Aftenpostens søken etter hvem som har ansvaret for datasikkerheten i nettet ble en rundtur i norsk byråkrati.

I forrige uke la en etterretningskomité i den amerikanske kongressen frem en rapport som konkluderte med at Kina og selskapet Huawei har muligheten til og motivet for å drive spionasje. Komiteen advarer mot å la Huawei slippe til i viktig infrastruktur. Selskapet er også blitt utestengt fra nettutbygging i Australia, og det samme signaliseres nå fra Canada.I Norge leverer Huawei mobilmaster til hele Telenors mobilnett og mye av NetComs mobilnett. Til tross for at mobilnettet har fått en svært sentral og samfunnskritisk rolle i det norske samfunnet, er det opp til teleselskapene å sørge for at leverandørene er til å stole på.

Stortingsrepresentant Anders B. Werp (H) har fulgt saken tett i USA og Europa, og har nylig rettet spørsmål om Huawei og sikkerheten i kritisk infrastruktur til både forsvarsminister Anne-Grete Strøm-Erichsen (Ap) og samferdselsminister Marit Arnstad (Sp). Strøm-Erichsen har foreløpig ikke besvart spørsmålet.

Har tillit til selskapene

Arnstad sa til Stortinget i forrige uke at sikkerheten tas svært alvorlig, og at hun er kjent med bekymringen for at Kina kan hente ut informasjon og ta over styringen av den elektroniske kommunikasjonen.

- Post— og teletilsynet fører tilsyn med sikkerheten i de norske ekomnettene etter ekomloven. Telenor er i tillegg underlagt bestemmelser i sikkerhetsloven og plikter å klarere kritiske anskaffelser med nasjonale sikkerhetsmyndigheter og ivareta tilstrekkelig sikkerhet etter sikkerhetsloven. Jeg har tillit til at tilbyderne gjør de nødvendige risiko- og sårbarhetsanalyser ved valg av leverandør, sa Arnstad.

Ikke bedt om klarering

Men Nasjonal sikkerhetsmyndighet (NSM) er ikke bedt om å klarere denne anskaffelsen, ifølge informasjonssjef Kjetil Berg Veire i NSM. Han bekrefter at det er opp til selskapene å vurdere om det dreier seg om en «sikkerhetsgradert anskaffelse».

I så fall skal NSM sikkerhetsklarere og føre tilsyn.

- Men det er ikke tilfelle i denne saken. Telenor har vurdert det til ikke å være en sikkerhetsgradert anskaffelse, og vi har dermed ikke sikkerhetsklarert, eller ført tilsyn med Huawei i denne saken, sier Veire.

Han henviser til Post - og teletilsynet (PT) på spørsmål om deres vurdering av sikkerheten i mobilnettet. Men heller ikke PT vurderer sikkerheten i leverandørene til mobilnettet.

- Huawei bygger ut mobilnettet for Telenor og for NetCom sør for Sognefjorden. Hvordan vurderer dere sikkerheten knyttet til Huawei?

- Vi vurderer ikke direkte leverandørene til netteierne og har derfor ikke foretatt noen vurdering av Huawei. Det er ikke vår rolle å holde den ene leverandøren opp mot den andre på utstyrsnivå. Det er de som eier nettene som selv garanterer for sikkerheten i sine nettverk og så skal vi som tilsynsmyndighet etterse at de gjør det på en forsvarlig måte, sier avdelingsdirektør Elisabeth Sørbøe Aarsæther.

Overlatt til teleselskapene

Kenneth Fredriksen, sjef for Huaweis operasjoner i Norden, Sentral- og Øst-Europa, bekrefter at norske myndigheter ikke har sjekket sikkerheten i utstyret selskapet leverer til det samfunnskritiske mobilnettet.

- Norske myndigheter går ikke aktivt inn. Ansvaret ligger hos kunden, altså Telenor og NetCom, forteller Kenneth Fredriksen, sjef for Huaweis operasjoner i Norden, Sentral- og Øst-Europa.

Ansvaret for sikkerheten i nettet, er altså overlatt til de private teleselskapene.

Telenors kommunikasjonsdirektør Torild Lid Uribarri opplyser at all deres drift er basert på risikovurdering, og at de selv overvåker nettet.

- Alt vi gjør, er basert på risikovurdering og vi monitorer kontinuerlig fra vår egen drifts- og sikkerhetsorganisasjon hvordan tilgjengelighet og kapasitet i nettet er for våre kunder.

Vi er eier av nasjonal kritisk infrastruktur og gjør risikovurdering løpende for å sikre at vi ikke setter samfunnskritiske funksjoner i fare. Vi gjør risikovurdering basert på gjeldende lover og forskrifter, og det eksisterende trusselbildet. Trusselbildet innen cyber er komplekst og består av alt fra fremmed etterretning, industrispionasje, organisert kriminalitet, enkeltsvindlere og enkeltindivider som ønsker å jobbe på feil side av loven, skriver Uribarri.

Skremmende

Venstre-leder Trine Skei-Grande mener det er skremmende at Norge ikke har et mer bevisst forhold til sikkerheten i mobilnettet.

- Dette er selve bunnen i infrastrukturen, som mange systemer er knyttet opp mot. Det virker som om at Norge ikke har et bevisst forhold til dette fordi vi har tidligere statlige selskaper som vi regner med tar ansvar.

Det virker som at det ikke er tenkt gjennom følgene av dette, sa Grande til Aftenposten i forrige uke.

- Holder det ikke å stole på Telenor?

- Telenor har som oppgave å tjene penger for sine aksjeeiere. Norge som nasjon må ha et litt større perspektiv på det, og sikre denne vesentlige infrastrukturen, sier hun.

Det kinesiske selskapet Huawei har bygget ut det nye 4G-nettet i Norge. Selskapet er svartlistet i USA, som frykter spionasje, og det kan bli gransket i Storbritannia.

Bekymret over Kina

- Flere av våre medlemsbedrifter er bekymret over sikkerheten i Kina, og tar sine forholdsregler når de er på reise der, sier direktør Kristine Beitland i Næringslivets Sikkerhetsråd.

Hun opplyser at mange norske bedriftsrepresentanter ikke tar med seg nettbrett eller smarttelefoner som kan koble seg på trådløse nettverk i Kina.

- Dette skyldes frykt for informasjonssikkerheten og IKT-kriminalitet.- Er det ikke da bekymringsfullt at norske sikkerhetsmyndigheter ikke fører tilsyn med Telenors bruk av det omstridte kinesiske selskapet Huawei når de bygger ut mobilnettet i Norge?

- Jeg har tillit til at Telenor, som en stor aktør, har tatt de nødvendige forholdsregler. Jeg vet at de har gjort vurderinger når det gjelder trusselbildet, sier Beitland, som opplyser at Telenor er blant medlemsbedriftene i Næringslivets Sikkerhetsråd (NSR).

Best på sikkerhet

Hun sier at hun er mer bekymret for den generelle bevissthet rundt informasjonssikkerhet i norsk næringsliv, og da spesielt i små og mellomstore bedrifter.

- Forsknings— og utviklingsbedrifter og større virksomheter er mest utsatt, men er også best på sikkerhet, sier Beitland.

Hun peker på at NSRs mørketallsundersøkelse for 2012 viser et økende gap mellom trusler og sikkerhetstiltak, parallelt med at IT-avhengigheten øker.

- Norske virksomheter, særlig ledere, mangler kunnskap om informasjonssikkerhet og har ikke oversikt over trusler og hendelser.

Dette kan forklare at mange virksomheter ikke har tatt i bruk tilgjengelige sikkerhetstiltak og heller ikke har fokusert på sikkerhetskultur, sier Beitland.