Hopp til innhold

Driftet Nødnettet ulovlig fra India

IT-arbeidere i India har hatt store tilganger til Nødnettet, i strid med sikkerhetsloven. Inderne har ingen gyldig autorisasjon og ikke nødvendig sikkerhetsklarering.

nødnett

NØDNETT BLE DRIFTET FRA INDIA: Alle nødetater bruker Nødnett, som er en kritisk samfunnsstruktur beskyttet av Sikkerhetsloven. Nødnettet er svært viktig ved blant annet store ulykker, branner og terroraksjoner Nylig ble det oppdaget uautorisert drift fra India gjennom underleverandøren Broadnet.

Foto: Ned Alley / NTB scanpix

Politi, ambulanse, brannvesen og sykehusene er blant viktige samfunnsfunksjoner som er avhengige av at Nødnett fungerer. Nødnettet skal sørge for rask kommunikasjon ved blant annet store ulykker,naturkatastrofer, politiutrykkinger og terroraksjoner.

Nødnettet skal være tryggere enn all annen informasjonskanal. Nettet er regnet for å være kritisk infrastruktur og er helt sentral for rikets sikkerhet.

Nødnettet er omfattet av Sikkerhetsloven og skal driftes fra Norge.

Men etter det NRK kjenner til har deler av Nødnettet i lengre tid vært driftet fra India, av indiske IT-arbeidere som ikke er sikkerhetsklarert. NRK har sett dokumentasjon som viser dette, og flere uavhengige kilder har bekreftet at den uautoriserte og ulovlige tilgangen har pågått over tid.

Med denne tilgangen kunne IT-arbeiderne i India med letthet ha stengt ned deler av Nødnettet, uten at norske myndigheter hadde hatt muligheter til å hindre dette. For det finnes ikke samarbeid mellom sikkerhetsmyndighetene i Norge og i India.

Sjekket ikke

– Det stemmer at vi fikk melding om uautorisert innlogging fra India rett før jul, sier direktør Tor Helge Lyngstøl i Direktoratet for nødkommunikasjon.

Spurte dere underleverandøren hvor lenge de indisk ansatte hadde hatt tilgang?

– Nei, det gjorde vi ikke, sier Lyngstøl.

Direktoratet vet med andre ord ikke hvor lenge IT-arbeiderne på den andre siden av kloden hadde full tilgang til Nødnettet. De stolte på underleverandørens ord om at det var en enkeltstående hendelse.

Les også: Nødnettet førte til 8000 prosent prisøkning

Nødnett for rikets sikkerhet

Den uautoriserte tilgangen er meldt inn til sikkerhetsmyndighetene.

NØDNETT

SJEF FOR NØDNETT: Tor-Helge Lyngstøl er direktør for Direktoratet for nødkommunikasjon. Han bekrefter at indere uten autorisasjon har hatt tilgang til Nødnettet, men vet ikke hvor lenge.

Foto: Morten Holm / NTB scanpix

Vi skal selvsagt vite hvem som drifter Nødnettet, sier Lyngstøl.

For selv om Nødnettet er en offentlig tjeneste og underlagt den strenge sikkerhetsloven, drives nettet av private, kommersielle selskaper som Motorola og Broadnett. Direktoratet har frem til nå ikke kontrollert at selskapene faktisk holder seg til avtalen om drift i Norge.

– Dette er basert på tillit. Det er dessuten vanskelig å gå inn og kontrollere hvem som faktisk har tilgang, sier Lyngstøl i Direktoratet for nødkommunikasjon.

Dette er bekymringsfullt. Her høres det ut som det er slappe rutiner rundt tilgangskontroll av Nødnettet.

Sofie Nystrøm, instituttleder NTNU

Instituttleder for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU, Sofie Nystrøm, er ikke enig. Hun mener direktoratet i større grad må kontrollere hvordan arbeidet med Nødnettet utføres.

– Å basere seg utelukkende på tillit er naivt. Det finnes mange graverende eksempler på at det som er avtalt ikke er etterlevd eller implementert. Med den rette IT-kompetansen kan myndighetene med letthet ta stikkprøver og kontrollere hvem som har tilgang, sier Nystrøm.

Sofie Nystrøm

KRITISK: Direktør for Center for Cyber and Information Security ved NTNU, Sofie Nystrøm er kritisk til hvor lite aktiv myndighetene er med å føre kontroll med drift av Nødnettet

Foto: Oda Hveem

Les også: Nødnettet sviktet under Urd.

Tilfeldighet

Brudd på sikkerhetsrutinene ble avdekket ved en tilfeldighet. Torsdag 22. desember oppdaget en våken ingeniør hos direktoratets samarbeidspartner Motorola i Norge at en indisk ansatt hos Tech Mahindra i Pune i India jobbet direkte mot Nødnett. Ingeniøren visste at alt arbeid med Nødnett skal foregå i Norge. Han varslet derfor sjefen om den uautoriserte påloggingen. Ledelsen rapporterte hendelsen til Direktoratet for Nødnett.

Tech Mahindra

TAUSE: Tech Mahindras ledelse vil ikke kommentere hvordan deres ansatte i India hadde fått tilgang til Nødnettet, Norgessjef Gaurav Gupta til venstre sammen med Nordensjef Rajendra Tunuguntla i Tech Mahindra

Foto: NRK

Broadnet eier linjer som de leier ut til Nødnett, selve driften av linjene er outsourcet til det indiske selskapet Tech Mahindra. Men Broadnett har gjennom skriftlige avtaler med myndighetene forpliktet seg til at alt skal drives fra Norge.

Flere uavhengige kilder som NRK har vært i kontakt med forteller at det ikke er tilfelle, og at det har vært slik i lang tid.

Vil ikke la seg intervjue

I flere uker har NRK prøvd å få klarhet i hva som har skjedd og hvordan det er mulig at 10 indisk ansatte i India plutselig hadde full tilgang til Nødnettet i Norge.

Verken Broadnet, Motorola eller Tech Mahindra har ønsket å stille til intervju. Broadnet brukte flere uker på å gi oss svar, Motorola over en uke.

Og de svarene vi omsider får er på mail.

Som dette fra Broadnet:

– I desember 2016 ble det dessverre avdekket et avvik i våre sikkerhetsrutiner som vi tar svært alvorlig. Inntil ti ansatte som jobbet ved operasjonssenteret i India hadde, på grunn av det som trolig er en menneskelig feil, fått tilgang til enkelte deler av transportnettet som de ikke skal ha. Det er intet i dag som tyder på at det tekniske systemet har medført feil for våre kunder, skriver direktør Torbjørn Krøvel i Broadnet i en e-post til NRK.

Broadnet-direktøren har ikke besvart NRKs gjentatte spørsmål over uker om hvor lenge de indisk ansatte hadde tilgang. Han har heller ikke ønsket å svare på spørsmål om hvordan det kan henge sammen at hele ti lokalt ansatte i India hadde tilgang hvis det var en enkelt hendelse.

Les også: Tastefeilen som stoppet Statoil

Motorolas direktør Dagfinn Sjøvik gir mer detaljer. Ingeniøren i Motorola skulle utføre vedlikeholdsarbeid opp mot Broadnet. Han kommuniserte med en indisk IT-arbeider hos Broadnets underleverandør Tech Mahindra. Den norske ingeniøren oppdaget plutselig at vedkommende ikke satt i Norge, men jobbet på den andre siden av kloden.

I mail til NRK forklarer Motorola-direktøren:

– Hendelsen ble håndtert raskt av Broadnet på en tilfredsstillende måte. Samtidig ble Direktoratet for nødkommunikasjon varslet om et mulig brudd på operative rutiner hos Broadnet, skriver Sjøvik.

– Motorola har mottatt en rapport fra Broadnet på hendelsen, men kan ikke gå inn i detalj på denne. Motorola vil følge opp rapporten for å sikre at avtalte rutiner knyttet til tilgangskontroll følges, skriver Sjøvik.

Tause IT-giganter

Den indiske IT-giganten Tech Mahindra er heller ikke interessert i å møte NRK for et intervju. Selskapet svarer heller ikke på hvor lenge de ti indisk ansatte hadde tilgang til Nødnettet, eller hvem som ga dem passord og tilgang.

I stedet for å besvare våre spørsmål, får vi følgende svar fra Norgessjefen Gaurav Gupta i en mail.

"På grunn av sikkerhets- og konfedensialiets-avtaler er ikke Tech Mahindra i stand til å gi dere svar på deres spørsmål."

Holder ikke

Sofie Nystrøm på NTNU mener Direktoratet for nødkommunikasjon har et klart ansvar for å følge opp Sikkerhetsloven. Det innebærer også å kontrollere underleverandørene.

Informasjonen som Nødnett håndterer er av stor, nasjonal interesse. Dette er bekymringsfullt. Her høres det ut som det er slappe rutiner rundt tilgangskontroll. Direktoratet burde hatt stikkprøvekontroller og revisjoner, sier Nystrøm.

Direktoratet vurderer nå om de skal utføre mer aktiv kontroll.

– Vi vil nå vurdere om det er tilstrekkelig å sikre nasjonal kontroll utelukkende gjennom settinger i programvare som kan endres uten at vi har kontroll på om dette gjøres, sier Lyngstøl i Direktoratet for nødkommunikasjon.

AKTUELT NÅ