Det er behov for en nærmere avklaring av funksjoner som skal støtte opp under vitale nasjonale sikkerhetsinteresser – eksempelvis Nødnett, bør være under tydeligere nasjonal kontroll og hvordan. Dette er en av konklusjonene i den ugraderte redegjørelsen fra tilsynene i den såkalte nødnett-saken. Det er også avdekket at det ikke var inngått sikkerhetsavtaler med alle underleverandører der det var nødvendig. I forbindelse med IKT-tjenesteutsetting ble det funnet tilfeller av uautorisert tilgang.
I desember 2016 ble nødnett-saken kjent. Den satte fokus på tjenesteutsetting til utlandet. Motorola avdekket da uautorisert tilgang til deler av Broadnets systemer fra driftspersonell hos Tech Mahindra i India. Nødnett-avtalen er organisert slik at Motorola som hovedleverandør har tilnærmet et totalansvar for drift av Nødnett.
Sikkerhetsavtaler og underleverandører
– Ved tilsynene med Nødnett ble det avdekket at det ikke var inngått sikkerhetsavtaler med alle underleverandører der det var nødvendig, heter det i redegjørelsen. Det forelå ulik oppfatning mellom DSB og hovedleverandør for Motorola om hvem som hadde ansvaret for sikkerhetsmessig oppfølging av underleverandører, noe som medførte at slik oppfølging ikke i tilstrekkelig omfang ble gjennomført med alle relevante underleverandører. Broadnet hadde ikke kontrollrutiner på plass som kunne oppdage om det var gitt tilganger ut over det som var tilsiktet.
I redegjørelsen understrekes det at det er DSB som er anskaffende myndighet og eier av de skjermingsverdige objektene i Nødnett. DSB må bære hovedansvaret for å korrigere avvikene som NSMs tilsyn har avdekket. Imidlertid burde Motorola som hovedleverandør til Nødnett vært den nærmeste til å opplyse DSB om både teknologiske og andre sårbarheter.
Overtredelsesgebyr
NSM har gitt tilsynsobjektene pålegg om å korrigere avvikene for å bringe forholdene i samsvar med regelverket. DSB skal innen 1. desember 2017 fremlegge en tidfestet handlingsplan for korrigering av avvikene ovenfor NSM. Nkom har gitt Broadnet pålegg om å korrigere avvikene for å bringe forholdene i samsvar med regelverket. Det er gitt pålegg om umiddelbar korrigering av ett avvik, øvrige avvik skal korrigeres innen 26. januar 2018. Nkom har varslet Broadnet om at de vil bli ilagt et overtredelsesgebyr for forholdet.
Utsetting av tjenester er i seg selv ikke negativt. Viktige forutsetninger for å få til en vellykket tjenesteutsetting er å ha kontroll på egne verdier, kjenne egne sårbarheter og trusselbildet før man starter prosessen. Ansvaret for sikkerheten kan ikke settes ut, presiseres det i redegjørelsen, og:
– Tjenesteutsetting av funksjoner som skal støtte opp under vitale nasjonale sikkerhetsinteresser – eksempelvis Nødnett, vil være mer krevende når det gjelder risikovurderinger, sikkerhets- og kontrolltiltak. Det er behov for en nærmere avklaring av om slike funksjoner bør være under tydeligere nasjonal kontroll og hvordan.
Be the first to comment
on "Var ikke inngått sikkerhetsavtaler med alle underleverandører i vital IKT-avtale"