En del av Norges kritiske infrastruktur sviktet på fredag. Rundt én million Telenor-kunder var uten mobildekning fra klokken 11.30 til 15.00, da selskapet lyktes med å normalisere trafikken.
I sin foreløpige redegjørelse sier Telenor at det ble sendt «uvanlig signalering» fra en annen internasjonal operatør inn i deres nett. Den inneholdt meldingstyper som forekommer «svært sjeldent».
Programvare fra Ericsson feiltolket denne svært sjeldne signaleringen. Dermed stoppet deler av mobiltrafikken opp.
Ericsson har både identifisert hvordan feiltolkningen av signaleringen forekom og gjennomført nødvendig feilretting, opplyser Telenor.
Fra 1970-talet
Den offisielle forklaringen er blottet for detaljer. Vi har derfor forsøkt å innhente mer informasjon om hendelsen.
Utfallet fredag skjedde etter uvanlig trafikk med såkalt SS7-signalering. Det bekrefter kommunikasjonsdirektør Torlid Lid Uribarri i Telenor Norge overfor digi.no.
– Det stemmer at signaleringen var over SS7. Det er ikke noe problem i seg selv. Det som er utfordringen er programvaren fra Ericsson som ikke håndterte selve signaleringen. Der venter vi på endelig sluttrapport fra Ericsson, sier Uribarri til digi.no.
- Sårbarhets-utvalget: Telenor bør få konkurranse
Gammelt og sårbart
SS7 er et gammelt, globalt signaliseringssystem (Signalling System No. 7) eller rettere sagt et sett med protokoller for transnasjonal og nasjonal kommunikasjon mellom teleoperatører.
Det kan betraktes som limet i alle teleoperatørenes pakkesvitsjede nettverk. Med helt avgjørende funksjonalitet som blant annet gjør det mulig å sette opp samtaler, riktig dirigering av anrop, korrekt fakturering av bruken osv.
SS7 har en myriade av ulike funksjoner. Akkurat hvilken sjelden meldingstype som førte til driftstans i Telenors nett får vi ikke vite nå.
Systemet ble utviklet basert på tillit mellom de gamle telemonopolistene verden over. Signalene sendes ukryptert på lukkede nettverk mellom verdens teleoperatører. De er det som kjent blitt mange av. Ifølge bransjeorganet GMSA finnes det over 1000 mobiloperatører.
Tyske forskere avslørte i 2014 at det antatt lukkede systemet er sårbart, og kan misbrukes til alt fra overvåking av mobilbrukere til svindel.
– SS7 er grunnlaget eller kall det grunnoperativsystemet for alle telenettverk. Det er en velfungerende standard utviklet på 1970-tallet. Gitt alderen vi snakker om her er det protokoller med sårbarheter, sier avdelingsdirektør Einar Lunde i Nkom til digi.no.
- Bakgrunn: – Et perfekt spionverktøy
– Vi har å gjøre med en gammel standard. En standard man delte i fortrolighet mellom de gamle monopolistene, som nå er tilgjengelig for flere. Og det er en sårbarhet. Virkeligheten har tatt igjen teknologien, fortsetter Lunde.
Samtidig vedgår han at det ikke finnes noe klart alternativ til SS7 i dag. Situasjonen blir riktignok noe bedre ved at teleselskapene etter hvert går over til IP-basert samband.
De gammeldagse protokollene gjør det for eksempel mulig for en person i Norge å ringe til noen i Albania uten større problemer. Eller som i vårt tilfelle å ringe Lunde, som akkurat nå er på den store mobilkonferansen i Barcelona.
– Ingen indikasjoner på angrep
Overfor vår søsterpublikasjon Inside Telecom røper kommunikasjonsdirektør i Telenor Torild Lid Uribarri at den aktuelle operatøren er europeisk, men hun ønsker ikke navngi selskapet.
Videre understreker Uribarri at Telenor ikke har noen indikasjoner på og finner det lite sannsynlig at signaleringstrafikken fra den andre operatøren har hatt til hensikt å skape de konsekvenser som oppsto.
– Vi har ingen indikasjoner eller mistanke om at dette var ondsinnet, gjentar kommunikasjonsdirektøren til digi.no. Hun legger til at de har stilt mange spørsmål til Ericsson som de nå venter på svar fra.
Telenor har også gitt bekjed til den aktuelle europeiske operatøren om hendelsen, og bedt selskapet iverksette tiltak for meldingstypen som skapte problemene.
– Så vil vi ha ordentlig dialog med dem denne uken, sier Uribarri.
Samme konsekvens
Heller ikke myndighetene har indikasjoner på angrep, men som avdelingsdirektør Einar Lunde i Nkom mener, kan de sårbare protokollene bli misbrukt.
– Konsekvensen for Telenors nett er den samme som dersom dette hadde vært et ondsinnet angrep, sier Lunde til digi.no.
– I hvilken grad er dere fornøyd med den tekniske årsaksforklaringen Telenor har gitt?
– Vi er ikke fornøyd med noe som helst. Vi har ennå ikke fått den endelig rapporten fra Telenor. Telenor har vært veldig åpne med oss om hva som har skjedd, men historien er ennå ikke ferdig fortalt. Først når vi får den vil vi gå inn å vurdere. Før vi har totalbildet kan vi ikke konkludere, sier han.
Normalt vil teleoperatøren ha et par uker på seg til å gi myndighetene en endelig rapport om hva som skjedde. Nkom har tidligere bøtelagt Telenor for svikt i mobilnettet. Er det aktuelt nå?
– En såkalt overtredelsesbot er ett av verktøyene vi har i skrinet. Det er alt jeg kan si om det. Sist gang Telenor fikk bot var det uaktsomhet i drift som førte til utfallet. Det er en viktig distinksjon.
- Fikk 9 millioner kroner i bøter etter dette: Feilslått oppgradering ga full stans
Nye krav til operatørene
De sårbare SS7-protokollene er slett ingen ny utfordring. I lengre tid har det vært demonstrert hvordan disse kan utnyttes, også til overvåking av mobiltelefoner.
Nettopp det å tette disse sikkerhetshullene var bakgrunn for at de fire nordiske telemyndighetene før jul i fjor gikk sammen om å lage en «beste praksis»-anbefaling om tiltak mot såbarheter i elektroniske kommunikasjonsnett.
– Det har vært et dokument og en anbefaling, men vi kommer til å gjøre mye av dette til krav for teleselskapene, sier Lunde til digi.no.