Henleggelse av Nødnettsaken

PST iverksatte etterforsking 10. februar 2017, på grunnlag av mistanke om at det forelå overtredelser av sikkerhetsloven i forbindelse med tjenesteutsetting av oppgaver ved drift av nødnettet. Nødnettet er et digitalt samband for politi, brannvesen, helsetjenesten og andre viktige samfunnsfunksjoner.

Etterforskingen ble innrettet mot foretaket Broadnet AS som høsten 2015 hadde valgt å tjenesteutsette deler av sin IT- og nettverksdrift til teknologiselskapet Tech Mahindra Ltd. Avtalen innebar at deler av arbeidsoppgavene kunne bli tjenesteutsatt til India. I desember 2016 ble det avdekket uautorisert bruker-tilgang til Broadnets systemer fra Tech Mahindra i India, omtalt i media som «Nødnettsaken».

Det er gjennomført en omfattende etterforsking i saken. Denne har bestått av innhenting, sammenstilling og analyse av informasjon fra alle relevante aktører, herunder politiavhør av nøkkelpersoner. Tilsynsmyndighetene NSM (Nasjonal sikkerhetsmyndighet) og Nkom (Nasjonal Kommunikasjons-myndighet) har gjennom stedlige tilsyn vært sentrale premissleverandører for resultatet av etterforskingen.

Etterforskingen har avdekket flere avvik fra sikkerhetslovens krav. Avvik gjelder blant annet svakheter i den generelle sikkerhetsforståelsen hos flere aktører knyttet til nødnettet. Det er likevel ikke avdekket klare, straffbelagte lovovertredelser. Hjemmelsgrunnlaget for å kunne ilegge straff etter sikkerhetsloven med forskrifter er uklart. 

Etter en samlet vurdering av sakens faktum opp mot rekkevidden av sikkerhetsloven med forskrifter og hensynet til en sikkerhetsmessig forsvarlig drift av nødnettet, er det besluttet å innstille etterforskingen og henlegge saken som avgjort utenfor straffesak (016). 

Det legges i denne forbindelse til grunn at tilsynsmyndighetene NSM og Nkom i den videre oppfølgingen kan gi pålegg knyttet til drift og at Nkom også kan ilegge gebyr. 

Nærmere om saken

Bakgrunn

Tirsdag 7. februar 2017, forut for oppstart av etterforskingen, publiserte NRK en artikkel med tittelen «Driftet nødnettet ulovlig fra India». Av artikkelen fremkom det at «IT-arbeidere i India har hatt full tilgang til nødnettet, i strid med sikkerhetsloven. Inderne har ingen gyldig autorisasjon og ikke nødvendig sikkerhetsklarering». Det ble fra flere hold fremsatt påstander om at det forelå alvorlige sikkerhetsbrudd i driften av nødnettet.    

«Politi, ambulanse, brannvesen og sykehusene er blant viktige samfunnsfunksjoner som er avhengige av at nødnettet fungerer. Nødnettet skal sørge for rask kommunikasjon ved blant annet store ulykker, naturkatastrofer, politiutrykninger og terroraksjoner. Det norske nødnettet er regnet for å være kritisk infrastruktur og er helt sentralt for rikets sikkerhet».

«Nødnettet er omfattet av sikkerhetsloven og skal driftes fra Norge. Nødnettet er en offentlig tjeneste, men nettet drives av private og kommersielle selskaper som Motorola og Broadnett. Sistnevnte eier linjer som de leier ut til Nødnett, men selve driften av linjene er outsourcet til det indiske selskapet Tech Mahindra. Broadnett har gjennom skriftlige avtaler med myndighetene forpliktet seg til at alt skal drives fra Norge».

Ifølge NRKs artikkel ble bruddet på sikkerhetsrutinene avdekket ved en tilfeldighet. Torsdag 22. desember 2016 oppdaget en ingeniør hos Motorola i Norge at en indisk ansatt hos Tech Mahindra i Pune i India jobbet direkte mot nødnettet. Ingeniøren varslet sjefen om den uautoriserte påloggingen, og hendelsen ble deretter rapportert til Direktoratet for nødkommunikasjon (DNK).

På bakgrunn av omstendighetene og resultatet av egne, innledende undersøkelser, fant PST at det forelå rimelig grunn til å undersøke om det forelå straffbart forhold jf. straffeprosessloven § 224 jf. § 226 litra a-c, og iverksatte etterforsking.

Formålet med etterforskingen har vært å undersøke om det forelå straffbar overtredelse av Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) av 20.3.2010 § 31. Sentralt sto spørsmålet om uautorisert personell var gitt tilgang til skjermingsverdige objekter i strid med loven.

Juridiske og påtalemessige aspekter

Etterforskingen har avdekket mangelfull etterlevelse av sikkerhetslovens krav hos Broadnet på flere punkter. Det er identifisert avvik innen områdene risikostyring, informasjons- og objektsikkerhet og revisjoner. Avvikene beskriver forhold på et sentralt og overordnet nivå innen informasjons-sikkerhet, som må lukkes.

Flere bestemmelser i sikkerhetsloven er belagt med straff jf. § 31. Et sentralt spørsmål i denne saken har vært hvorvidt det er straffbelagt å gi uautorisert personell tilgang til skjermingsverdige objekter gradert BEGRENSET.

I følge § 19 første punktum skal personer som gis tilgang til skjermingsverdig informasjon autoriseres. Det følger videre av bestemmelsens ordlyd at tilgang til informasjon gradert KONFIDENSIELT eller høyere forutsetter både sikkerhetsklarering og autorisasjon. Av dette følger at tilgang til skjermingsverdige objekter gradert BEGRENSET, kun krever autorisasjon, jf. også § 3 nr. 20 om autorisasjon. Overtredelse av § 19 er ikke straffbar jf. § 31 

Et annet sentralt spørsmål har vært hvorvidt det å gi utenlandsk, uautorisert personell tilgang til objekter gradert BEGRENSET er brudd på forskrift om objektsikkerhet § 3-6, og således straffbar jf. § 31 jf. §17.

Det følger ikke direkte av forskriften § 3-6 at tilgang til BEGRENSET krever autorisasjon. For å innfortolke at et slikt krav følger av forskriften § 3-6, forutsettes innholdet i § 3 nr. 20 og § 19 å gjelde implisitt. Hjemmelsrekken for å konstatere en straffbar handling er altså mangelfull.

I tillegg kommer at det ved en nærmere undersøkelse av forskrift om objektsikkerhet og sikkerhetsloven § 17, andre ledd kan være grunn til å reise spørsmål om det foreligger en henvisningsfeil. Hjemmelen må, etter ordlyden, være § 17, tredje ledd. Samtidig kan det vanskelig argumenteres matrielt for at sikkerhetsloven § 17 kan hjemle noe mer enn forskriftens kapittel 2. Kapittel 3, herunder § 3-6 synes innholdsmessig å relatere seg til sikkerhetsloven § 17a og/eller 17b, som ikke er straffbelagt jf. § 31.

Lovens forarbeider gir ikke svar på hjemmelsrekken for forskrift om objektsikkerhet. Det finnes heller ikke relevant veiledende rettspraksis.

Samlet sett fremstår hjemmelsgrunnlaget for å ilegge straff etter sikkerhetsloven i denne saken som uklart. Med referanse til legalitetsprinsippet og det særlige kravet til klarhet som gjelder for å ilegge straff, er dette en omstendighet som taler for å innstille etterforskingen.    

Et annet aspekt er at etterforskingen etterlater et inntrykk av at det har vært mangelfull formidling av informasjon mellom myndighetene om bl.a. logiske objekters (datasystemers) risikoverdi. I tillegg synes det også å kunne konstateres mangelfull oppfølging og dialog mellom myndighetene og private aktører, herunder Broadnet. Broadnet synes således ikke å ha hatt tilstrekkelige forutsetninger for å innrette virksomheten i tråd med sikkerhetslovens krav. Forståelse av risiko forbundet med skjermingsverdige objekter er sentralt for å fastsette riktig graderingsnivå og for å etterleve lovens system og krav.

Slik saken står nå, finner PST det korrekt å innstille etterforskingen og hensiktsmessig å henlegge den som avgjort "utenfor straffesak". PST legger til grunn at tilsynsmyndighetene fullfører pågående tilsyn, både hva gjelder beskrivelser av funn, pålegg og videre oppfølging.

Henleggelsen innebærer ingen konstatering av straffeskyld hos noen aktør, men heller ingen konstatering av at Broadnet eller andre aktuelle aktører har opptrådt i tråd med sikkerhetslovens krav. Tvert i mot synes det klart at ansvarlige myndigheter og aktører må ta grep for å sikre at skjermingsverdige objekter beskyttes slik de skal i henhold til loven.

Politiets sikkerhetstjeneste, Den sentrale enhet, tirsdag 21. november 2017