Politi, ambulanse, brannvesen og sykehusene er blant viktige samfunnsfunksjoner som er avhengige av at Nødnett fungerer. Nødnettet skal sørge for rask kommunikasjon ved blant annet store ulykker,naturkatastrofer, politiutrykkinger og terroraksjoner.

Nødnettet skal være tryggere enn all annen informasjonskanal. Nettet er regnet for å være kritisk infrastruktur og er helt sentral for rikets sikkerhet.

Nødnettet er omfattet av Sikkerhetsloven og skal driftes fra Norge.

Nødnett Ekspandér faktaboks Nødnett er et digitalt samband for politi, brannvesen, helsetjenesten og andre viktige samfunnsfunksjoner. Statoil, NVE, Statkraft, Forsvaret, Slottet, landets kommuner og Jernbaneverket er blant virksomheter som er kunder av Nødnettet.

Med Nødnettet skal aktørene være sikret et robust, avlytningssikret kommunikasjonsnett med god dekning og talekvalitet.

Direktoratet for Nødkommunikasjon har hatt ansvaret for oppbygging av nødnettet, men har satt ut selve driften av infrastrukturen til underleverandøren Motorola, mens de leier linjer og nett av Broadnet og Telenor.

Deler av infrastrukturen i Broadnets landsdekkende nett, er såkalte skjermingsverdige objekter. De er underlagt særlige krav til sikring, sier Sikkerhetsloven. Blant annet kan det stilles krav til at personell som skal ha tilgang til styringssystemer, må være sikkerhetsklarert eller autorisert

Broadnet har outsourcet IT-driften til det indiske IT-selskapet Tech Mahindra.

Siden våren 2017 har Direktoratet for Samfunnssikkerhet og Beredskap overtatt ansvaret for nødnett.

Nødnettet er omfattet av Sikkerhetsloven og skal driftes fra Norge. Sikkerhetsloven skal hindre trusler mot Norges selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser og ivareta den enkeltes rettssikkerhet.

Nødnettet regnes som kritisk infrastruktur og helt sentral for rikets sikkerhet.

Nødnettet og dets underleverandører ble etterforsket av PST og gransket av Nasjonal Sikkerhetsmyndighet og Nasjonal Kommunikasjonsmyndighet etter NRKs reportasjer.

21. november 2017 kom vedtak fra Nasjonal kommunikasjonsmyndighet (Nkom) med varsel om bøter til Broadnet. Rapporten påpeker flere brudd på ekomloven.

Granskingen fra sikkerhetsmyndighetene avdekker at både Direktoratet for Nødnett, Broadnet og Motorola brøt Sikkerhetloven.

PST henlegger saken. Begrunnelsen var at sikkerhetsloven er uklar på hva som er straffbart.

Justisdepartemtet har varslet endringer i Sikkherhetsloven og at det vil bli mulig å ilegge sanksjoner i den nye loven.

Broadnet har bedt om utsettelse av tiltak for å tette avvikene og har klaget på hele vedtaket fra Nkom.

Men etter det NRK kjenner til har deler av Nødnettet i lengre tid vært driftet fra India, av indiske IT-arbeidere som ikke er sikkerhetsklarert. NRK har sett dokumentasjon som viser dette, og flere uavhengige kilder har bekreftet at den uautoriserte og ulovlige tilgangen har pågått over tid.

Med denne tilgangen kunne IT-arbeiderne i India med letthet ha stengt ned deler av Nødnettet, uten at norske myndigheter hadde hatt muligheter til å hindre dette. For det finnes ikke samarbeid mellom sikkerhetsmyndighetene i Norge og i India.

Nødnett Ekspandér faktaboks Nødnett er et digitalt samband for politi, brannvesen, helsetjenesten og andre viktige samfunnsfunksjoner. Statoil, NVE, Statkraft, Forsvaret, Slottet, landets kommuner og Jernbaneverket er blant virksomheter som er kunder av Nødnettet.

Med Nødnettet skal aktørene være sikret et robust, avlytningssikret kommunikasjonsnett med god dekning og talekvalitet.

Direktoratet for Nødkommunikasjon har hatt ansvaret for oppbygging av nødnettet, men har satt ut selve driften av infrastrukturen til underleverandøren Motorola, mens de leier linjer og nett av Broadnet og Telenor.

Deler av infrastrukturen i Broadnets landsdekkende nett, er såkalte skjermingsverdige objekter. De er underlagt særlige krav til sikring, sier Sikkerhetsloven. Blant annet kan det stilles krav til at personell som skal ha tilgang til styringssystemer, må være sikkerhetsklarert eller autorisert

Broadnet har outsourcet IT-driften til det indiske IT-selskapet Tech Mahindra.

Siden våren 2017 har Direktoratet for Samfunnssikkerhet og Beredskap overtatt ansvaret for nødnett.

Nødnettet er omfattet av Sikkerhetsloven og skal driftes fra Norge. Sikkerhetsloven skal hindre trusler mot Norges selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser og ivareta den enkeltes rettssikkerhet.

Nødnettet regnes som kritisk infrastruktur og helt sentral for rikets sikkerhet.

Nødnettet og dets underleverandører ble etterforsket av PST og gransket av Nasjonal Sikkerhetsmyndighet og Nasjonal Kommunikasjonsmyndighet etter NRKs reportasjer.

21. november 2017 kom vedtak fra Nasjonal kommunikasjonsmyndighet (Nkom) med varsel om bøter til Broadnet. Rapporten påpeker flere brudd på ekomloven.

Granskingen fra sikkerhetsmyndighetene avdekker at både Direktoratet for Nødnett, Broadnet og Motorola brøt Sikkerhetloven.

PST henlegger saken. Begrunnelsen var at sikkerhetsloven er uklar på hva som er straffbart.

Justisdepartemtet har varslet endringer i Sikkherhetsloven og at det vil bli mulig å ilegge sanksjoner i den nye loven.

Broadnet har bedt om utsettelse av tiltak for å tette avvikene og har klaget på hele vedtaket fra Nkom.

Sjekket ikke

– Det stemmer at vi fikk melding om uautorisert innlogging fra India rett før jul, sier direktør Tor Helge Lyngstøl i Direktoratet for nødkommunikasjon.

Spurte dere underleverandøren hvor lenge de indisk ansatte hadde hatt tilgang?

– Nei, det gjorde vi ikke, sier Lyngstøl.

Direktoratet vet med andre ord ikke hvor lenge IT-arbeiderne på den andre siden av kloden hadde full tilgang til Nødnettet. De stolte på underleverandørens ord om at det var en enkeltstående hendelse.

Les også: Nødnettet førte til 8000 prosent prisøkning

Nødnett for rikets sikkerhet

Den uautoriserte tilgangen er meldt inn til sikkerhetsmyndighetene.

SJEF FOR NØDNETT: Tor-Helge Lyngstøl er direktør for Direktoratet for nødkommunikasjon. Han bekrefter at indere uten autorisasjon har hatt tilgang til Nødnettet, men vet ikke hvor lenge. Foto: Morten Holm / NTB scanpix

– Vi skal selvsagt vite hvem som drifter Nødnettet, sier Lyngstøl.

For selv om Nødnettet er en offentlig tjeneste og underlagt den strenge sikkerhetsloven, drives nettet av private, kommersielle selskaper som Motorola og Broadnett. Direktoratet har frem til nå ikke kontrollert at selskapene faktisk holder seg til avtalen om drift i Norge.

– Dette er basert på tillit. Det er dessuten vanskelig å gå inn og kontrollere hvem som faktisk har tilgang, sier Lyngstøl i Direktoratet for nødkommunikasjon.

Dette er bekymringsfullt. Her høres det ut som det er slappe rutiner rundt tilgangskontroll av Nødnettet. Sofie Nystrøm, instituttleder NTNU

Instituttleder for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU, Sofie Nystrøm, er ikke enig. Hun mener direktoratet i større grad må kontrollere hvordan arbeidet med Nødnettet utføres.

– Å basere seg utelukkende på tillit er naivt. Det finnes mange graverende eksempler på at det som er avtalt ikke er etterlevd eller implementert. Med den rette IT-kompetansen kan myndighetene med letthet ta stikkprøver og kontrollere hvem som har tilgang, sier Nystrøm.

KRITISK: Direktør for Center for Cyber and Information Security ved NTNU, Sofie Nystrøm er kritisk til hvor lite aktiv myndighetene er med å føre kontroll med drift av Nødnettet Foto: Oda Hveem

Les også: Nødnettet sviktet under Urd.

Tilfeldighet

Brudd på sikkerhetsrutinene ble avdekket ved en tilfeldighet. Torsdag 22. desember oppdaget en våken ingeniør hos direktoratets samarbeidspartner Motorola i Norge at en indisk ansatt hos Tech Mahindra i Pune i India jobbet direkte mot Nødnett. Ingeniøren visste at alt arbeid med Nødnett skal foregå i Norge. Han varslet derfor sjefen om den uautoriserte påloggingen. Ledelsen rapporterte hendelsen til Direktoratet for Nødnett.

TAUSE: Tech Mahindras ledelse vil ikke kommentere hvordan deres ansatte i India hadde fått tilgang til Nødnettet, Norgessjef Gaurav Gupta til venstre sammen med Nordensjef Rajendra Tunuguntla i Tech Mahindra Foto: NRK

Broadnet eier linjer som de leier ut til Nødnett, selve driften av linjene er outsourcet til det indiske selskapet Tech Mahindra. Men Broadnett har gjennom skriftlige avtaler med myndighetene forpliktet seg til at alt skal drives fra Norge.

Flere uavhengige kilder som NRK har vært i kontakt med forteller at det ikke er tilfelle, og at det har vært slik i lang tid.

Vil ikke la seg intervjue

I flere uker har NRK prøvd å få klarhet i hva som har skjedd og hvordan det er mulig at 10 indisk ansatte i India plutselig hadde full tilgang til Nødnettet i Norge.

Verken Broadnet, Motorola eller Tech Mahindra har ønsket å stille til intervju. Broadnet brukte flere uker på å gi oss svar, Motorola over en uke.

Og de svarene vi omsider får er på mail.

Som dette fra Broadnet:

– I desember 2016 ble det dessverre avdekket et avvik i våre sikkerhetsrutiner som vi tar svært alvorlig. Inntil ti ansatte som jobbet ved operasjonssenteret i India hadde, på grunn av det som trolig er en menneskelig feil, fått tilgang til enkelte deler av transportnettet som de ikke skal ha. Det er intet i dag som tyder på at det tekniske systemet har medført feil for våre kunder, skriver direktør Torbjørn Krøvel i Broadnet i en e-post til NRK.

Broadnet-direktøren har ikke besvart NRKs gjentatte spørsmål over uker om hvor lenge de indisk ansatte hadde tilgang. Han har heller ikke ønsket å svare på spørsmål om hvordan det kan henge sammen at hele ti lokalt ansatte i India hadde tilgang hvis det var en enkelt hendelse.

Les også: Tastefeilen som stoppet Statoil

Motorolas direktør Dagfinn Sjøvik gir mer detaljer. Ingeniøren i Motorola skulle utføre vedlikeholdsarbeid opp mot Broadnet. Han kommuniserte med en indisk IT-arbeider hos Broadnets underleverandør Tech Mahindra. Den norske ingeniøren oppdaget plutselig at vedkommende ikke satt i Norge, men jobbet på den andre siden av kloden.

I mail til NRK forklarer Motorola-direktøren:

– Hendelsen ble håndtert raskt av Broadnet på en tilfredsstillende måte. Samtidig ble Direktoratet for nødkommunikasjon varslet om et mulig brudd på operative rutiner hos Broadnet, skriver Sjøvik.

– Motorola har mottatt en rapport fra Broadnet på hendelsen, men kan ikke gå inn i detalj på denne. Motorola vil følge opp rapporten for å sikre at avtalte rutiner knyttet til tilgangskontroll følges, skriver Sjøvik.

Tause IT-giganter

Den indiske IT-giganten Tech Mahindra er heller ikke interessert i å møte NRK for et intervju. Selskapet svarer heller ikke på hvor lenge de ti indisk ansatte hadde tilgang til Nødnettet, eller hvem som ga dem passord og tilgang.

I stedet for å besvare våre spørsmål, får vi følgende svar fra Norgessjefen Gaurav Gupta i en mail.

"På grunn av sikkerhets- og konfedensialiets-avtaler er ikke Tech Mahindra i stand til å gi dere svar på deres spørsmål."

Holder ikke

Sofie Nystrøm på NTNU mener Direktoratet for nødkommunikasjon har et klart ansvar for å følge opp Sikkerhetsloven. Det innebærer også å kontrollere underleverandørene.

– Informasjonen som Nødnett håndterer er av stor, nasjonal interesse. Dette er bekymringsfullt. Her høres det ut som det er slappe rutiner rundt tilgangskontroll. Direktoratet burde hatt stikkprøvekontroller og revisjoner, sier Nystrøm.

Direktoratet vurderer nå om de skal utføre mer aktiv kontroll.

– Vi vil nå vurdere om det er tilstrekkelig å sikre nasjonal kontroll utelukkende gjennom settinger i programvare som kan endres uten at vi har kontroll på om dette gjøres, sier Lyngstøl i Direktoratet for nødkommunikasjon.