PST: Sannsynlig at Per Sandbergs sikkerhetsbrudd er misbrukt av Kina og Iran
PST vurderer risikoen ved at Per Sandberg brøt instruksen og tok med tjenestetelefonen til Kina og Iran som «høy». PST konkluderer også med at det er «sannsynlig» at Sandbergs sikkerhetsbrudd har gitt fremmede etterretningstjenester informasjon.
– PST vurderer at en norsk statsråd er et høyverdig etterretningsmål for både Iran og Kina. Ut ifra dette er det sannsynlig at sikkerhetsbruddene har gjort informasjon tilgjengelig for uautoriserte aktører, skriver statsministeren i et svar til Stortingets kontroll- og konstitusjonskomité.
Komiteen stilte ti spørsmål om sikkerhetsbrudd i departementene i kjølvannet av eksstatsråd Per Sandberg reiser til Kina og Iran med tjenestetelefon i strid med instruksen. Nå er svarene klare.
Solberg understreker at svarene bygger på informasjon fra de ulike departementene og Politiets sikkerhetstjeneste.
Av svaret går det frem at en rekke politikere som Ap-leder Jonas Gahr Støre, tidligere arbeidsminister Hanne Bjurstrøm, Sp-leder og statsråd Liv Signe Navarsete med flere også har tatt med og brukt tjenestetelefonen i høyrisikoland (se liste nederst i saken).
I noen av tilfellene ligger hendelsen 6–7 år tilbake i tid, og da fantes ikke like strenge sikkerhetsregler som i dag.
Risiko for hacking og avlytting
Komiteen har stilt en rekke spørsmål knyttet til Sandberg og resten av regjeringsapparatets bruk av telefon til land som PST definerer som «høyrisikoland».
Solberg forteller at nye statsråder får en brief fra sikkerhetstjenestene på Statsministerens kontor.
– I tillegg har PST egne samtaler med alle statsrådene, og ved behov knyttet til reiser og andre situasjoner kan PST også ha saerskilte briefer og samtaler.
Etterretningstrusler og IKT-sikkerhet er sentrale tema i disse briefende og vurderingene. Mobiltelefoner har risiko for hacking og avlytting både i og utenfor Norge. Derfor er det begrensninger på bruken. Mobiltelefoner kan for eksempel ikke medbringes i regjeringskonferanser, i statsråd og i flere andre møter, skriver hun.
Naerings- og fiskeridepartementet hadde en sikkerhetsbrief om Iran i forkant av det offisielle besøket til Sandberg i 2016. Etterretningstrusselen og IKT-sikkerhet var tema. Sandberg hadde ikke saerskilte sikkerhetsbriefer med PST i forkant av hans reiser til Iran og Kina i 2018.
Komiteen spør også om «PSTs vurdering av risikoen knyttet til at Sandberg medbrakte samme tjenestetelefon til Kina og Iran?».
PST: Vurderer risikoen som høy
«PST vurderer risikoen som høy. Når man vurderer risikoen ved å ta med telefonen på reise, bør man skille mellom data som er lagret på selve telefonen (meldinger, kontaktlister, notater, bilder osv.) og kommunikasjon (tale og data) som foregår til og fra telefonen. I et utenlandsk mobilnett vil all kommunikasjon til og fra enheten kunne avlyttes, uten at brukeren av mobiltelefonen kan oppdage det.
Vi legger til grunn at slik kapasitet er etablert på permanent basis i mobilnettverkene og Internett i både Iran og Kina. I tillegg til at selve kommunikasjonen enkelt kan avlyttes av det besøkte landets myndigheter, kan telefonen kompromitteres slik at også innholdet på telefonen eksponeres», skriver PST.
Telefonen er også sårbare i Norge, men innenlands har vi «. i større grad mulighet til å beskytte oss mot uautoriserte aktører.»
– Når telefonen derimot befinner seg i andre land som for eksempel Iran eller Kina, vil disse landenes myndigheter kunne gjennomføre tekniske operasjoner, herunder det å skaffe seg tilgang til telefonen, lovlig og uten risiko, skriver PST.
PST: Kan aktivere kamera
PST understreker at telefonen kan fortsette å vaere kompromittert også etter at den har kommet hjem til Norge, og uautoriserte aktører vil kunne fortsette å hente ut informasjon fra telefonen så lenge den er kompromittert.
– I tillegg til uthenting av lagret informasjon, vil en kompromittering også kunne brukes til å aktivere telefonens mikrofon eller kamera, har PST svart Regjeringen.
Deretter spør komiteen om det er «. sannsynlig at sikkerhetsbruddene på disse reisene har gjort informasjon tilgjengelig for uautoriserte aktører, eksempelvis iranske eller kinesiske myndigheter, og hvordan og i hvilken grad kan slik tilgang ha påvirket norske interesser, herunder sikkerhetspolitiske, utenrikspolitiske, handelspolitiske og naeringspolitiske?»
Svaret er at all tale og datatrafikk har vaert tilgjengelig:
«Det må legges til grunn at all kommunikasjon, både tale og datatrafikk, til og fra telefonen har vaert tilgjengelig for iranske og kinesiske myndigheter så lenge telefonen har vaert koblet til disse landenes mobilnettverk og/eller
Internett.
– Høyverdig etterretningsmål
I tillegg til at selve kommunikasjonen enkelt kan avlyttes av det besøkte landets myndigheter, kan telefonen kompromitteres slik at
også innholdet og de lagrede dataene på telefonen eksponeres.
PST vurderer at en norsk statsråd er et høyverdig etterretningsmål for både Iran og Kina. Ut ifra dette er det sannsynlig at sikkerhetsbruddene har gjort informasjon tilgjengelig for uautoriserte aktører, skriver PST.
Regjeringen har tidligere orientert om at mobiltelefoner ikke kan tas med i regjeringskonferanser og flere andre møter. Gradert informasjon etter sikkerhetsloven kan heller ikke sendes på e-post eller SMS.
Solberg gjentar for øvrig at hun mente Sandberg måtte gå etter en «helhetsvurdering.»
– I denne inngikk både de brudd på varslingsrutiner og sikkerhetsretningslinjer han hadde vedgått og hans skjønn når det gjaldt håndtering av sikkerhet, samt hans private situasjon og muligheten til å fungere effektivt som statsråd i tiden fremover, skriver Solberg.