Fra 2006 til 2010 var det plassert en boks, såkalt VDI-sensor, på datanettet til NRK. Boksen er en del av et nettverk med sensorer utplassert hos en rekke statlige og private virksomheter. De er tilknyttet NorCERT, Norwegian Computer Emergency Response Team som drives av Nasjonal Sikkerhetsmyndighet (NSM).
All nett-trafikk til og fra NRK, og de andre som har sensoren installert, ble overvåket av NorCERT. Men da det ble kjent i NRK at NorCERT, og dermed norske myndigheter, også kan få tilgang til datapakkene som sendes til og fra statskringkasteren, ble det tatt affære. VDI-sensorene kan fange opp all datatrafikk, også innhold i filer som blir sendt til og fra kringkasteren.
Kildevern
- Vi gikk ut av dette for noen år siden, bekrefter Nils Bjarne Foss, som er teknologidirektør i NRK til digi.no. Han forteller at begrunnelsen for at de koblet av NorCERTs overvåkningsbokser var hensynet til kildevernet, beskyttelsens pressens kilder har til å gi viktige opplysninger under full diskresjon. Da er det nemlig problematisk at noen teknisk sett kan være i stand til å overvåke nett-trafikken som går inn og ut av Norges største og viktigste nyhetsredaksjon.
Selv om Nasjonal Sikkerhetsmyndighet forsikret NRK om at de ikke sjekket innholdet i datatrafikken, og at de har strenge regler for hvordan denne informasjon håndteres, tok ikke NRK sjansen. De ville ikke ha sensorene i sine systemer.
Selv var ikke Foss med på beslutningen om å delta på NorCERTs program, da dette skjedde før han begynte i kringkasteren. Det er imidlertid på det rene at sikkerhetstjenestene i staten har hatt tilgang til NRKs nett-trafikk i flere år – uten at omverden eller NRKs kilder har visst om dette.
Varslingssystem
Nasjonal sikkerhetsmyndighet har siden 2006 administrert NorCERT, en overvåkningssentral som skal avdekke trusler i kyberrommet. Dette skjer ved at en rekke virksomheter, både private og statlige, har installert et varslingssystem for digital infrastruktur (VDI) i sine nett.
Helt konkret betyr dette at bedriftene og etatene som er med i ordningen har fått fysiske bokser som overvåker nett-trafikken. Dette skjer blant annet ved såkalt dyp pakkeinspeksjon, det vil si at NorCERT kan sjekke ned på filnivå hva som blir sendt inn til en bedrifts nettverk og hva som blir sendt ut.
- Samler ikke inn innholdsinformasjon
Kjetil Berg-Veire, Informasjonssjef i Nasjonal sikkerhetsmyndighet, bekrefter til digi.no at NRK har vært tilsluttet NorCERT siden 2006, men at det i 2010 valgte å fjerne sensoren. Men NRK har fremdeles med i samarbeidet ved at de utveksler informasjon om trusler og angrep.
Vi spurte om NRK hadde noen grunn til å frykte at for eksempel kildeopplysninger kom på avveie.
– Nei, det har de ikke. Vår rolle er å detektere og varsle om målrettede og koordinerte dataangrep mot samfunnskritisk IKT-infrastruktur. Vi skal bistå norske virksomheter i å beskytte sensitiv informasjon. Vi har ingen mulighet til å se hvem som skjuler seg bak IP-adresser. Vi samler ikke inn innholdsinformasjon. Dersom det skjer ved uhell har vi strenge rutiner for å varsle de det gjelder, slette, og registrere av avvik. Sensorene registrerer kun alarminformasjon og informasjon om trafikkflyten, opplyser Veire til digi.no.
Underlagt streng kontroll
- NorCERTs systemer kan fange opp datainnhold som for eksempel e-poster med vedlegg sendt til eller fra en bedrift. Er ledelsen i bedriftene og etatene dere har et samarbeid med, tilstrekkelig informert om denne muligheten?
– Vi samler ikke inn innholdsinformasjon, men alarminformasjon og informasjon om trafikkflyten. Vi har detaljerte samarbeidsavtaler med virksomhetene som er medlemmer og partnere. Virksomhetene er også ansvarlig for å informere egne ansatte om deltakelsen i VDI-sensornettverket, svarer Veire til digi.no.
– Vi har stort fokus på personvern og rettssikkerhet. Vi er underlagt streng og nøye kontroll av Stortingets kontrollorgan, EOS-utvalget, som også skal føre kontroll med at vi holder oss innenfor de rettslige rammene som er fastsatt for oss. Vi er også underlagt forvaltningsloven som stiller krav til behandling av sensitiv informasjon. For å gjøre jobben vi skal gjøre, er vi er helt avhengig av tillit fra samfunnet til at vi ikke går ut over våre rammer, svarer Veire, når vi spør hvilke garantier Nasjonal sikkerhetsmyndighet kan gi for at sensitiv informasjon kan bli brukt.
– Har dere forståelse for at NRK valgte å fjerne sensorene?
– NRK er i sin fulle rett til å fjerne sensorer fra oss. Men du kan like gjerne snu saken på hodet. VDI-sensorer fungerer som en innbruddsalarm. De avdekker forsøk på målrettede datainnbrudd, som igjen kan true kildevernet. Den muligheten har ikke NRK nå lenger gjennom VDI-sensornettverket, opplyser Veire til digi.no.
Forsvarsverk
NorCERT er et samarbeid mellom Nasjonal sikkerhetsmyndighet, en rekke statlige etater og en rekke private bedrifter. Men hvem som har sluppet inn NorCERTs bokser i sine datarom er ikke offentlig kjent. Det koster da også mellom 200.000 og 500.000 kroner per år å tilslutte seg NorCERT.
Hele hensikten med dette samarbeidet, er å skape et forsvarsverk mot alvorlige trusler i kyberrommet. Det skjer stadige angrep mot norsk digital infrastruktur, og for å avdekke alvorlige angrep, er NorCERT ett av flere virkemidler myndighetene har satt igangsatt.
De siste årene har NorCERT også fått mer politisk oppmerksomhet.
– Det vi prøver å gjøre her er å bygge en solid sikkerhetskultur og arkitektur rundt det digitale rommet. Dette dreier seg om å holde nettene åpne når noen prøver å stenge dem, og om å hindre det som kanskje er enda mer alvorlig, nemlig manipulasjon av data. Altså at andre stater går inn og gjør om på informasjonen vi har for å forvirre oss eller hindre vår bruk av den i kritiske situasjoner, sa tidligere forsvarsminister Espen Barth Eide da han åpnet NorCERTs nye lokaler tidligere i år.
Politisk oppmerksomhet
I statsbudsjettet for 2013 ble også NorCERT tilført mer penger, etter en kraftig vekst i saker de har håndtert.
Historien til NorCERT starter imidlertid i 2000. Da etablerte de hemmelige tjenestene i Norge (Politiets overvåkingstjeneste, Etterretningstjenesten og Sikkerhetstjenesten i forsvaret) VDI-prosjektet. Dette skulle være helt hemmelig, men i desember 2000 kunne digi.no avsløre den til da hemmelige norske internett-overvåkningen.
Det er ikke kjent hvilke bedrifter som i dag har installert VDI-sensorer i sine nett. NSM og NorCERT holder listen hemmelig, men de bedriftene som vil kan selv opplyse om dette.
Les også:
- [10.01.2013] Hemmelig svensk brannmur
- [08.10.2012] Bredere satsing på IT-sikkerhet
- [01.06.2012] Disse truslene frykter de
- [08.12.2000] Hemmelig norsk Internett-overvåkning