Riksrevisjonen har varslet Stortinget om alvorlige mangler i datasikkerheten hos Oljedirektoratet (OD).

Advarselen gjelder blant annet superdatabasen «Diskos», som er sentral i nær all norsk oljevirksomhet.

Milliardverdier

Databasen styres av Oljedirektoratet, og inneholder nesten alle kartdata som finnes for norsk sokkel. Mye er sensitivt.

— Når oljeselskapene leter etter olje i Norge, lagrer de først dataene i Diskos. Deretter henter de dataene ut for analyse. Det er dette som gir opphav til oljefunn, forteller Erling Kvadsheim, næringspolitisk direktør i Norsk Olje og Gass.

Kvadsheim anslår at innholdet i databasen er verdt milliarder.

Attraktivt angrepsmål

Dette er en viktig årsak til at Riksrevisjonen nå slår alarm.

KRITISK: - Jeg er personlig overrasket over manglene i OD, sier Per-Kristian Foss.
Anette Karlsen

— Det er alvorlig at OD ikke kan dokumentere at de har fulgt opp sikkerheten i databasen. De har ikke hatt noen egen kontroll med om dataene var forsvarlig sikret, sier riksrevisor Per-Kristian Foss.Dataene kan ha stor betydning for konkurransen mellom oljeselskapene, og være mål for dataangrep fra andre stater.

— Både PST og E-tjenesten har understreket flere år på rad at Norges posisjon i oljesektoren er en årsak til at vi er utsatt for cyberangrep, sier Foss.

- Svak tilgangskontroll

Mens selskapene ikke har kunnet snoke i hverandres data, har direktoratet tilgang til hele databasen. Dette er ett av områdene hvor Riksrevisjonen mener OD har sviktet:

Det var avvik mellom hvilke ansatte som skulle ha tilgang og hvem som faktisk hadde det

Det var ikke definert hvem i OD som har fullmakt til å gi ansatte tilgang til databasen

Når ansatte ikke lenger har behov for å bruke databasen, fantes det ingen rutiner for å fjerne tilgangen

Dette er ikke i tråd med sikkerhetskravene staten stiller til Oljedirektoratet.

Opprydning kan ta tre år

Granskningen avdekket også at Oljedirektoratet mangler et styringssystem for informasjonssikkerhet. Olje— og energidepartementet har stilt krav om et slikt system siden 2011.

Nå varsler direktoratet at et nytt styringssystem skal innføres, men at arbeidet vil ta mellom ett til tre år.

— Det er sterkt kritikkverdig. Det er et lederansvar at dette følges opp. Hvis det er ODs faglige vurdering at innføringen tar tre år, så burde de begynt for tre år siden, da de fikk det første kravet, sier Foss.

Ber om sterkere oppfølging

Han mener regjeringen må vurdere å gripe inn for å gi prosjektet fortgang.

— Nå er saken i Stortingets hender. Jeg regner med at departementet tar saken så alvorlig at de vil se på mulighetene for en raskere gjennomføring enn det OD legger opp til, sier Foss.

Han etterlyser sterkere politisk oppfølging, og stiller spørsmål ved om Oljedirektoratet er blitt for egenrådig.

— Statens underordnede virksomheter skal følge instrukser. Her kan man sitte igjen med en følelse av at OD ikke har sett på seg selv som særlig underordnet, sier Foss.

- Ingen data på avveie

Informasjonssjef Eldbjørg Vaage Melberg uttaler at Oljedirektoratet bare vil svare på kritikken som Riksrevisjonen har reist skriftlig i sin rapport.

Hun forteller at manglene knyttet til databasen Diskos nå skal være rettet.

Ifølge Melberg har Oljedirektoratet heller aldri har fått noen indikasjoner på at data har kommet på avveie.

— Når det gjelder styringssystemet, som er den andre delen kritikken fra Riksrevisjonen, så er dette en omfattende jobb. Dette vil ta ett til tre år, og dette har vi sagt fra om, sier Melberg.

- Hvorfor startet dere ikke arbeidet da departementet ba om det i 2011?

— Vi har allerede et styringssystem for informasjonssikkerhet, sier Melberg.

- Riksrevisjonen avviser dette i sin rapport?

— Jeg vil ikke gå inn i en diskusjon om Riksrevisjonens vurderinger, sier Melberg.