Hemmelig dokument: Slår sikkerhetsalarm

UDI advarer i et hemmeligstemplet dokument om at personer fra fremmede makter søker på jobber som gir tilgang på kritiske datasystemer. De samme søkerne går igjen på en rekke stillinger.

SLÅR ALARM: UDI er bekymret over jobbsøkere fra i«kke-vennlige land» som de ikke får sikkerhetssjekke. Foto: Berit Roald / NTB scanpix
SLÅR ALARM: UDI er bekymret over jobbsøkere fra i«kke-vennlige land» som de ikke får sikkerhetssjekke. Foto: Berit Roald / NTB scanpix Vis mer
Publisert

I et brev Dagbladet har fått innsyn i uttrykker UDIs sikkerhetssjef bekymring for at jobbsøkere fra «ikke-vennlige stater» søker på IT-jobber i etaten. Dokumentet er unntatt offentlighet.

Brevet ble sendt til justisdepartementet i november i fjor, og en kopi ble sendt til PST og Politidirektoratet.

«Trussel mot Norge»

«Over tid har UDI sett et tydelig mønster i søknader på blant annet IKT stillinger, fra svært godt kvalifiserte søkere med bakgrunn fra land som PST, NSM og E-tjenesten advarer utgjør en trussel mot Norge» heter det i brevet som er signert UDIs sikkerhetssjef.

UDIs bekymring er knyttet til at personer som får disse jobbene vil få tilgang og kontroll på viktige og sensitive datasystemer. Jobbene det er snakk om er knyttet til styring og drift av IT-systemer som kan være sårbare. UDIs systemer er likevel ikke så sensitive at det er omfattet av sikkerhetsloven.

Dagbladet får opplyst at flere andre virksomheter har den samme bekymringen.

Les svaret fra justisdepartementet lenger nede i saken.

Etter det Dagbladet forstår er det først og fremst snakk om kinesiske borgere som igjen og igjen dukker opp i søkerlistene, men også russiske borgere.

Særlig to kinesiske borgere har havnet i søkelyset, men også russere har fått alarmen til å gå, får Dagbladet opplyst.

Bekymringen skal konkret være knyttet til at etterretningsorganisasjoner forsøker å plassere sine folk i stillinger der de får tilgang og kontroll med viktige datasystemer.

En årvåken leder oppdaget i 2019 at en søker hadde tilpasset sin CV til den utlyste stillingen. Videre undersøkelser avdekket et tilsynelatende mønster som har blitt observert over tid.

Utover det er dette virksomhet som normalt ikke fanges opp av HR-avdelingen ved ansettelser, blir Dagbladet fortalt.

«Bevisst operasjon»

PST har også i sin trusselvurdering nevnt problemstillingen.

Av brevet framgår det at UDI ser på situasjonen som enda mer bekymringsfull i lys av Russlands invasjon av Ukraina i februar.

«I den endrede sikkerhetspolitiske situasjonen har det blitt økt oppmerksomhet på de sårbarhetene som kan oppstå gjennom personellmessige tilganger til sensitiv informasjon, informasjonssystemer og annen sårbarhetsinformasjon som kan ha betydning for nasjonale interesser og samfunnsfunksjoner.»

Dagbladet blir fortalt at ansatte i etaten mistenker at etterretningstjenester til fiendtlig innstilte land kan stå bak. De mener de ser et mønster, og at dette er en bevisst operasjon mot Norge.

Det å plassere folk på innsida av organisasjonen er «en gullgruve» for en etterretningsorganisasjon blir Dagbladet fortalt.

Mangler virkemidler

Fordi systemene til UDI ikke er omfattet av sikkerhetsloven, har lederne få muligheter til å hindre jobbsøkere de skulle være bekymret for.

I brevet skriver UDIs sikkerhetssjef at de mangler virkemidler for å forhindre at personer med fiendtlige hensikter blir ansatt. De peker på at det for deres datasystemer ikke gjelder krav om vandelsattest.

«Disse systemene er per i dag ikke underlagt sikkerhetsloven med det mulighetsrommet og hjemlene loven gir til personkontroll, kvalitetssikring og skikkethetsvurdering ved ansettelser.»

I brevet lister UDI opp en rekke tiltak de mener bør innføres for å øke sikkerheten. Blant dem er å gi muligheten til å underlegge enkelte av etatens datasystemer sikkerhetsloven, kreve egen, tidsbegrenset autorisasjon for sårbare systemer, og gi mulighet for å innhente utvidet politiattest ved ansettelse til IT-stillinger.

Bekymring i 2021

UDIs bekymringsmelding fra november er ikke første gang de tar kontakt om problemet.

Allerede sommeren 2021 sendte UDI et hemmeligstemplet brev til justisdepartementet der de uttrykte bekymring om den samme problemstillingen. Dagbladet får opplyst at brevet ikke ble besvart.

«Imidlertid har UDI over tid observert at personer fra ikkevennligsinnede stater særlig søker stillinger med privilegerte tilganger. Dette utgjør isolert sett ikke en bekymring, men det er en gjentakende observasjon over tid som er påfallende. Stillingene er innen IT-drift og utvikling, hvor øvrige sikkerhetsmekanismer er juridisk sett lite tilstedeværende.» heter det i brevet fra juni 2021.

I dette brevet ytrer UDI sterk bekymring for hvilke konsekvenser en slik infiltrasjon kan få.

«Personell innen drift- og utvikling på informasjonssystemer har tilganger hvor det er krevende å ha inndeling av kontroll og utøvende funksjoner. Dette gjelder også for sensitive eller kritiske systemer utenfor sikkerhetslovens virkeområde»

- Ikke naive

Statssekretær Hans-Petter Aasen (Sp) svarer på vegne av justisdepartementet. Han sier de tar problemstillingene på største alvor.

«Vi mener problemstillingene som UDI reiser er viktige og høyst aktuelle – også for andre virksomheter enn UDI. UDIs brev fra november 2022 er nå til vurdering i departementet. Det er viktig at vi i Norge ikke har en naiv holdning til hvordan fremmede stater kan opptre over tid for å skaffe seg kunnskap om Norge. Personer som har uærlige hensikter skal ikke ha posisjoner som setter dem i stand til å drive fremmed etterretning» skriver Aasen i en e-post til Dagbladet.

Statssekretæren sier regjeringen allerede har tatt grep for å skjerpe sikkerheten.

«Senterparti- og Arbeiderpartiregjeringen har det siste året iverksatt en rekke tiltak som skal beskytte nasjonale sikkerhetsinteresser, - og motvirke fremmed etterretning» skriver Aasen videre.

«Nylig fremmet regjeringen stortingsmeldingen om nasjonal kontroll og digital motstandskraft. I meldingen beskriver vi regjeringens politikk og prioriteringer framover, og hvordan regjeringen ønsker å styrke nasjonal og digital sikkerhet. Tiltak omfatter blant annet regulering, nasjonalt eierskap og kontroll, bedre oversikt over verdier og økt kompetanse og kunnskap.»

Han kommer UDI langt på vei i møte om ønsket om strengere regler for ansettelser i IT-stillinger.

«Vi har igangsatt et lovarbeid for å gjøre endringer i sikkerhetsloven, og er klare til å iverksette tiltak som treffer etter intensjonen. Et annet naturlig virkemiddel kan være å utvide kretsen av stillinger som krever bakgrunnskontroll. I denne sammenheng er det viktig å ha god dialog både med offentlig og privat sektor» skriver Aasen.

Vi bryr oss om ditt personvern

Dagbladet er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer