Nødnett-direktorat: Kan ikke svare på hvor lenge indiske arbeidere har hatt lovstridig tilgang til kritisk kommunikasjonssystem
Indere uten sikkerhetsklarering har i strid med loven hatt tilgang til det krypterte, samfunnskritiske kommunikasjonsystemet Nødnett. Men direktoratet med ansvaret for systemet kan ikke svare på hvor lenge det har pågått.
Mandag avslørte NRK at nødetatenes kommunikasjonssystem Nødnett har vært ulovlig driftet fra indisk personell uten sikkerhetsklarering, noe som er i strid med sikkerhetsloven. Reaksjonene på sikkerhetsbruddet i systemet, som har kostet minst syv milliarder kroner, er sterke.
– Hvis man bruker millioner eller milliarder på et system, er det fortsatt ikke sterkere enn det svakeste leddet. Dette tilfellet kunne fått alvorlige konsekvenser. Det kunne vært mulig å manipulere eller ta ned systemet, sier Vidar Sandland, seniorrådgiver ved Norsk senter for informasjonssikring (Norsis).
Nødnettet skal koordinere kommunikasjonen mellom noen av de viktigste samfunnsfunksjonene våre, og det vil være helt sentralt i spesielt kritiske situasjoner som terrorangrep, katastrofer eller ekstremvær.
- Bakgrunn: Nødnettet ble driftet av India-ansatte som ikke var sikkerhetsklarert
- Bakgrunn: Dette er Nødnett
Det landsdekkende systemet består av radioterminaler, over 2000 basestasjoner og et såkalt kjernenett med telelinjer som knytter over basestasjoner og sentraler sammen. Staten leier flere telelinjer av private leverandører, og det er her det har gått galt.
Saken fortsetter under videoen
Vet ikke hvor lenge indere har hatt uautorisert tilgang
Ti indiske IT-arbeidere hos en underleverandør av Broadnet har hatt uautorisert tilgang som kunne ha gitt dem mulighet til å sette deler av nødnettet ut av spill. Direktoratet for nødkommunikasjon, som har ansvaret for systemet, innrømmer at de ikke vet hvor lenge de indiske ansatte har hatt denne tilgangen.
– Broadnet har foreløpig ikke kunnet gi oss informasjon om det du spør om, skriver DNK-direktør Tor Helge Lyngstøl i en epost.
På spørsmål om Nødnett-direktoratet logger hvem som har tilgang, svarer Lyngstøl at direktoratet ikke har «direkte tilgang» til underleverandørens systemer, og følgelig ikke har denne oversikten.
De viser videre til at underleverandørene «har et selvstendig ansvar» for å følge sikkerhetsloven.
Broadnet vil ikke besvare spørsmålet om omfang overfor NRK, men de avviser at de står bak et lovbrudd.
Andre myndigheter har advart mot svakheter i kritiske systemer
Norsk sikkerhetsmyndighet (NSM) er den statlige myndigheten med ansvaret for IKT-sikkerhet i Norge. De har i sine rapporter pekt på mangelfull sikkerhetsstyring og organisatoriske svakheter som en hovedutfordring for at datasystemer kan være utsatt.
Samtidig har E-tjenesten nylig påpekt hvordan utenlanske stater driver en «intensiv og systematisk kartlegging av sårbare punkter i kritiske systemer».
Mona Strøm Arnøy, kommunikasjonsdirektør i NSM, sier de «forventer at nødnettets sikkerhet blir godt forvaltet.»
– Det er alvorlig hvis man ikke klarer å oppfylle kravene som stilles til kritisk infrastruktur. Det er Direktoratet for nødkommunikasjon som er ansvarlig for innkjøp. I forbindelse med en anskaffelse skal en bestiller sørge for at det gjennomføres en risikoanalyse og at det stilles krav til leverandør, sier hun.
Kontrollkomiteen tar opp saken
– Man må også vurdere om man skal foreta en sikkerhetsgradert anskaffelse. Det vil da også stille samme krav til underleverandører. Det har de ikke benyttet seg av i denne anskaffelsen. Man har i stedet regulert kravene i en kontrakt, sier Arnøy.
– Bør dette få konsekvenser?
– Nå må Direktoratet for nødnett levere en redegjørelse for justisministeren. Vi vil avvente den før vi trekker noen konklusjoner, sier hun.
Justisminister Per-Willy Amundsen (Frp) har kalt saken et «et svært alvorlig tillitsbrudd». Onsdag ble det også klart at saken vil bli tatt til Stortingets kontrollkomité.
– Mister kontrollen ved outsourcing
Sandland er kritisk til at deler av så samfunnskritisk system som Nødnett er outsourcet.
– Når slike systemer outsources til andre, mister man kontrollen over hvem som har tilgang til systemet. Verdikjedene kan bli lange og komliserte, og det blir vanskelig å gjør nødvendig kontroller. De små og store bedriftene i disse verdikjedene spiller en viktig rolle i kritisk infrastruktur, uten at de selv nødvendigvis er klar over det, sier Sandland fra Norsis.
Har jobbet for å få nødnettet godkjent for «hysj-hysj»-nivå
Direktoratet for nødkommunikasjon har siden 2015 jobbet for å få systemet til å godkjent for opplysninger opp til nivå «begrenset» etter sikkerhetsloven, men systemet er så langt ikke godkjent for dette nivået, får Aftenposten opplyst fra direktoratet.
«Begrenset» brukes om opplysninger der det «i noen grad kan medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende».
Direktoratet understreker overfor Aftenposten at de indiske arbeiderne med uautorisert tilgang ikke har hatt mulighet til å lytte til samtalene i nettet.
