IT-arbeidere i India har hatt store tilganger til Nødnettet, i strid med sikkerhetsloven. Inderne har ingen gyldig autorisasjon og ikke nødvendig sikkerhetsklarering.
NRK bringer reportasjer om dette på nettsiden sin, her er linken
Og fler: Justis- og beredskapsministeren sier at det er uakseptabelt at indiske IT-arbeidere har hatt tilgang til det norske nødnettet.
Broadnet nekter for Nødnett-lovbrudd
Tirsdag kunne NRK avdekke at ti arbeidere i India, gjennom underleverandøren Broadnet, har hatt tilgang til det digitale sambandet politiet, brannvesenet og helsetjenestene er avhengige av i krisesituasjoner.
NØDNETT BLE DRIFTET FRA INDIA: Alle nødetater bruker Nødnett, som er en kritisk samfunnsstruktur beskyttet av Sikkerhetsloven. Nødnettet er svært viktig ved blant annet store ulykker, branner og terroraksjoner Nylig ble det oppdaget uautorisert drift fra India gjennom underleverandøren Broadnet.
Nødnettet skal være tryggere enn all annen informasjonskanal. Nettet er regnet for å være kritisk infrastruktur og er helt sentral for rikets sikkerhet.
Nødnettet er omfattet av Sikkerhetsloven og skal driftes fra Norge.
Men etter det NRK kjenner til har deler av Nødnettet i lengre tid vært driftet fra India, av indiske IT-arbeidere som ikke er sikkerhetsklarert. NRK har sett dokumentasjon som viser dette, og flere uavhengige kilder har bekreftet at den uautoriserte og ulovlige tilgangen har pågått over tid.
Med denne tilgangen kunne IT-arbeiderne i India med letthet ha stengt ned deler av Nødnettet, uten at norske myndigheter hadde hatt muligheter til å hindre dette. For det finnes ikke samarbeid mellom sikkerhetsmyndighetene i Norge og i India.
Sjekket ikke
– Det stemmer at vi fikk melding om uautorisert innlogging fra India rett før jul, sier direktør Tor Helge Lyngstøl i Direktoratet for nødkommunikasjon.
Spurte dere underleverandøren hvor lenge de indisk ansatte hadde hatt tilgang?
– Nei, det gjorde vi ikke, sier Lyngstøl.
Direktoratet vet med andre ord ikke hvor lenge IT-arbeiderne på den andre siden av kloden hadde full tilgang til Nødnettet. De stolte på underleverandørens ord om at det var en enkeltstående hendelse.
Broadnet: Avvik, ikke lovbrudd
IT-arbeiderne manglet både gyldig autorisasjon og sikkerhetsklarering. Nødnettet er omfattet av Sikkerhetsloven og skal driftes fra Norge.
Likevel avviser Broadnets driftsdirektør Torbjørn G. Krøvel at det har skjedd et lovbrudd.
Han bedyrer at selskapets kabler, som er underlagt sikkerhetsloven, driftes fra Norge.
– Så skjedde det et avvik i rutinene slik at enkelte personer i India hadde tilgang til deler av nettet de ikke skulle hatt tilgang til, ved en enkelthendelse. Det er noe som vi selvsagt beklager, sier han til Dagsnytt Atten tirsdag kveld.
– Det du kaller en enkelthendelse, det er vel et lovbrudd?
– Vi ser ikke på dette som lovbrudd, vi ser på dette som et avvik fra rutiner. Vi har strammet kraftig inn og rapportert hendelsen.
- Slik reagerte justisministeren:
– Begrenset skadeomfang
Krøvel nekter å fortelle hvor lenge medarbeiderne i India hadde tilgang til det norske Nødnettet, og begrunner det med sikkerhetsloven og dialogen med myndighetene.
Ifølge Broadnet skyldes det hele trolig en menneskelig feil. På spørsmål om hva som i verste fall kunne ha skjedd, svarer Krøvel:
– Vi er glad for at dette ble oppdaget raskt. Hvis noen hadde hatt onde hensikter ville vi raskt oppdaget det, og stengt tilgangen slik at ikke noe ville skjedd. Det ville hatt et begrenset skadeomfang.
– Hvis noen prøvde å bruke det nettet, og det var nede, så ville det vel gått ut over dem?
– Vi har ikke grunn til å tro at det ville ha skjedd.
– Hvorfor ikke?
– Fordi det ville vi oppfatte raskt, og tatt grep.
Direktoratet for nødkommunikasjon, som er ansvarlig for sikkerheten, er ikke like sikker.
– Jeg tror nok på at det var et uhell, men vi tar dette veldig alvorlig. Det er klart at dette kunne fått store konsekvenser for relativt store deler av Nødnettet, og vi liker det særdeles dårlig, sier direktør Tor Helge Lyngstøl.
Overfor NRK er han klar på at sikkerhetsbristen er å karakterisere som et lovbrudd.
– Det er klart at hvis noen skulle ha onde hensikter, så kunne de sette ut disse linjene og sette en stor del av nødnettet ut av spill. Vi snakker om en 20–30 prosent.
– Er det trygt nok å ha underleverandører som setter ut deler av dette til India?
– Jeg tenker at dette er en ganske vanskelig leverandørkjede å følge opp, svarer Lyngstøl.
