Denne saken har fått kritikk av Pressens Faglige Utvalg (PFU) for mangelfull kontroll av faktiske opplysninger (VVP 3.2). PFUs uttalelse i saken kan leses her. Pressens Faglige Utvalg har gitt NRK kritikk
NRK avslørte i februar at IT-arbeidere i India hadde tilgang til Nødnettet i mange måneder i strid med loven.
Etter det NRK erfarer ble nettet delvis driftet fra India i 14 måneder, uten at de ansatte var sikkerhetsklarerte eller autoriserte slik loven krever.
Siden NRKs avsløring har både Nkom og Nasjonal sikkerhetsmyndighet gjennomgått lovbrudd i Nødnett og dets underleverandører; Motorola og Broadnet.
I dag ble innholdet i den endelige tilsynsrapporten fra Nasjonal kommunikasjonsmyndighet (Nkom) kjent.
Granskningen viser flere brudd på Sikkerhetsloven og e-kom-loven i driften av nødnettet.
Nasjonal kommunikasjonsmyndighet varsler bøter av ukjent størrelse for brudd på Ekomloven, mens funnene tilknyttet sikkerhetsloven er oversendt NSM.
Nødnett er regnet for være kritisk infrastruktur og er såkalt skjermingsverdig objekt. I følge Sikkerhetsloven skal Nødnett driftes fra Norge.
– Vi har funnet flere brudd på loven ved uautorisert tilgang til nødnettet, sier direktør Elisabeth Aarsæther i Nkom til NRK.
Nasjonal Sikkerhetsmyndighet gransker også Nødnett og dets leverandører. Granskningen er ennå ikke klar, men NSM har allerede fastslått at både Motorola og Direktoratet for Nødkommunikasjon har gjort seg skyldig i brudd på Sikkerhetsloven.
PRESISERING: I en tidligere versjon av saken kunne man få et inntrykk av at Nkoms vedtak om gebyr er gitt med bakgrunn i brudd på både ekomloven og sikkerhetsloven. Nkoms vedtak er basert kun på brudd på ekomloven. Men gjennom sitt tilsyn har Nkom avdekket brudd også på sikkerhetsloven, men det er ikke en del av det formelle grunnlaget for reaksjonen om gebyr. I en tidligere versjon av denne saken stod det også Nødnett var driftet fra India. Vi presiserer at det er deler av Nødnett som har vært driftet fra India. Pressens Faglige Utvalg har gitt NRK kritikk for denne saken.
Les også: NSM varsler tilsynssak i Nødnettsaken
INNRØMMER FEIL: Toppsjef Torbjørn Krøvel i Broadnet innrømmer at det ble gjort feil i selskapet da det ble gitt tilganger utenfor landet. Her er Krøvel avbildet sammen med NRKS reportere tidligere i år.
Foto: NRKNoen innrømmelser
Underleverandøren Broadnet innrømmer at de har gjort en feil.
– Vi mener at ett avvik er ett for mye. Derfor har vi også fra første stund håndtert denne saken med det alvoret den fortjener. Dette er selvsagt en sak vi skulle vært foruten, sier driftdirektør, sier Torbjørn Krøvel i Broadnet i en pressemelding. Selskapet skriver også at de fleste avvikene er lukket og ryddet opp i.
Broadnets ledelse har ikke bestemt seg for hvordan de konkluderer med hensyn til påleggene. De mener at nødnettet ikke ble påvirket av den ulovlige driften.
NØDNETTSAKEN ER UNIK: Aldri tidligere har Nkom hatt en tilsvarende sak, sier direktør Elisabeth Aarsæther.
Foto: NKOMBroadnet påpeker likevel at de har fulgt rådene fra myndighetene.
– Vi fulgte de råd vi fikk fra myndighetene, både gjennom skriftlig veiledning og tilbakemeldinger gjennom tiltalls møter både før, under og etter tjenesteutsettingen, sier Krøvel.
Nødnett kunne påvirkes fra India
Deler av nødnettet var i 14 måneder driftet fra India, i strid med Sikkerhetsloven. Også etter NRKs avsløring har det vært åpne tilganger fra India.
Les også: NSM frykter at ondsinnede kan utnytte hull i Nødnettet
Gjennom Nkoms tilsyn med Broadnet, kom det frem at personell hos underleverandøren Tech Mahindra var tildelt tilganger de ikke skulle hatt til styringssystemer.
Tilgangene kunne potensielt påvirke tilgjengeligheten til nett i Norge negativt for både Nødnett og for andre av Broadnets kunder, skriver Nkom.
Etter avsløringen startet PST etterforskning i saken. Det er første gang sikkerhetstjenesten har gransket et slikt lovbrudd.
Tekna: – En milepæl
President i teknologorganisasjonen Tekna, Lise Randeberg, sier til NRK at ikke er noe tvil om at det som kommer frem av granskningen til Nasjonal kommunikasjonsmyndighet er kraftig kost.
– Og nettopp derfor er det viktig, for det kan representere en milepæl i forståelsen av problemet. Man har rett og slett ikke tatt IT-sikkerhet på alvor og dette er ikke første gangen vi ser dette, sier hun.
Randeberg mener det har vært en kultur for digital lettsindighet i Norge hvor man har lukket øynene og håpet at det skal gå bra.
– Og spørsmålet er hva vi skal gjøre med dette? Vi i Tekna tror at vi må få inn sikkerhetskompetanse i alle IT-utdanninger. Man må ha inn IT-kompetanse i ledelsen i de selskapene som jobber i disse markedene. Og ikke minst så handler det om bevissthet, sier Randeberg.
– Nå kan vi få problemene på bordet og begynne å diskutere dem.
Dette er en noen av lovbruddene
- Nkom finner at Broadnet heller ikke hadde tilstrekkelige rutiner for logging i sine systemer. Blant annet var det vanskelig å analysere loggene, og derav vanskelig å oppdage dersom noen hadde utført illegitime handlinger.
- Broadnet har ikke gjennomført tilstrekkelige og relevante risiko- og sårbarhetsanalyser knyttet til valget om å drifte deler av sine systemer fra India
- Tilgangene kunne potensielt påvirke tilgjengeligheten til nett i Norge negativt for både Nødnett og for andre av Broadnets kunder. (Norsk Helsenett er en av kundene).
- Omfattende svikt i rutinene
