– Det er en rekordhøy bot fra vår side, og reflekterer alvorlighetsgraden i saken og i lovbruddene, sier direktør Eilsabeth Aarsæther i Nasjonal kommunikasjonsmyndighet, Nkom, til NRK.

Nasjonal kommunkasjonsmyndighet ilegger boten etter at NRK i fjor avdekket at Broadnet drev IT-systemet til det samfunnskritiske Nødnettet fra India, i strid med sikkerhetsloven og ekomloven.

Broadnet var sammen med Motorola underleverandør til Direktoratet for Nødkommunikasjon og driftet IT-systemene til Nødnettet. NRK avdekket at IT- systemet ga ansatte i India tilganger i hele 14 måneder, IT-arbeiderne var uautoriserte manglet sikkerhetsklarering og jobbet hos en annen underleverandør.

Nødnett regnes for å være svært sentralt og viktig for beredskapen og er et såkalt sikringsobjekt som skal driftes fra Norge.

REKORDHØY BOT: Nkoms direktør Elisabeth Aarsæther forteller at boten på 14 millioner er rekordstor og viser hvor alvorlig saken er. Foto: NRK

Alle nødetater som politi, brannvesen,ambulanse, sykehus, kommuner, kraftverk, oljeselskaper, mange offentlige virksomheter og selskaper samt kongehus er avhengige av et sikkert og stabilt Nødnett.

Kritikken mot Broadnet og de andre aktørene i Nødnettsaken har vært beinhard:. Det ble avdekket flere brudd på både sikkerhetsloven og ekomloven, mangel på risikovurdering, loggføring og dårlig kontroll.

Motorola og Direktoratet for Nødkommunikasjon brøt også sikkerhetsloven, viser granskningen. Men Motorola mener også at de ikke har begått lovbrudd.

– Disse tilgangene i India kunne ha påvirket sentral infrastruktur i Norge, og dette er alvorlig, sier Aarsæther.

Les også: NSM frykter at ondsinnede kan utnytte sikkerhetshullene i Nødnettet

Les også: IT-arbeidere i India har fortsatt tilgang til Nødnett

Nødnett Ekspandér faktaboks Nødnett er et digitalt samband for politi, brannvesen, helsetjenesten og andre viktige samfunnsfunksjoner. Statoil, NVE, Statkraft, Forsvaret, Slottet, landets kommuner og Jernbaneverket er blant virksomheter som er kunder av Nødnettet.

Med Nødnettet skal aktørene være sikret et robust, avlytningssikret kommunikasjonsnett med god dekning og talekvalitet.

Direktoratet for Nødkommunikasjon har hatt ansvaret for oppbygging av nødnettet, men har satt ut selve driften av infrastrukturen til underleverandøren Motorola, mens de leier linjer og nett av Broadnet og Telenor.

Deler av infrastrukturen i Broadnets landsdekkende nett, er såkalte skjermingsverdige objekter. De er underlagt særlige krav til sikring, sier Sikkerhetsloven. Blant annet kan det stilles krav til at personell som skal ha tilgang til styringssystemer, må være sikkerhetsklarert eller autorisert

Broadnet har outsourcet IT-driften til det indiske IT-selskapet Tech Mahindra.

Siden våren 2017 har Direktoratet for Samfunnssikkerhet og Beredskap overtatt ansvaret for nødnett.

Nødnettet er omfattet av Sikkerhetsloven og skal driftes fra Norge. Sikkerhetsloven skal hindre trusler mot Norges selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser og ivareta den enkeltes rettssikkerhet.

Nødnettet regnes som kritisk infrastruktur og helt sentral for rikets sikkerhet.

Nødnettet og dets underleverandører ble etterforsket av PST og gransket av Nasjonal Sikkerhetsmyndighet og Nasjonal Kommunikasjonsmyndighet etter NRKs reportasjer.

21. november 2017 kom vedtak fra Nasjonal kommunikasjonsmyndighet (Nkom) med varsel om bøter til Broadnet. Rapporten påpeker flere brudd på ekomloven.

Granskingen fra sikkerhetsmyndighetene avdekker at både Direktoratet for Nødnett, Broadnet og Motorola brøt Sikkerhetloven.

PST henlegger saken. Begrunnelsen var at sikkerhetsloven er uklar på hva som er straffbart.

Justisdepartemtet har varslet endringer i Sikkherhetsloven og at det vil bli mulig å ilegge sanksjoner i den nye loven.

Broadnet har bedt om utsettelse av tiltak for å tette avvikene og har klaget på hele vedtaket fra Nkom.

La til rette for sabotasje

Broadnet hadde ikke gjennomført tilstrekkelige og relevante risiko- og sårbarhetsanalyser av egne systemer og av tjenesteutsettingen til India, skriver Nasjonal Kommunkasjonsmyndighet i en melding.

Tilgangene gitt til IT-arbeidere i India gjorde det mulig å utføre sabotasje mot sentrale deler av nødnettet Nkom i granskningsrapport

Broadnet hadde heller ikke hatt tilstrekkelig tilgangsstyring for å forhindre uautorisert tilgang til sine systemer, og at det ble gitt uautorisert tilgang fra India til kritisk infrastruktur i Norge, påpeker Nkom.

IKKE LOVBRUDD: Direktør Torbjørn Krøvel i Broadnet mener selskapet ikke har gjort noe galt, de mener de ikke har fått god nok opplæring av myndighetene i lovverket. Foto: NRK

Les også: Broadnet klager på vedtak om at de brøt loven

Nkom påpeker i granskingen at Nødnettet var svært utsatt for sabotasje de 14 månedene det var driftet fra India.

Boten på 14 millioner utgjør om lag én prosent av Broadnets omsetning siste regnskapsår.

Uenige

Broadnet mener de ikke har brutt loven.

Ledelsen i Broadnet er uenig i alt Nkm har foretatt seg.

Både i Nkoms beskrivelse og forståelse av faktiske forhold, også deres juridiske fortolkning, måten deler av tilsynet er gjennomført på og konklusjonene som er trukket i granskingen. Selskapet har påklaget Nkoms vedtak om lovbrudd til Samferdselsdepartementet .

– Vi har fra første dag vært tydelige på at vi har gjort feil, og tatt konsekvensen av dette ved å umiddelbart flytte driften hjem til Norge for å overta den i egen regi, sier driftsdirektør Torbjørn Krøvel i Broadnet.

Broadnet flagget tilbake driften etter NRKs saker, men det tok over et halvt år før alt var på plass i Norge.

– Vi har håndtert dette som en svært alvorlig sak. Hendelsen fikk ingen konsekvenser for våre kunder. Broadnet jobber tett med alle myndigheter, for å forsikre våre brukere om at sikkerheten til enhver tid er ivaretatt , forklarer Krøvel.

Selskapet reagerer på størrelsen på boten. Nå vurderer de altså å klage på den.