Rapport viser svikt i alle ledd i nødnettsaken

Det slår Nasjonal sikkerhetsmyndighet (NSM) og Nasjonal kommunikasjonsmyndighet (Nkom) fast i en ny rapport, som ble overlevert justis- og beredskapsminister Per-Willy Amundsen (Frp) tirsdag.

– Tilsynene har konstatert at det foreligger brudd på sikkerhetsloven og ekom-lovgivningen. Både direktoratet, Motorola og Broadnet har åpenbart det til felles at de har en jobb å gjøre når det gjelder å bringe en rekke forhold i samsvar med gjeldendes regelverk, fastslo Amundsen under overrekkelsen.

– Jeg ser med stort alvor på sikkerhetsutfordringen i saken, sier Amundsen.

Aktuelt: Offisersforbundet urolige over sikkerhetssvikten i nødnettet

– Ingen kontroll

Det var i vinter det ble avdekket at IT-arbeidere i India hadde tilgang til deler av det norske nødnettsystemet, som benyttes av politi, brannvesen og helsevesenet under kriser og alvorlige hendelser. Motorola og underleverandøren Broadnet drifter nettet for det tidligere Direktoratet for nødkommunikasjon, som ble underlagt Direktoratet for samfunnssikkerhet og beredskap 1. mars i år. NRK avslørte at Broadnet ga indiske IT-arbeidere tilgang til nødnettet uten at disse hadde nødvendig tillatelse eller sikkerhetsklarering.

Hele « ugradert redegjørelse » av tilsyn med DSB, Motorola og Broadnet ble offentliggjort tirsdag.

– Det viktigste vi har avdekket er at personell som befinner seg i annet sted i verden eller med løs tilknytning til nødnett, har hatt tilgang til nødnettet uten at vi i ettertid kan si hva de har gjort der. Det har ikke vært logging av hva andre har gjort i systemet verken i samtid eller i ettertid, sier direktør i Nasjonal sikkerhetsmyndighet (NSM), Kjetil Nilsen, til NTB.

NSM mener verken Direktoratet for nødkommunikasjon som oppdragsgiver eller Motorola og Broadnet som utførere har utført nødvendige risikovurderinger av hvem som skulle få tilgang til nødnettet, og det har heller ikke vært avklart hvem av aktørene som hadde ansvaret for oppfølging og kontroll.

– Vi plasserer hovedansvaret her hos direktoratet som oppdragsgiver, men det betyr ikke at ikke utfører har et selvstendig ansvar, understreker Nilsen.

Aktuelt:

Nasjonal sikkerhetsmyndighet advarer mot flere alvorlige avvik i nødnettet

Indiske IT-arbeidere har fortsatt tilgang til nødnettet

Ingen sanksjonsmulighet

Nasjonal sikkerhetsmyndighet har samarbeidet med Nasjonal kommunikasjonsmyndighet (Nkom) om å føre tilsyn med de tre aktørene. Nkom varslet forrige uke at Broadnet vil bli bøtelagt på grunn av alvorlige brudd på loven om elektronisk kommunikasjon, den såkalte ekomloven. Direktør Elisabeth Aarsæther ville tirsdag ikke uttale seg om størrelsesordenen på det såkalte overtredelsesgebyret, men sier tilsynet jobber med å fastsette dette.

Tilsynet med Direktoratet for nødkommunikasjon (nå Direktoratet for samfunnssikkerhet og beredskap) og Motorola er derimot gjort med hjemmel i sikkerhetsloven, og den gir ikke grunnlag for å gi straffegebyr. Kjetil Nilsen mener det er uheldig.

– Hvis man ikke kan ilegge gebyr som ett blant flere virkemidler, så vil det ikke på samme måte gi en økonomisk risiko for et selskap eller en statlig virksomhet å ikke følge bestemmelsene, påpeker han.

Strengere regler

Justis- og beredskapsminister Per-Willy Amundsen sier han i forslag til ny sikkerhetslov, som behandles på Stortinget i disse dager, går inn for å åpne for mulighet for sanksjoner.

Amundsen mener man i Norge generelt er for naive når det gjelder sikkerhetsutfordringene knyttet til digitalisering og outsourcing, og varsler nå strengere regler for tjenesteutsetting av funksjoner knyttet til nasjonale sikkerhetsinteresser og vitale samfunnsfunksjoner som for eksempel vann- og strømforsyning.