Statoil ble i fjor rammet av et omfattende epostangrep. Selskapet sier de må være kontinuerlig på vakt. (Foto: Junge, Heiko/NTB Scanpix)

STATOIL

Statoil stopper 2,5 millioner e-poster hver uke

– Viktig å tenke at vi er under angrep kontinuerlig.

I sommer ble over 50 norske selskaper i oljebransjen utsatt for et alvorlig dataangrep. Det var et koordinert og målrettet angrep, som benyttet seg av e-post, for å komme seg inn i systemene.

Trusselaktørene benyttet seg av kjente sårbarheter, og det var mange som ikke hadde oppdatert datasystemene, for å beskytte seg mot disse.

Med stadig mer digitalisering av oljebransjen, enorme mengder verdifulle og sensitive data, i tillegg til økning i alvorlige dataangrep, blir det også mer sentralt å beskytte disse systemene.

Les også: Dette sjakkbrettet veier 200 gram og får plass i en konvolutt

Flere tusen virusangrep i måneden

Statoil var blant selskapene som ble angrepet i august.

– Heldigvis fikk ikke dette konsekvenser for oss. Men det viser at vi er eksponert, som alle andre, disse angrepene går ofte bredt ut, sier Sonja Chirico Indrebø, IT-direktør i Statoil, til Teknisk Ukeblad.

Men angrepet er langt fra det eneste.

Hver uke stopper oljeselskapet 2,5 millioner e-poster med mistenkelig innhold. Det inkluderer også såkalt søppelpost. I tillegg går datavirusalarmen et par tusen ganger i måneden.

Les også: Slik kan de FÅ penger for å overta et helt oljeselskap

 Sonja Chirico Indrebø, IT-direktør i Statoil.
Sonja Chirico Indrebø, IT-direktør i Statoil. Ina Steen Andersen

Ser økning i dataangrep

Statoil håndterer med andre ord slike hendelser hele tiden, de fleste mindre alvorlige, men de ser en økning i ondsinnet kode som prøver å komme inn i systemene til oljeselskapet.

– Vi har hatt hendelser hvor vi har sett at angrep har kommet et stykke på vei, men så langt ingen hvor vi kan si at vi har tapt verdier, påpeker Indrebø.

Hun forteller om et angrep for omkring halvannet år siden, hvor en ekstern nettside var infisert. Statoil-medarbeidere som logget seg på nettsiden, som var fullstendig legitim, fikk så sine maskiner infisert.

– Vi fikk oppdaget angrepet tidlig og stoppet det, og så gitt beskjed til brukerne om at maskinene deres var kompromittert. Vi måtte likevel ta inn over 40 maskiner, forteller IT-direktøren.

Les også: Statoil har boret 12 Barents-brønner. Kun én har gitt kommersielt funn

– Leter aktivt etter trusler

Statoil jobber kontinuerlig med å overvåke systemene sine for unormal aktivitet.

– Vi observerer 24/7, og har alarmer som varsler om små og større ting som vi må agere på. Vi må hele tiden være på alerten, sier Indrebø.

Konsekvensene av et angrep vil ha sammenhengen med intensjonen til dem som står bak. Men IT-direktøren poengterer at de er på vakt mot både folk som vil stjele informasjon fra selskapet og trusselaktører som forsøker å komme seg inn i kontrollsystemene.

– Det er viktig å ha et tankesett om at vi er under angrep kontinuerlig. Vi sover ikke, men jobber som om det er noen der ute hele tiden, og leter aktivt etter dem, understreker hun.

Les også: Nå har Statoil tatt en fjerdedel av riggene sine ut av drift

– Balanserer sikring mot tilgang

Selv om det finnes enkle tiltak som kan minimere risikoen for at dataangrep kan lykkes, er det vanskelig å beskytte seg helt mot trusselaktører. Du kan ikke låse inne systemene.

– Vå må hele tiden balansere funksjonalitet, altså tilgangen på informasjon, med sikring. Vi må veie den ene opp mot den andre. Det sikreste vil være å isolere alt fra omverdenen, men det kan vi ikke gjøre, vi skal drive forretning. Da får vi også muligheten for angrep, forklarer Indrebø.

Men noen for noen systemer er det viktigere med beskyttelse enn andre.

– Vi konsentrerer oss om å sikre våre juveler, vi klarer ikke beskytte alt like godt. Så vi jobber med å bygge et hierarki, for hvilken informasjon som krever høyere sikring, sier hun.

Les også: Tidenes verste resultater for Hyundai. Sentral årsak: Goliat

Sender luremail til egne ansatte

Den vanligste formen for dataangrep Statoil opplever er via e-post. Derfor er det viktig for selskapet å bygge opp kompetansen til de ansatte, slik at også de blir en barriere mot datatrusler.

– Vi bygger opp internkompetansen, for eksempel om phishing. Den mest vanlige formen for angrep kommer via e-post, og vi sender kontinuerlig luremailer, som skal være med å lære ansatte hva de skal være observante på, forklarer Indrebø.

Statoil samarbeider også med andre, for å beskytte seg selv mot dataangrep.

– Vi er proaktive, og jobber blant annet sammen med NorCert. Og vi jobber også på tvers av oljeselskapene og deler informasjon om problemstillingen, sier IT-direktøren.

Les også: Verdens største gasselskap snuser på norsk sokkel

Spionasje og sabotasje

Sonja Chirico Indrebø var blant talerne på TU Oil Summit i Stavanger torsdag. Her var også Torgeir Vidnes, overingeniør i NorCert.

NorCert beskriver han litt forenklet som hovedredningssentralen for cyberspace i Norge, og en del av nasjonal sikkerhetsmyndighet.

– Det er mye verdifull og sensitiv info på datamaskiner rundt om i norske selskaper. Det er millioner av brukere knyttet til internett, og tusenvis som vil kunne være en trussel mot oss, sa han.

Han rangerer trusselbildet fra de minst til de mest alvorlige: rampestreker, politikske protester, økonomisk krim, spionasje, sabotasje, krise/krig.

– De mest alvorlige er ofte knyttet til spionasje og sabotasje, dem var det registrert 51 tilfeller av i fjor. I år er det tallet oppe i over 60 allerede, og vi kommer kanskje opp i 100 slike alvorlige dataangrep, forklarte han.

Les også: Statoil i minus for første gang siden 2001

– Ikke et unikt angrep

Det store dataangrepet på oljebransjen i august beskriver han som svært målrettet, og skreddersydd for oljebransjen. Som nevnt brukte angriperne e-poster, flere utformet som en invitasjon til en energikonferanse i Madrid.

– Men dette er ikke et unikt angrep på oljebransjen, det er noe vi jobber med hver uke. Mange trusselaktører er i stand til å angripe vårt nett, påpekte Vidnes.

Han viser blant annet til dataangrepet på Saudi Aramco i 2012, hvor 30.000 datamaskiner ble gjort ubrukelige, flere filer slettet, og  det saudi-arabiske selskapet brukte to uker på å ordne opp i problemene.

– Etter alt å dømme var dette et målrettet angrep. Det viser hvor stor påvirkning det kan ha, poengterte Vidnes.

Les også: Da Yme allerede var tre år forsinket, manglet over tre MILLIONER timers jobb

Fire tiltak

NorCert-ingeniøren viser til fire relativt enkle tiltak for å hindre en stor andel av tilfellene med dataangrep.

  1. Oppgradere programvare og maskinvare.
  2. Installere sikkerhetsoppdateringer så fort som mulig, en gjenganger som folk glemmer.
  3. Ikke tillegg sluttbruker administratorrettigheter. Det gjør det lettere for en trussel å spre seg og infisere mer data.
  4. Blokkere kjøring av ikke-autoriserte programmer.

– Dette er de fire første og viktigste tiltakene på en lenger liste. Ved å ta i bruk disse kan et selskap hindre mellom 80 og 90 prosent av angrep, sa Vidnes.

Han legger til at antivirusprogrammer først kommer som nummer 22 på listen.

– Ved å ta i bruk flest mulig av disse tiltakene gjør en det vanskeligere og dyrere for en trusselaktør å bryte seg inn i systemene.

Les også: Nå har trollmannen i Lundin gjort det igjen

– Det ser mørkt ut

Vidnes tror utviklingen i antall dataangrep er at de bare vil øke i omfang.

– Vi vet at flere og flere land bygger opp kapasitet for å spionere, både på andre lands forsvar, men også på bedrifter. Det ser litt mørkt ut, sa han.

– Min påstand er at om du har en maskin koblet på internett, vil den før eller siden bli infisert. Du vil til slutt få et datavirus, i verste fall i form av et målrettet angrep, hvor noen er ute etter å stjele informasjon.

Les også:

Yme har stått forlatt i over to år. Nå skal 100 mann klargjøre skrotingen

Derfor er oljeprisen i fritt fall

Her går det galt med oljebrønnene