Overtredelsesgebyret skyldes at Nasjonal kommunikasjonsmyndighet (Nkom), mener at Broadnet brøt loven da selskapet driftet deler av nødnetts IT-system fra India.
Det var NRK som avslørte lovbruddet i februar 2017.
Satte ut driften
Det norske nødnettet har satt ut driften av IT til blant annet Broadnet og Motorola, og selskapene har igjen andre underleverandører.
En ingeniør hos underleverandøren Motorola oppdaget at en IT-arbeider hos en annen underleverandør av Broadnet hadde hatt uautorisert tilgang til datasystemet som drifter deler av det norske nødnettet. Nødnettet er kritisk infrastruktur, og skal ifølge sikkerhetsloven driftes fra Norge.
Politi, ambulanse, brannvesen og sykehusene er blant viktige samfunnsfunksjoner som er avhengige av at nødnettet fungerer. Nødnettet skal sørge for rask kommunikasjon ved blant annet store ulykker, naturkatastrofer, politiutrykninger og terroraksjoner.
ALVORLIG BRUDD: Direktør Elisabeth Aarsæther i Nkom mener at Broadnet har brutt loven på flere forhold i nødnettsaken og gir selskapet en rekordstor bot,
Foto: NRKIT-arbeiderne hos underleverandøren i India var verken sikkerhetsklarerte eller autoriserte til å ha tilgangene.
Både PST, Nkom og Nasjonal sikkerhetsmyndighet har gjennomført gransking av hendelsen og de involverte partene, og det er funnet flere brudd på både ekomlov og sikkerhetslov i drifting av Nødnettet. Forelegget på 11 millioner kroner er for brudd på ekomloven. PST henla etterforskningen blant annet fordi sikkerhetsloven ikke har hjemmel til sanksjoner.
Uenig
Direktør Torbjørn Krøvel i Broadnet gir NRK denne kommentaren i en e-post.
– Vi har fra første dag vært tydelige på at vi har gjort feil, og tatt konsekvensen av dette ved å umiddelbart flytte driften hjem til Norge for å overta den i egen regi. Vi har hele veien også håndtert dette som en svært alvorlig sak. Hendelsen fikk ingen konsekvenser for våre kunder, skriver Krøvel.
Broadnet har hele tiden ment at myndighetene misforstår og er fortsatt uenige i konklusjonen fra granskingen.
– Selv om Nkom fremhever at Broadnet har lukket avvikene og styrket sikkerhetsorganisasjonen, og dermed kuttet gebyret, så er vi uenig i Nkoms beskrivelse og forståelse av faktiske forhold og konklusjonene som er trukket i granskingen, sier Krøvel.
Broadnet har tidligere påklaget Nkoms vedtak til Samferdselsdepartementet. Nå vurderer selskapet også å påklage overtredelsesgebyret til Samferdselsdepartementet, forteller Krøvel.
RETTET OPP: Torbjørn Krøvel i Broadnet er uenig i myndighetenes gransking og mener selskapet har fulgt de rådene de har fått. De vurderer å anke forelegget.
Foto: NRKAlvorlig sikkerhetsbrudd
Broadnet mener at de har fulgt de rådene de har fått av myndighetene. Dette er Nkom uenige i.
– Saken er alvorlig og understreker viktigheten av god sikkerhetsstyring. Når man leverer kritisk infrastruktur, må man kjenne forpliktelsene og regelverket som gjelder, sier direktør Elisabeth Aarsæther i Nkom.
Forelegget som Broadnet er ilagt er tre millioner lavere enn det Nkom varslet de ville ilegge selskapet for noen måneder siden.
Nkom fremhever at de i den endelige utmålingen av overtredelsesgebyret, har Nkom tatt hensyn til at Broadnet i etterkant av tilsynet har lukket avvikene og hatt en gjennomgang av sikkerhetsarbeidet i organisasjonen. Broadnet har styrket sin sikkerhetsorganisasjon etter tilsynssaken.
Dette er noen av lovbruddene
Nkom finner at Broadnet ikke hadde tilstrekkelige rutiner for logging i sine systemer. Blant annet var det vanskelig å analysere loggene, og vanskelig å oppdage dersom noen hadde utført illegitime handlinger.
Broadnet har ikke gjennomført tilstrekkelige og relevante risiko- og sårbarhetsanalyser knyttet til valget om å drifte deler av sine systemer fra India
Tilgangene kunne potensielt påvirke tilgjengeligheten til nett i Norge negativt for både nødnett og for andre av Broadnets kunder. (Norsk Helsenett er en av kundene).
Omfattende svikt i rutinene
-
