En IT-arbeider i India hadde tilgang til systemet bak det norske nødnettet i 14 måneder. Justisministeren vurderer å stramme inn på de lange leverandørkjedene.

Justisminister Per-Willy Amundsen (Frp) mottok redegjørelsen fra Direktoratet for nødkommunikasjon tirsdag. 

Den viste at en IT-arbeider hadde tilgang til systemet i 14 måneder, mens andre har hatt tilgang i kortere tid.

Amundsen hadde bedt direktoratet om en forklaring på hvordan underleverandør Broadnet hadde gitt indiske IT-folk tilgang som krever sikkerhetsklarering.

– Ga feil rettigheter

I forbindelse med gjennomgangen fikk justis- og beredskapsministeren svar på hvordan og når sikkerhetsglippen oppsto. Ifølge Amundsen skal det ha skjedd en feil i forbindelse med outsourcingen i 2015.

–Det ble gitt rettigheter i systemet som ikke skulle vært gitt, og dette ble hengende igjen, sier Amundsen til NTB.

I prinsippet kunne noen av IT-arbeiderne gått inn og slått av enkeltlinjer i Norge. Det var snakk om linjer i infrastrukturen i Broadnet som nødnettet benytter seg av.

Justis- og beredskapsministeren er svært bekymret over at uautoriserte har hatt denne type tilgang. Han ser samtidig at slike programvare-feil kan skje

– Det viser hvor lett en sånn type ting kan skje. Det god grunn til å gå gjennom regelverket og kravene vi stiller, både med hensyn til lange leverandørkjeder og outsourcing og slik problematikk, sier Amundsen.

Vil kutte lange kjeder

Han vil nå ha en bred gjennomgang av måten nødnettet er organisert på.

– Det kan hende vi har gått for langt i å bruke private leverandører og i hvert fall for lange leverandørkjeder. Vi må i hvert fall være veldig tydelig på at outsourcing til utlandet ikke er akseptabelt, sier Amundsen.

Leverandøren og direktoratet har vært opptatt av å undersøke om det kunne være andre sikkerhetshull som måtte tettes. Så langt er ingenting avdekket, ifølge Amundsen.

– Så langt har jeg i hvert fall ikke blitt mer utrygg på at det er andre sikkerhetshull. Men det er klart at hele systemet med så kompleks sammensetning av leverandører, gjør det uoversiktlig, sier han.

Foreløpig ikke kritikk

Det var i desember i fjor at direktoratet mottok varsel fra sin driftsoperatør Motorola om et mulig avvik fra definerte driftsrutiner hos en underleverandør i forbindelse med en feilsøking. Avviket ble så bekreftet i møte med leverandøren.

Amundsen vil også se nærmere på hvordan Direktoratet for nødkommunikasjon har håndtert situasjonen. Direktør Tor Helge Lyngstøls uttalelser om at «det er vanskelig å kontrollere» og system som er "basert på tillit" er møtt med kritikk fra flere hold.

Amundsen vil ikke tirsdag rette kritikk mot direktoratet og dets ledelse, men avventer de prosesser som er i gang med gransking fra Nasjonal sikkerhetsmyndighet og Nasjonal kommunikasjonsmyndighet.

– Det er en utfordring og høyst reelt at dette systemet bygger på tillit. Det er kanskje ikke den situasjonen man ønsker å være i hvis man setter sikkerheten fremst. Da bør man kanskje ha noe mer robuste systemer, sier han.

(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.