Hopp til innhold
Du er her: Forsiden Aktuelt Nyheter Broadnet hadde flere alvorlige brudd på ekomloven
Sist oppdatert

Broadnet hadde flere alvorlige brudd på ekomloven

Nasjonal kommunikasjonsmyndighet har sendt vedtak om retting og varsel om overtredelsesgebyr til Broadnet, etter flere alvorlige brudd på ekomloven. Vedtaket kommer etter tilsynet i «Nødnettsaken», der Nkom i september varslet at selskapet må rette en rekke avvik.

I januar varslet Broadnet selv til Nkom at det var oppdaget avvik fra selskapets sikkerhetsrutiner, der en ansatt hos en underleverandør i India skal ha hatt mer omfattende tilganger til IKT-systemer enn forutsatt. På denne bakgrunn startet Nkom tilsynssak med Broadnet. Nå foreligger myndighetens vedtak.

Omtrent samtidig startet Nasjonal sikkerhetsmyndighet (NSM) tilsyn med Direktoratet for nødkommunikasjon (Nødnett, som siden den gang er blitt organisatorisk underlagt Direktoratet for samfunnssikkerhet og beredskap), og med underleverandøren Motorola.

Broadnet er en betydelig leverandør av infrastruktur til Nødnett, og NSM og Nkom har derfor valgt å se sakene i sammenheng.

Nkom har ført sitt tilsyn i hovedsak etter ekomloven, og NSM etter sikkerhetsloven. Myndighetene har deltatt i hverandres tilsynsaktiviteter.

Tilsynene har ikke omfattet alle forhold knyttet til forsvarlig sikkerhet hos tilsynsobjektene, men har konsentrert seg om de aktuelle hendelsene og bakenforliggende årsaker. Tilsynene har likevel avdekket alvorlige sårbarheter og omfattende svikt i rutiner.

Tjenester som driftes fra utlandet

Hendelsene som ble rapportert rundt årsskiftet 2016/2017, handlet om at det var oppdaget uautorisert tilgang til deler av Broadnets styringssystemer. Tilgangen var gitt til personell hos underleverandøren Tech Mahindra som hadde driftsoperasjoner for Broadnet, både i Norge og India.

I forkant av tjenesteutsettingen til India, mottok Broadnet veiledning fra Nkom. Slik veiledning gis for å informere om viktige tema som må adresseres og analyser som må gjøres når en aktør vurderer å sette ut tjenester til drift i utlandet. Blant annet er det forskjeller på hvilke sikkerhetsvurderinger som må gjøres og hvilke tiltak som må iverksettes, ut fra hvilke land som er aktuelle.

Tilsynet med Broadnet i denne saken viser etter Nkoms mening at selskapet ikke fulgte opp veiledningen i tilstrekkelig grad i prosessen med tjenesteutsetting til India.

Skjermingsverdige objekter

Deler av infrastrukturen i Broadnets landsdekkende nett, er såkalte skjermingsverdige objekter. Slike er etter sikkerhetsloven underlagt særlige krav til sikring. Blant annet kan det stilles krav til at personell som skal ha tilgang til styringssystemer, må være sikkerhetsklarert eller autorisert.

Slike regler er definert etter forskrift om objektsikkerhet under sikkerhetsloven. Det er NSM som har ansvar for sikkerhetsloven, men Nkom har ført tilsyn etter forskriften i tillegg til regelverket under ekomloven, slik sektormyndigheten skal gjøre. Funnene i tilsynene som relaterer seg til objektsikkerhet, vil bli sendt til NSM og er således ikke del av Nkoms konklusjon og reaksjon.

Gjennom Nkoms tilsyn med Broadnet, kom det frem at personell hos Tech Mahindra var tildelt tilganger de ikke skulle hatt til styringssystemer. Tilgangene kunne potensielt påvirke tilgjengeligheten til nett i Norge negativt for både Nødnett og for andre av Broadnets kunder.

Tilgangskontroll

Nkom mener ikke at utsetting av tjenester i seg selv er galt. Imidlertid krever tjenesteutsetting økt oppmerksomhet om drift av tjenester og sikkerhet rundt systemer, og vurdering av hvilke systemer som krever ekstra tiltak ved utsetting. Ledelsen i selskaper som setter ut drift av samfunnskritisk infrastruktur eller tjenester, har ansvar for at virksomheten har kompetanse for å sikre at relevante sikkerhetsvurderinger blir foretatt og tilstrekkelige tiltak blir iverksatt. Hensikten er å forhindre at både kunder og samfunn blir mer sårbare som følge av utsettingen.

Nkom fant at Broadnet hadde gjennomført analyser og enkelte tiltak for å styrke sikkerheten, men at disse ikke var tilstrekkelige. Blant annet ble det avdekket at det ikke forelå tilstrekkelige sikringstiltak mot uautorisert tilgang til skjermingsverdige objekter. Dette utgjorde en fare for både Nødnett og andre kunder, blant annet fordi utenlandske statsborgere uten nødvendig klarering potensielt kunne sette deler av Broadnets nett ut av drift.

Nkom finner at Broadnet heller ikke hadde tilstrekkelige rutiner for logging i sine systemer. Blant annet var det vanskelig å analysere loggene, og derav vanskelig å oppdage dersom noen hadde utført illegitime handlinger.

Varsel om overtredelsesgebyr

Oppsummert mener Nkom at Broadnet ikke har gjennomført tilstrekkelige og relevante risiko- og sårbarhetsanalyser knyttet til valget om å drifte deler av sine systemer fra India. Selskapet har heller ikke hatt tilstrekkelige rutiner for å oppdage trusler mot systemene, de har ikke hatt god nok tilgangsstyring til kritiske systemer og har generelt hatt for dårlig sikkerhetskultur.

Broadnet har i løpet av tilsynsperioden meldt at flere av avvikene er lukket, og at hele driften er hentet hjem fra India. Nkoms vedtak retter seg likevel også mot disse delene. Dette fordi tiltakene og rettelsene av både de konkrete bruddene og av bakenforliggende årsaker må dokumenteres.

Broadnet har etter Nkoms mening begått flere alvorlige brudd på ekomloven, og pålegges å rette disse innen 26. januar.

Nkom varsler at Broadnet vil bli ilagt et overtredelsesgebyr for bruddene, og kommer tilbake til omfanget av og innholdet i dette.

For informasjon om NSMs tilsyn med Nødnett (DSB) og Motorola, og resultatene av disse, vises til NSM.