Należy wskazać, że spółka Equinor ASA (do 2018r. Statoil ASA) to  norweskie przedsiębiorstwo energetyczne o globalnej skali aktywności, które jest największym operatorem instalacji wydobycia ropy naftowej i gazu ziemnego w Norwegii, a drugim pod względem wielkości dostawcą gazu w Europie (20% europejskiego zapotrzebowania na gaz). Equinor jest także jednym z największych na świecie operatorów morskich farm wiatrowych.

Opisany problem wynika z faktu, że Equinor od 1997 r. kupuje rozwiązania programowe w wymienionym zakresie od innej norweskiej spółki – Vissim AS, firmy specjalizującej się w tworzeniu oprogramowania, kompleksowych rozwiązań oraz dostarczaniu cyfrowej infrastruktury dla zaawansowanej optymalizacji morskiej i systemów nadzoru morskiego. Vissim od ponad 20 lat budował znaczną część swoich kompetencji w oparciu o programistów z Rosji, a w latach 2003–2023 posiadał własny dział rozwoju w Sankt Petersburgu, który zatrudniał około 15 rosyjskich pracowników. W głównej siedzibie firmy na kluczowych stanowiskach również pracowali Rosjanie. Dział rozwoju w Sankt Petersburgu zamknięto dopiero w 2023 r. – ponad rok po agresji Rosji na Ukrainę. W firmie Vissim pozostało czterech Rosjan, z czego jeden jest członkiem zespołu zarządzającego tym podmiotem.

W 2018 roku Vissim otrzymała m.in. kontrakt o wartości 100 milionów koron norweskich na dostarczenie rozwiązań do monitorowania bezpieczeństwa instalacji naftowych i gazowych na norweskim szelfie kontynentalnym (Equinor ma obecnie umowę serwisową z Vissim, obowiązującą do 2032 r.). Systemy stworzone i dostarczone przez Vissim są od lat wykorzystywane w centrum monitoringu Equinor Marin, stanowiącym część centrum reagowania kryzysowego Equinor w Bergen.

Vissim dostarczył Equinor systemy „wizualizacji obszarów morskich”, w tym systemy do wizualizacji danych pogodowych, ruchu statków i wykrywania wycieków ropy na niektórych instalacjach. Dostawy do Equinor obejmowały również systemy monitorowania podwodnego, zintegrowane rozwiązania VHF do komunikacji radiowej, systemy do obsługi sytuacji awaryjnych oraz portal internetowy i aplikację mobilną. Technologie te są kluczowe dla procesu monitorowania i ochrony 70 instalacji wiertniczych (norweskiej i europejskiej infrastruktury krytycznej) przed zagrożeniami na powierzchni morza, nad nią i pod nią. Monitoring obejmuje także około 8800 kilometrów rurociągów naftowych i gazowych na norweskim szelfie, gdzie codziennie przemieszcza się od pięciu do sześciu tysięcy dużych i małych statków.

Co istotne, dostawy rozwiązań programowych i systemów monitorujących przez Vissim miały miejsce kilka lat przed decyzją norweskiego rządu, że spółki Equinor i Gassco (państwowa norweska firma odpowiedzialna za transport gazu z norweskiego szelfu kontynentalnego do Europy) będą częściowo podlegać ustawie o bezpieczeństwie. Oznacza to, że w czasie podpisywania wspomnianych umów nie było wymogu uzyskania poświadczenia bezpieczeństwa ani innej oceny związanej z dostawami tak wrażliwej infrastruktury i oprogramowania dla Equinor. Wymóg ten wprowadzono dopiero po inwazji Rosji na Ukrainę w 2022 r. Niemniej jednak żaden z rosyjskich pracowników Vissim nie uzyskał w żadnym momencie odpowiedniego certyfikatu bezpieczeństwa od władz norweskich.

W firmie Equinor dopiero po 2022 r. pojawiły się obawy związane z dostawami technologii przez Vissim, ale oficjalne stanowiska jej przedstawicieli nie wskazywały na postrzeganie tej kwestii jako poważnego ryzyka czy zagrożenia.

Dyrektor generalny Equinor ds. wspólnych operacji, Ørjan Kvelvane, przyznał, że spółka jest świadoma funkcjonowania Vissim w oparciu o dział rozwoju w Sankt Petersburgu oraz że firma ta nadal zatrudnia niektórych pracowników rosyjskiego pochodzenia. Jego zdaniem systemy dostarczone przez Vissim są bezpieczne w użyciu.

Rzecznik prasowa Equinor Gisle Ledel Johannessen stwierdziła, że kwestia działalności Vissim opartej na rosyjskich pracownikach została (po wybuchu wojny na Ukrainie) poruszona i omówiona wewnętrznie z byłym biurem Vissim w Sankt Petersburgu i rosyjskimi pracownikami, a przeprowadzone dochodzenia wykazało, że ryzyko związane z tym jest niskie i kontrolowane.

Dyrektor generalny Vissim Jørn Kristian Lindtvedt wyjaśnił z kolei, że systemy i oprogramowanie dostarczone Equinor działają w obrębie własnych zapór sieciowych tej firmy energetycznej, a jego firma zawsze była otwarta wobec wszystkich swoich klientów w kwestii udziału rosyjskich programistów w strukturze firmy. Zapewniał także, że Vissim utrzymuje stałą kontrolę nad całym kodem źródłowym, monitorując i weryfikując, czy nie zawiera on luk ani „tylnych furtek”.

Przedstawiciele Equinor i Vissim w swoich komentarzach i wystąpieniach zaprzeczają, że opisywany problem stanowi zagrożenie dla bezpieczeństwa. Equinor zapewnia, że bariery techniczne i organizacyjne skutecznie ograniczają ryzyko, więc nie widzi powodów do rozważania wymiany oprogramowania i systemów dostarczonych przez Vissim. Jednocześnie jednak Equinor podkreślił, że to Vissim odpowiada bezpośrednio za kontrolę nad kodem źródłowym i zapewnienie, że nie zawiera on luk w zabezpieczeniach.

W publikacji NRK przedstawiono również szereg eksperckich opinii, które jednoznacznie wskazują na poważne ryzyka i niebezpieczeństwa wynikające z zaistniałej sytuacji. Eksperci obawiają się przede wszystkim, że Rosjanie mogli uzyskać wpływ na kody źródłowe oprogramowania i zabezpieczyć „tylne furtki” do systemów używanych w Equinor Marin.

Jeden z ekspertów, Tor Ivar Strømmen (kapitan marynarki wojennej, główny instruktor operacji morskich w Norweskiej Akademii Marynarki Wojennej) uważa, że oprogramowanie opracowane przez Rosjan stanowi poważne zagrożenie dla bezpieczeństwa biznesowego i państwowego, niezależnie od tego, czy wykryto konkretne naruszenia, czy nie. Strømmen stwierdza, że możliwość zdalnego logowania, nawet za pośrednictwem zapory sieciowej Equinor, oznacza, że rozwiązania programowe są w praktyce połączone z internetem. Całkowicie bezpieczna może być jedynie sytuacja, w której system w ogóle nie jest podłączony do internetu, jak ma to miejsce w przypadku niektórych systemów sił zbrojnych.

Według niego obecne rozwiązania mogą umożliwić Rosjanom uzyskanie wglądu w strukturę i funkcjonowanie systemu w Equinor Marin. Taki dostęp mógłby zostać wykorzystany m.in. do monitorowania aktywności, manipulowania danymi, np. w celu przygotowania akcji sabotażowych, lub ułatwić siłom rosyjskim zlokalizowanie i zniszczenie norweskich okrętów wojennych w przypadku konfliktu zbrojnego. Strømmen podkreśla, że system funkcjonujący w Equinor jest kluczowy dla norweskich zdolności do obsługi dostaw energii do Europy oraz dla bezpieczeństwa na Morzu Północnym. W związku z tym, nawet jeśli zagrożenie ma obecnie charakter potencjalny, system powinien zostać jak najszybciej wymieniony.

Inny ekspert, Ståle Ulriksen (naukowiec i wykładowca w Norweskiej Akademii Marynarki Wojennej w Bergen) prezentuje równie niepokojące oceny. W jego opinii fakt, że rosyjscy programiści uczestniczyli w rozwoju centrum monitoringu Equinor Marin, odpowiedzialnego za obserwację aktywności wokół instalacji naftowych i gazowych na norweskim szelfie kontynentalnym, jest „całkowicie dziwaczny i szalony”. Naukowiec uważa, że potencjalny dostęp Rosji do obrazu sytuacji, jaki w danym momencie ma centrum monitorujące Equinor, może mieć krytyczne konsekwencje, m.in. ze względu na możliwość pozyskania kluczowych informacji do zaplanowania operacji dywersyjnych lub sabotażowych na Morzu Północnym. Krytycznie ocenia również fakt, że Equinor wcześniej nie podlegał ustawie o bezpieczeństwie. Reasumując, Ulriksen stoi na stanowisku, że systemy opracowane przez Vissim należy pilnie wymienić.

W opisywanej publikacji swoje opinie przedstawił również Torgeir Andrew Waterhouse (ekspert IT, współwłaściciel firmy konsultingowej Otte AS). Twierdzi on, że ze względu na wykazane związki Vissim z Rosją systemy dostarczone Equinor należy uznać za poważne zagrożenie. Według niego ciągłe monitorowanie ruchu danych w sieci nie jest wystarczającym środkiem bezpieczeństwa, ponieważ możliwe jest osadzenie w systemie kodu lub modułów, które nie powinny się w nim znajdować. Umiejętnie ukryte za pomocą „uśpionych” technologii, mogą zostać uruchomione przez określone zdarzenia (np. datę lub godzinę).

Oznacza to, że początkowo nie zostaną wykryte przez monitorowanie sieci, dopóki „uśpiony” system nie stanie się aktywny i nie zacznie wykonywać niepożądanych działań. Waterhouse uważa, że należy co najmniej przeprowadzić przegląd całego kodu źródłowego i stale monitorować system, zwłaszcza przy wydawaniu aktualizacji, ponieważ dodanie „tylnych furtek” lub wrogiego kodu jest możliwe także podczas aktualizacji systemu.

Autorzy publikacji NRK wskazują, że norweska produkcja ropy naftowej i gazu jest kluczowym filarem gospodarki i dobrobytu tego państwa. Podkreślają jednocześnie, że jest to również strategiczna kwestia dla bezpieczeństwa energetycznego Europy, zwłaszcza po wycofaniu się lub radykalnym ograniczeniu przez wiele państw relacji gospodarczych (m.in. gazowych) z Rosją.

Przedstawiony problem ma znaczenie w szerszym kontekście – rygorów bezpieczeństwa nie tylko norweskiego, ale i międzynarodowego (europejskiego) systemu infrastruktury krytycznej. Z perspektywy Polski należy zwrócić szczególną uwagę na fakt, że nasz kluczowy komponent niezależności i bezpieczeństwa energetycznego – projekt Baltic Pipe – opiera się na pozyskiwaniu gazu z Norwegii, ze złóż zlokalizowanych właśnie na szelfie norweskim. Istotnym elementem tego projektu jest ponad stukilometrowy podmorski gazociąg łączący norweski system gazowy na Morzu Północnym z duńskim systemem gazowym na lądzie.

W związku z opisaną sytuacją dotyczącą ryzyk wynikających z systemów używanych przez Equinor należy również wskazać, że od 2018/2019 roku firma ta współrealizuje w Polsce (z Polenergią) trzy projekty morskiej energetyki wiatrowej: MFW Bałtyk I, MFW Bałtyk II i MFW Bałtyk III. Equinor pełni rolę menedżera w fazie rozwoju, a także potencjalnej budowy i eksploatacji wszystkich trzech projektów.

Wątpliwości i zagrożenia wskazane w norweskiej publikacji – przede wszystkim w kontekście funkcjonowania Vissim w oparciu o rosyjskich programistów – mogą mieć znaczenie dla polskiej energetyki morskiej także w innym aspekcie. Otóż w czerwcu 2022 r. (gdy funkcjonowało jeszcze biuro Vissim w Sankt Petersburgu) podpisano umowę o współpracy pomiędzy Vissim a polską firmą Elecom sp. z o.o., specjalizującą się w elektronice morskiej i automatyce. Współpraca ta ma na celu zapewnienie usług dla deweloperów i operatorów morskich farm wiatrowych w Polsce, w zakresie systemów komunikacji morskiej, koordynacji i optymalizacji na polskim wybrzeżu Morza Bałtyckiego.

Komentując przedstawiony problem, należy postawić zasadnicze pytanie. Czy projektując i realizując w Polsce strategiczne projekty biznesowe, m.in. energetyczne i infrastrukturalne, mające znaczenie dla bezpieczeństwa ekonomicznego kraju, a dodatkowo często realizowane w wymagającym modelu współpracy międzynarodowej, potrafimy jako państwo i jego instytucje skutecznie je zabezpieczyć?

Norbert Loba - Prezes Zarządu Frontline Foundation, były zastępca szefa Agencji Bezpieczeństwa Wewnętrznego