113-rapporten:
Ingen funn som indikerer inkompetanse eller sabotasje i Telenors nett
Telenor får direkte tilbakemelding fra NKOM om at selskapet ikke har vært gode nok i sine revisjoner av tele-entreprenørene. Men Nkom understreker at 113-feilene nok heller skyldes uhell enn inkompetanse.
NKOM-sikkerhetssjef Svein Sundfør Scheie
Leif Martin Kirknes
Saken oppsummert
leif.kirknes@lomedia.no
I dag ble det kjent at Telenor kan få rekordbot fra Nkom etter de fire rundene med nødnummer-trøbbel i fjor høst.
50 millioner kroner har NKOM foreslått etter at 110, 112 og 113 på ulike tider slo seg vrang mellom august og november.
Les også: Telenor slaktes i rapport om nødnummer
Under rapportframleggelsen sa sikkerhetsdirektør i Nkom, Svein Sundfør Scheie, at de ikke kunne gå i detalj om eksakt hva som hadde skjedd, av sikkerhetshensyn. Av 22 avvik det har funnet er 12 av dem unntatt offentlighet.
Men blant hovedpunktene i rapporten går det fra at NKOM mener Telenor ikke har gjort tilstrekkelig revisjon av underleverandører til Telenor Norges infrastruktur. Det er en avgjørende rolle i verdikjeden, poengterer NKOM.
«Det er viktig at slike revisjoner gjennomføres for å sikre at underleverandørene følger opp krav og at de gjennomfører gode risikovurderinger knyttet til oppdragene.»
Urolige EL og IT-montører
Det er telekommontører som jobber på norske ekom-nett. Flere av disse er organisert i EL og IT Forbundet. Tillitsvalgte i dette miljøet har i årevis advart om at de frykter det potensielt kan oppstå problemer på fibernett og 5g-Nett.
Blant annet har de poengtert at det ikke er noe kompetansekrav som for eksempel fagbrev for å kunne kalle seg telekommontør. De har også stilt spørsmål ved om teleselskapene har kontroll på hvilke personer som egentlig jobber med norske telenett, da de i sin bransje opplever flere ledd underleveranser og observerer varebiler med totalt ukjente firmalogoer.
Les også: «Utro tjenere» kan sabotere internett i Norge
Telenor har sammen med de to andre tele-operatørene Telia og Ice sagt til Nettverk at de mener de har kontroll. De har svart at de har en omfattende og god sikkerhetsovervåking i bunn, god kontroll på utstyr og sikkerhetstiltak ut fra trusselbildet. Entreprenører og underentreprenører må følge Telenors leverandørregelverk, som inspiseres og revideres, har Telenor sagt.
Likevel er dette altså et punkt der Telenor nå får direkte tilbakemelding fra NKOM om at selskapet ikke har vært gode nok i sine revisjoner.
Neppe inkompetanse eller innsidere
Men overfor Nettverk understreker NKOM-sikkerhetsdirektør Scheie at de ikke har funnet at nødnumrene har vært rammet av noen problemer knyttet til hvem som har utført arbeidet. Noen har nok gjort en feil, men det har vært uhell heller enn inkompetanse, ifølge Scheie.
– Men hvorfor skjer uhell? De skjer gjerne fordi man ikke har systematisk tilnærming til arbeidet, påpeker han.
Han understreker at NKOM i sin siste sårbarhetsanalyse (Ekom-ROS) advarer mot innsidere og utro tjenere, men legger til at de mene Telenor i denne situasjonen har hatt god kontroll på hvem de har hatt inne.
– Det er ikke noe funn knyttet til inkompetanse eller at man ikke har visst hvem det er som har jobbet i nettene, sier han.
Om selve feilen forklarer Scheie at det har skjedd flere feil på samme tid. Og at flere feil har ligget latent i systemet over lengre tid, som først fikk konsekvenser etter å ha blitt utløst av det Scheie omtaler som «konkrete hendelser» uten å spesifiserer ytterligere.
NKOM-sjef John Eivind Velure og sikkerhetssjef Svein Sundfør Scheie rett etter dagens rapportframleggelse.
Leif Martin Kirknes
Mangel på kontroll om korrekt utførelse
Rapporten framhever også at den mener Telenor ikke har gjennomført planlagt arbeid på forsvarlig vis og ikke har hatt forsvarlig sikkerhet vet gjennomføring av planlagt arbeid.
«Det betyr blant annet at selskapet ikke har hatt tilstrekkelig kontroll på at oppgaver er utført korrekt, at ansvar ikke er overført når personell har sluttet og at de ikke godt nok har vurdert mulige konsekvenser av det planlagte arbeidet,» utdyper rapporten.
Nkom mener at Telenor ikke har gjort tilstrekkelige risiko- og sårbarhetsvurderinger knyttet til lovpålagt ansvar for hele verdikjeden til nødmeldetjenesten i Norge, heter det også i rapporten. Det er noe de fant ut da de ba om innsyn i slike rapporter, og fant mangler og/eller utdaterte vurderinger.
Telenor har ikke vært flinke nok til å teste eller evaluere selve nødnummerfunksjonaliteten, ifølge NKOM. Selskapet har heller ikke hatt god nok sikring i form av reserveløsninger.
Og så er da altså selve hovedsaken at nødnumrene ikke har fungert, som er et potensielt kjempeproblem for tilliten i et gjennomdigitalisert samfunn som Norge. Disse feilene ble heller ikke varslet riktig til Nkom, mener Nkom, som bemerker at media fikk vite om hendelsene før dem.
Nå åpner NKOM for å spre ansvaret for nødnummer til de andre netteierne.
Alle krefter
Telenor må videre fikse opp i de 22 avvikene som er funnet. De må sjekke at det ikke finnes tilsvarende avvik i andre områder. Og finne ut hvordan avvikene kunne skje, slik at det ikke kan skje igjen.
Innen 1. juni må de lage en handlingsplan om hvordan de skal løse avvikene, med konkrete datoer. Men først har de tre ukers tid på seg til å komme med kommentar til Nkoms rapport og eventuell innsigelse på boten.
Nkom tar også med seg lærdommen videre og vil blant annet ha det i mente når nødetatenes nødnett-samband skal oppgraderes eller byttes.
Telenor skal nå gå grundig gjennom Nkom sin foreløpige rapport, og vil gi sitt tilsvar, opplyser selskapet.
– Vi tar hendelsene i fjor på største alvor og beklager på det sterkeste at folk ikke kom fram til nødnumrene. Vi har alltid drevet tjenesten med svært høy oppetid, og har satt alle krefter inn for å sikre at lignende hendelser ikke igjen skal kunne skje. Nødnumrene i Norge skal virke, skriver administrerende direktør i Telenor Norge, Birgitte Engebretsen, i en pressemelding.
Birgitte Engebretsen, her fotografert på NHOs årskonferanse.
Leif Martin Kirknes
Kostbart å drifte
Engebretsen peker på at myndighetene og mobiloperatørene bør jobbe sammen om nye og forenklede løsninger for å bedre robustheten i nødmeldingstjenesten.
– Vi opplever en god dialog med nødetatene, men vi etterlyser fra Nkom og øvrige myndigheter bedre samsvar mellom deres forventninger til sikkerhet og robusthet på den ene siden, og hva de bestiller og er villige til å betale for på den andre siden, sier Engebretsen.
Hun mener at Nkoms lovtolkning, størrelsen på boten og konsekvensene av pålagte tiltak risikerer å gjøre det umulig for mobilselskap å drive nødmeldingstjenesten framover. Telenor blir målt opp mot andre krav enn de som ligger i de kommersielle avtalene som ble inngått med nødetatene, ifølge Engebretsen.
Hun er ellers positiv til Nkoms forslag om at flere aktører kan drive nødmeldingstjenesten, og avslutter med at hun derfor er bekymret for at Nkoms krav nå vil gjøre dette vanskeligere.
For øvrig skal digitaliseringsminister Karianne Tung motta en rapport om nasjonal kontroll med digital infrastruktur i morgen, fredag, som potensielt kan føre med seg flere interessante perspektiver om driften av norske ekom-nett.
