Broadnet brøt loven
Nasjonal kommunikasjonsmyndighet (Nkom) har pålagt Broadnet å rette flere feil, samt varslet om overtredelsesgebyr.
Nkom har i en pressemelding omtalt flere alvorlige tilfeller av sikkerhetssvikt hos Broadnet. I september varslet Nkom at Broadnet måtte rette opp i en rekke avvik. Dette kom som resultat av tilsyn i ”nødnettsaken” som ble bredt omtalt. Dette kom med bakgrunn av at det allerede i januar var oppdaget avvik i selskapets sikkerhetsrutiner.
Det er ikke bare Nkom som har engasjert seg i saken. Nasjonal sikkerhetsmyndighet (NSM) startet også tilsyn med Broadnet.
Tilsyn
Broadnet er en stor leverandør av infrastruktur til Nødnettet og NSM og Nkom har valgt å se sakene i sammenheng og Nkom har ført sitt tilsyn i hovedsak etter ekomloven, og NSM etter sikkerhetsloven. Myndighetene har deltatt i hverandres tilsynsaktiviteter. Tilsynene har avdekket alvorlige sårbarheter og omfattende svikt i rutiner.
Hendelsene som ble rapportert rundt årsskiftet 2016/2017, handlet om at det var oppdaget uautorisert tilgang til deler av Broadnets styringssystemer. Tilgangen var gitt til personell hos underleverandøren Tech Mahindra som hadde driftsoperasjoner for Broadnet, både i Norge og India.
I forkant av tjenesteutsettingen til India, mottok Broadnet veiledning fra Nkom. Slik veiledning gis for å informere om viktige tema som må adresseres og analyser som må gjøres når en aktør vurderer å sette ut tjenester til drift i utlandet. Blant annet er det forskjeller på hvilke sikkerhetsvurderinger som må gjøres og hvilke tiltak som må iverksettes, ut fra hvilke land som er aktuelle.
Tilsynet med Broadnet i denne saken viser etter Nkoms mening at selskapet ikke fulgte opp veiledningen i tilstrekkelig grad i prosessen med tjenesteutsetting til India.
Gjennom Nkoms tilsyn med Broadnet, kom det frem at personell hos Tech Mahindra var tildelt tilganger de ikke skulle hatt til styringssystemer. Tilgangene kunne potensielt påvirke tilgjengeligheten til nett i Norge negativt for både Nødnett og for andre av Broadnets kunder.
Varsel om overtredelsesgebyr
Oppsummert mener Nkom at Broadnet ikke har gjennomført tilstrekkelige og relevante risiko- og sårbarhetsanalyser knyttet til valget om å drifte deler av sine systemer fra India. Selskapet har heller ikke hatt tilstrekkelige rutiner for å oppdage trusler mot systemene, de har ikke hatt god nok tilgangsstyring til kritiske systemer og har generelt hatt for dårlig sikkerhetskultur.
Broadnet har i løpet av tilsynsperioden meldt at flere av avvikene er lukket, og at hele driften er hentet hjem fra India. Nkoms vedtak retter seg likevel også mot disse delene. Dette fordi tiltakene og rettelsene av både de konkrete bruddene og av bakenforliggende årsaker må dokumenteres.
Broadnet har etter Nkoms mening begått flere alvorlige brudd på ekomloven, og pålegges å rette disse innen 26. januar.
Nkom varsler at Broadnet vil bli ilagt et overtredelsesgebyr for bruddene, og kommer tilbake til omfanget av og innholdet i dette.
