Store svakheter ved IT-sikkerheten i Equinor

Equinor oppdaget i 2019 vesentlige svakheter ved IT-sikkerheten sin. Fortsatt er ikke problemene løst.

Anders Opedal legger fram sin første årsrapport som konsernsjef – han tok over fra november i 2020. Der konstateres det at IT-problemene fortsetter for Equinor. Foto: Jon Ingemundsen
Publisert: Publisert:
iconDenne artikkelen er over to år gammel

På slutten av 2019 avdekket Equinor-ledelsen at selskapet ikke har god nok kontroll med tilgangen til IT-systemer i selskapet. Når nye tilganger tildeles blir det ikke sjekket godt nok, var konklusjonen, og det er også mangler ved kontrolleringen av «rolledeling, sensitiv og kritisk tilgang».

Av årsrapporten for 2020 framgår det at Equinor ennå ikke har fått orden på IT-sikkerheten, noe den eksterne revisoren igjen påpeker.

– Sammen med revisor har vi avdekket vesentlig svakhet på to konkrete områder. Dette er kontroll på tilgang til IT-systemer og kontroller innenfor handelsområdet som også har et grensesnitt mot IT, sier informasjonsdirektør Bård Glad Pedersen.

I årsrapporten skriver selskapet at:

  • Den vesentlige svakheten i selskapets kontroll med brukertilgang til IT-systemer kan øke faren for nettangrep.
  • Manglende IT-kontroll utgjør samlet en vesentlig svakhet i internkontrollen av finansiell rapportering.
  • IT-svakheter gir for dårlig kontroll forbundet med salg og kjøpt av olje og gass, inkludert endringer i lagerbeholdning og krafthandel.
Les også

IT-angrepet: Stortingsansatte brukte ikke totrinnsverifisering

Informasjonsdirektør Bård Glad Pedersen, i midten, viser til at IT-svakhetene i Equinor er en risiko. Svakheten ble påpekt under konsernsjef Eldar Sætre mot slutten av 2019. Foto: Jon Ingemundsen

Kunne blitt feil

Informasjonsdirektør Bård Glad Pedersen i Equinor opplyser at svakhetene som er oppdaget, henger sammen.

– Hva betyr dette i praksis?

– Svakhetene innebærer at det er tenkelig at det kunne oppstå feil i vår finansielle rapportering som ikke ville blitt oppdaget umiddelbart. Så det er snakk om en svakhet i internkontrollen, sier han.

Les også

NSM: Et titalls norske bedrifter rammet av dataangrepet

Les også

Stortinget utsatt for nytt IT-angrep: – Et angrep på vårt demokrati

Les også

SAS utsatt for datasikkerhetsbrudd

Risiko og svakhet

Pedersen understreker at Equinor har gjennomført andre handlinger og kontroller og dermed har konkludert med at det ikke har skjedd noen feil.

– Og det bekreftes også av at revisor har avgitt en ren beretning til regnskapet vårt.

– Hva ligger i denne svakheten i brukertilgangen til IT-systemene?

– Innenfor Equinor er det egne IT-systemer som ikke alle ansatte har tilgang til. Her har det vært svakheter ved tilgangskontroll, for eksempel ved at man ikke har byttet passord ofte nok eller at IT-personell har hatt tilgang til noen systemer lenger enn nødvendig. Det er en risiko og en svakhet ved sikkerheten.

– Så man frykter at personer som ikke skal ha tilgang til disse systemene, kan få tilgang?

– Hvis de er innenfor brannmurene til Equinor er det tenkelig. Så det er en svakhet i våre kontrollmekanismer. Det kunne oppstått en feil som ikke umiddelbart ville blitt oppdaget, og derfor rapporterer vi dette. Men vi har altså kontrollert dette på andre måter og det har revisor bekreftet gjennom en ren beretning.

– Hvordan henger dette sammen med det som går på handel av olje og gass?

– Det går på dokumentasjonen av kontrollmekanismer der. Dermed er det tenkelig at feil i regnskapet ikke ville blitt umiddelbart avdekket, men vi har altså kontrollert at det ikke har skjedd.

– At dere ikke har god nok kontroll ble også påpekt i regnskapet for 2019?

– Vi har hatt betydelig framgang fra 2019 og har gjort mye for å bedre dette. Vi er ikke fullt ut i mål. Så vi jobber videre med sterkere tiltak, sier Pedersen.

Publisert:
  1. Equinor