ ulike installasjoner i Nordsjøen, programvare, passord, tekniske tegninger og svært detaljert informasjon om oljerør, ventiler og instrumenteringsløsninger – for Ã¥ nevne noe.

- Det ligger blant annet informasjon om boreutstyr her. Jeg har lenge trodd at jeg har tatt en del grep for å holde dette låst, men jeg ser jo her at dette ikke har virket så godt. Eventuelt er det et eller annet jeg har bomma på, sier en ingeniør, som hadde store deler av sin backup-disk åpent tilgjengelig på nettet.

- Er dette kritisk informasjon?

- Det kommer an på hvem som ser på det. Men dette skal absolutt ikke være offentlig, sier mannen, som blant annet har hatt flere oppdrag for Aker Solutions.

Vinsjer og boremaskiner

På disken hans lå blant annet programvare til å styre store vinsjer og boremaskiner. Dette er en oppskrift på hvordan utstyret brukes hvis det blir lastet inn på en kontroller og en operatør bruker et betjeningspanel for å operere det.

Dersom man er koblet direkte til kontrolleren, er det også mulig å simulere operatørsignaler.

En annen av de åpne serverne Dagbladet har funnet, tilhører en ingeniør i Aker Solutions. Her lå blant annet rapporter, presentasjoner og programfiler. Også denne lå åpen ved en feil.

Datatap

Dagbladet har beskrevet innholdet på serverne overfor Aker Solutions.

- Vi, som de fleste andre, har gjort oss noen erfaringer med det som kan se ut som datatap. Vi jobber fortløpende med dette, både med tanke på å søke i eksterne kilder og å øke kunnskapen til våre ansatte, skriver kommunikasjonssjef Bunny Nooryani i en e-post etter at de har gjennomgått opplysningene.

De ønsker ikke å gå nærmere inn på hvordan de jobber med datasikkerhet.

- Når jeg har diskutert temaet med våre sikkerhetseksperter, kommer alle til samme konklusjon: At vi ikke bør dele hvordan vi innretter oss for å beskytte oss mot denne situasjoner. Jo mer vi forteller, desto mer sårbare blir vi. Derfor ønsker vi ikke å beskrive våre erfaringer eller løsninger rundt problemstillingen.

Store oljeplattformer

En annen server inneholdt inspeksjonsrapporter og mapper med oljeselskapenes egne standarder, noen av dem med kommentarer fra selskapene og diskusjoner om krav til utstyr.

Selskapet Krohne, som leverer målesystemer til oljebransjen, hadde også interne dokumenter i en åpen server. Her fantes blant annet informasjon om prosjekter på over 30 norske oljeplattformer, som opereres av noen av verdens største oljeselskaper.

Krohne oppdaget selv feilen før Dagbladet tok kontakt.

Administrerende direktør Eivind Omarhaug forklarer at det var en server-oppgradering som førte til at enkelte mapper utilsiktet ble gjort tilgjengelig.

- Det var kun snakk om eldre, uaktuelle dokumenter, og sett i lys av at vi raskt oppdaget feilen og fikk sperret tilgang, anser vi at skadeomfanget er meget begrenset, skriver han i en e-post til Dagbladet, men presiserer at selskapet tar hendelsen veldig alvorlig.

Endrer rutiner

- Vi har endret vÃ¥re interne IT-rutiner slik at vi er sikre pÃ¥ at tilsvarende ikke vil skje igjen. Â

Dagbladet har beskrevet innholdet på serverne til Petroleumstilsynet, som på dette stadiet kun kan gi følgende, generelle kommentar:

- Det er viktig at selskapene har systemer som sikrer at sensitiv informasjon ikke kommer på avveie. Dette er særlig viktig med tanke på sikkerhetskritisk informasjon knyttet til sikring og beredskap. Per nå vet vi ikke om informasjonen som dere viser til er av en slik art, og om dette faller inn under vårt myndighetsområde, som er sikkerhet, skriver pressekontakt Eileen Brundtland i en e-post til Dagbladet.

Monday, December 9th, 2013 Bil

No comments yet.

Leave a comment

 
December 2024
M T W T F S S
« Oct    
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Recent Comments