Gjennom en periode på over ti måneder frem til august i år, har en intern rutinesvikt i Nasjonal sikkerhetsmyndighet (NSM) gjort at alle ansatte i den hemmelige tjenesten har kunnet lese detaljerte vurderinger som ledere i organisasjonen har gjort om søkere til nye stillinger.

Opplysningene om den interne svikten fremgår av en avviksmelding til Datatilsynet fra NSM. Den omfatter alle tilsettingssaker siden april 2022 og frem til august i år.

Les også: Tallfester antallet aktive russiske spioner i Sveits

Informasjonen har potensielt ligget tilgjengelig for ansatte fra oktober 2022 til og med 7. august 2023, ifølge NSM. «Alle tilsettingssaker har ligget med feil tilgangskode i vårt arkivsystem, slik at filene i sakene har vært mulig å åpne/lese for alle ansatte» skriver NSM i avviksmeldingen.

Det er primært søkerlister og innstillinger som er omfattet. Her ligger opplysninger om personalia, utdannelse og erfaring, samt en vurdering av aktuelle søkere, fremgår det av meldingen.

Et omfattende avvik

Personene som er berørt, har alle søkt jobb i NSM. Ifølge den hemmelige tjenesten selv kan så mange som 1000 personer være rammet av sikkerhetsbruddet. Det dreier seg om både interne og eksterne søkere til ulike stillinger.

I pauserommet til Nasjonal sikkerhetsmyndighet på Kolsås henger en gammel propagandaplakat fra Sovjetunionen som oppfordrer til hemmelighold, med slagordet «Ikke prat!».
I pauserommet til Nasjonal sikkerhetsmyndighet på Kolsås henger en gammel propagandaplakat fra Sovjetunionen som oppfordrer til hemmelighold, med slagordet «Ikke prat!». (Foto: Gorm K. Gaare)

Alle tilsettingssaker siden april 2022 har ifølge NSM ligget med feil tilgangskode i selskapets arkivsystem. Dette har gjort at interne vurderinger som er gjort i tilknytning til aktuelle søkere har vært fullt tilgjengelige for alle ansatte å lese, ifølge NSMs avviksmelding.

Normalt skal bare et mindre antall navngitte HR-medarbeidere og ledere ha adgang til disse svært sensitive personalopplysningene.

NSM hadde opprinnelig, ifølge avviksmeldingen, bestemt at det ikke var nødvendig å informere de mange berørte søkerne om sikkerhetsbruddet. Dette ble begrunnet med «lav risiko».

Etter at DN tok kontakt om saken mandag, skriver NSM til DN at man er i prosess med å informere jobbsøkerne i de aktuelle sakene om at det har skjedd et brudd på personvernet.

Lese interne vurderinger

Informasjonen som samtlige ansatte fikk tilgang til var blant annet søkerlister, innstillinger, detaljer om søkernes utdannelse og erfaring, samt interne vurderinger av aktuelle søkere til utlyste stillinger. NSM mener avviket har begrensede konsekvenser for søkerne som er berørt av informasjonslekkasjen, så lenge opplysningene ikke spres utenfor NSM.

«Det vurderes at avviket har svært få konsekvenser for de berørte personene» heter det i avviksmeldingen.

Avdelingsdirektør for fellestjenester i NSM, Åshild Hauge Egerdal, bekrefter i en epost at NSM 7. august mottok varsel fra en ansatt om at det var mulig for andre ansatte i NSM å søke opp og få tilgang til forslag til innstillinger i ansettelsesprosesser i NSM.

Les også: Kongsberg-ingeniører lokket med attraktive jobbtilbud som inneholdt spionvare

– Varselet ble umiddelbart fulgt opp, og det viser seg å være menneskelig svikt i registrering og tilgangsstyring i 22 ansettelsessaker tilbake til oktober 2022. Disse sakene er registrert av en og samme ansatt, og er hverken systemsvikt eller teknisk betinget, sier hun.

– Det er ikke avdekket at noen uten tjenstlig behov har vært inne i noen av disse sakene før 3. august i år, sier hun og legger til at feilen kun har vært kjent for noen få ansatte.

– NSM skal være Norges fremste myndighet når det kommer til digital sikkerhet. Hvordan kan noe slikt da skje?

– Dette skal selvfølgelig ikke skje. Det er spesielt uheldig i NSM som jobber med økt sikkerhetskultur i norske virksomheter hver eneste dag. Dette er en sak vi skulle vært foruten, sier Egerdal.

Behandles av Datatilsynet

Datatilsynet skal nå behandle saken. Sikkerhetsmyndigheten opplyser i avviksmeldingen at man har startet arbeidet med å endre tilgangskodene, slik at bare et lite antall navngitte personer skal kunne se sensitive opplysninger fremover.

Ifølge NSM logges tilgangen til arkivsystemet og man er i stand til å se at kun «et lite antall ansatte» har faktisk sett på opplysningene. Det skal spesielt være to-tre ansatte som har sett på en eller flere saker knyttet til egen avdeling, ifølge avviksmeldingen.

Til DN sier NSM imidlertid at de ikke har sett at noen har søkt i dokumentene uten tjenstlig behov i hele perioden. Den som faktisk var inne, var den som varslet, ifølge NSM.

– Som ledd i vår informasjonsbehandling har vi innebygd sporbarhet, som gjør at vi har oversikt over hvem som har åpnet dokumentene, sier Egerdal.

Les også: Avansert Kongsberg-teknologi endte opp hos forsvaret i Myanmar dnPlus

NSM lover å styrke opplæringen av saksbehandlere, for å unngå en lignende svikt i fremtiden. NSM vurderer dessuten også å innføre teknologiske sperrer som kan forhindre ansattes tilgang til sensitive dokumenter.

På spørsmål om saken representerer et omdømmetap for NSM, som lærer bort til andre virksomheter hvordan de skal håndtere digital informasjon sikkert, og ikke minst nasjonal sikkerhet, svarer Egerdal i NSM:

Vis alle stillinger

– NSM jobber med å gjøre Norge i stand til å beskytte seg mot spionasje, sabotasje, terror og sammensatte trusler. Vi vet bedre enn noen at svakheter og sårbarheter kan bli utnyttet. Dette er en påminnelse på at feil kan skje. Og at når de skjer, må man håndtere sikkerhetsbrudd på en god måte, og lære av hendelsene. Det viser hvor viktig det er å jobbe med sikkerhetskultur hver eneste dag – også hos oss.

(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.