Broadnet klager på vedtak om at de brøt loven

Nødnettets underleverandør Broadnet klager på Nasjonal kommunikasjonsmyndighets (Nkom) konklusjon om at Broadnet har brutt loven. Nkom gransket selskapet etter NRKs avsløringer i den såkalte Nødnett-saken.

nødnett

ULOVLIG: Broadnet brøt loven da de ga IT-arbeidere i India administrative tilganger til sentrale deler av nødnettet, konkluderte Nkom i en 90 sider lang rapport. Myndighetene pekte på en rekke alvorlige avvik i driften av nødnettet.

Foto: Ned Alley / NTB scanpix

Etter at NRK avslørte at deler av nødnettet hadde blitt driftet ulovlig fra India, jobbet både Nasjonal sikkerhetsmyndighet og Nasjonal kommunikasjonsmyndighet (Nkom) med å endevende IT-systemet til Nødnett og dets underleverandører, Motorola og Broadnet. Også Politiets sikkerhetstjeneste igangsatte etterforskning.

Tilgangene gitt til IT-arbeidere i Inda gjorde det mulig å utføre sabotasje mot sentrale deler av nødnettet

Nkoms rapport om Broadnet

I november ble det kjent at Nkom hadde funnet flere lovbrudd, og at de ville ilegge Broadnet bøter.

Nå har Broadnet valgt å klage på vedtaket.

– Vi fastholder at vi ikke har brutt loven slik Nkom hevder. Vi er uenige med Nkom i både beskrivelse og forståelse av de faktiske forhold, juridiske vurderinger, måten deler av tilsynet er gjennomført på og de konklusjonene Nkom trekker, sier driftsdirektør Torbjørn Krøvel i Broadnet i en pressemelding.

Klagen ble levert mandag 11. desember.

– Håndtert det som en svært alvorlig sak

Broadnet har samarbeidet med myndighetene som har gransket selskapet, og dette samarbeidet fortsetter til tross for klagen.

Torbjørn Krøvel i Broadnet

Driftsdirektør i Broadnet, Torbjørn Krøvel.

Foto: NRK

Krøvel sier at Broadnet hele tiden har håndtert dette som en svært alvorlig sak.

– Vi besluttet raskt å ta driften hjem til Norge for å overta driften i egen regi. Broadnet jobber tett sammen med Direktoratet for Samfunnsberedskap, og andre myndigheter, for å forsikre at brukere av våre nettverk og systemer skal være trygge på at sikkerheten til enhver tid er ivaretatt, sier han.

I rapporten fra Nkom står det:

  • Broadnet gjorde ingen risikoanalyse før de satte ut virksomhet til indiske Tech Mahindra
  • Broadnet ga aministratorrettigheter til Tech Mahindra-ansatte i India som hadde mulighet til å opprette nye brukere. Disse brukerne kunne endre og slette norske brukere. Nkom mener det ga muligheter til å påvirke tilgjengeligheten til nettet. P
  • Personell i India har hatt uautorisert tilgang til Broadnets systemer
  • Manglende kontroll over brukere, og deres rettigheter og tilganger
  • Selv om Broadnet bestred flere av punktene i møter med Nkom, ga de ikke nødvendig dokumentasjon
  • Nkom skriver i rapporten at outsourcingen la til rette for spionasje som kunne påvirke tilgjengligheten i nettet, selv om Broadnet bestred dette punktet i møter med myndighetene
  • Tilgangene som ble utdelt gjorde det mulig å utføre sabotasje mot sentrale deler av nødnettet.
  • Manglende logging for å registrere hendelser og manglende revisjoner av tilganger
  • Selv om Broadnet hevder all drift er ført tilbake til Norge, så har ikke Nkom fått dokumentasjon på dette
  • Mangelfull tilgangsstyring, som kunne forhindret uautoriserte tilganger.
  • Broadnet hevder at at outsourcingen ikke ga mulighet til å påvirke tilgjengeligheten til nettet, men Nkom er uenig i dette, da brukere i India med adm. rettigeter kunne endre og slette brukere med mulighet til å opprette andre brukere med adm. rettigeter
  • Mangelfull logging for å registrere hendelser og registrere bevis
  • Senest i fjor sommer ble det avdekket nye tilganger fra India
  • Ikke nødvendige sikkerhetstiltak for å hindre sikkerheten i eget nett
  • Broadnet kan ikke utelukke at det er utført rettearbeid fra India med uautoriserte tilganger
  • Manglende sikkerhetstiltak i forbindelse med opplæring
  • Utilstrekkelig sikkerhetskopiering av logger
  • Broadet hevder det var uklart hvilken av systemet som ligger under Sikkerhetsloven, men valgte samtidig å sette ut såkalte styringssystemer til Tech Mahindra

  • Modellen Broadnet presenterte for myndighetene i forkant av utflagging var mindre omfattende enn det som har blitt avdekket

    Pasienttilganger

    FULLE RETTIGHETER: IT-arbeider i India fikk administrative rettigheter med mulighet til å opprette nye brukere.

    Foto: Line Tomter / NRK

– Uklart lovverk

Også PST etterforsket Nødnettet og underleverandørene, men henla i forrige måned saken, til tross for at PST hadde funnet en rekke brudd på sikkerhetsloven.

PST begrunnet henleggelsen med et uklart lovverk og sa at sikkerhetsloven ikke er klar nok på hva som faktisk er straffbart.

Broadnet viser til en av PSTs konklusjoner i sin klage.

– PST legger særlig vekt på at vi ikke ble gitt tilstrekkelige forutsetninger for å innrette virksomheten i tråd med et uklart og krevende lovverk, sier Krøvel.

– Vi mener det er viktig at bransjen kan være trygg på at regelverket vi forholder oss til forvaltes på en klar og forutsigbar måte. Derfor ønsker vi at Samferdselsdepartementets vurdering av vår klage både på form og innhold og for å sikre forsvarlig saksbehandling, sier Krøvel

I rapporten påpeker Nkom tilsammen ni såkalte avvik, åtte av avvikene karakteriseres som meget alvorlige eller alvorlige.

SISTE NYTT

Siste meldinger