Rapport med krass kritikk av sikkerheten på norsk sokkel

Mangler kunnskap. Tar for lett på trusselen. For få ressurser. Olje- og gassbransjen er lite forberedt på digitale angrep, mener konsulentselskap.

Edvard Grieg-feltet er et oljefelt som ligger på Utsirahøyden i Nordsjøen, 180 km vest for Stavanger. Bildet er en illustrasjon.

Se for deg en oljeplattform som styres fra land via internett. Hacker du deg inn her, kan du begynne å tukle med driften. Det kan føre til stans, lekkasjer, eksplosjoner, for å nevne noe. I verste fall kan liv gå tapt.

Slike angrep kan ta måneder eller år å planlegge. Russland er blant de fremste i verden på slike metoder.

Dette er norske selskaper lite forberedt på. Det slås fast i en rapport om oljebransjen som kom kort tid før Russland invaderte Ukraina.

«For stort og komplekst»

Vesten peker på Russland etter lekkasjer på gassrørledningen Nord Stream i Østersjøen denne uken. Nå mener eksperter at norsk infrastruktur er store sabotasjemål.

Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten har advart om digitale angrep mot olje- og gassektoren i årevis.

Men bransjen har altfor lite fokus på det. Det slo konsulentselskapet Sopra Steria fast i en rapport for Petroleumstilsynet i desember 2021.

«Det gis inntrykk av at et trusselbilde med utenlandske og statlige trusselaktører blir for stort og komplekst for virksomhetene», het det.

Sopra Steria la lite imellom:

«Samlet er dette en indikasjon på kunnskapsmangel og ressursknapphet på fagfolk innenfor dette feltet.»

Les også

PST slo alarm om økt trussel mot norsk olje og gass i mars. Nå varsler regjeringen at beredskapen skjerpes.

Svært vanskelig

Statsminister Jonas Gahr Støre (Ap) pekte selv ut cyberangrep som en trussel på en pressekonferanse onsdag.

Selskapene, derimot, argumenterer med at det er lav sannsynlighet for slike trusler, ifølge Sopra Steria.

«Vi stiller spørsmålstegn ved denne argumentasjonen», skriver de i rapporten.

Dette baserer de på flere forhold:

  • Cyberangrep i andre land.
  • Hva de selv ser og «uformelt får innblikk i».
  • Det er svært vanskelig å vurdere hvor sannsynlig det er. Dette sliter selv de beste etterretningsorganer med.

Skapte drivstofftrøbbel i USA

Den største risikoen ligger i at data deles når ulike styringssystemer er koblet til hverandre, mener Mass Soldal Lund. Han er professor i cybersikkerhet ved Høgskolen i Innlandet.

– Systemer kobles sammen, uten at sikkerhetsmekanismene alltid er på plass, sier han.

– Er slike systemer interessante for Russland?

– Ja. Dette vil kunne være interessante mål slik situasjonen er nå, sier han.

I fjor ble gassrørledningen Colonial Pipeline i USA utsatt for et alvorlig hackerangrep. Det første til stans i all drift.

Systemet leverer nesten halvparten av alt drivstoff på USAs østkyst.

Også da pekte president Joe Biden på Russland. I januar i år ble hackere som antas å være knyttet til angrepet, arrestert av sikkerhetstjenesten FSB i Russland.

– Vi er ekstra utsatt

Equinor, Lundin, Forskningsrådet og Sintef Digital satset nylig 20 millioner kroner på å forebygge cyberangrep som kan forårsake fysiske skader. Det skrev Dagens Næringsliv i april.

Statlige Equinor er den desidert største aktøren i Norge. De ønsker ikke å kommentere rapporten fra Sopra Steria, men viser heller til bransjeorganisasjonen Offshore Norge.

Offshore Norge er knapp i sin kommentar.

«Vi er opptatt av cybersikkerhet. Vi har gode systemer og prosedyrer. Vi er oppmerksomme på at vi er ekstra utsatt for nettverksoperasjoner. Selskapene har derfor innført skjerpede sikringstiltak», skriver Aud Nistov i en e-post.

Hun er fagsjef HMS og standardisering i Offshore Norge.

Tett dialog med selskapene

Etter rapporten har Petroleumstilsynet påpekt overfor selskapene hvilket ansvar de har for å beskytte digitale systemer. Det skriver pressekontakt Øyvind Midttun i en e-post.

«Den geopolitiske situasjonen har endret seg mye etter at rapporten ble utgitt», legger Midttun til.

Den siste tiden har tilsynet derfor vært i tett dialog med selskapene og pekt på behovet for å være årvåkne og sørge for å ha god evne til respons.