W Telenor Norge AS Postboks 800 1331 FORNEBU Vår ref.: 1405379-6 - Vår dato: 13.3.2015 Deres ref.: Deres dato: Saksbehandler: Janiche Solheim Justnes, Alexander Iversen Varsel om vedtak - pålegg om retting og overtredelsesgebyr Nasjonal kommunikasjonsmyndighet (Nkom) viser til utfall av Telenor Norge AS` (Telenor) mobiltjenester den 30. oktober 2014, og etterfølgende korrespondanse mellom Telenor og Nkom. Herunder vises det til hendelsesrapport 10.11.2014, oppdatert hendelsesrapport 11.11.2014 og telefonmøte avholdt 21.11.2014. Informasjonen i hendelsesrapportene samt telefonmøte 21.11.2014 har dannet faktagrunnlaget for Nkoms rapport av 22.12.2014, sendt Samferdselsdepartementet med Telenor som kopimottaker. Alle faktaopplysninger knyttet til saken nedenfor er hentet fra Nkoms rapport av 22.12.2014 som vedlegges her. Det følger av lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (ekomloven) 2-10 første ledd at «[t]ilbyder skal tilby elektronisk kommunikasjonsnett og -tjeneste med forsvarlig sikkerhet for brukerne i fred, krise og krig». Av forarbeidene til bestemmelsen fremgår det om forsvarlighetsbegrepet at det «menes at nett og tjenester skal være tilgjengelige, og at integriteten og konfidensialiteten skal beskyttes. Hva som for øvrig må anses for å være forsvarlig vil fremkomme gjennom markedspraksis, tilgjengelig teknologi og internasjonale krav. Det er tilbyders ansvar at tjenestene som tilbys holder et forsvarlighetsnivå» 1. Både organisatoriske, tekniske og administrative tiltak vil være nødvendige for å sikre at nett og tjenester tilbys med et forsvarlig sikkerhetsnivå. Felles for alle tiltak er at de må fattes blant annet på bakgrunn av en risikovurdering, der tjenestekonsekvensen av ulike uønskede hendelser vil stå sentralt. 1 Prop. 69 L (2012-2013) Om endringer i ekomloven, s. 104 Nasjonal kommunikasjonsmyndighet Besøksadresse: Nygård 1, Lillesand Postadresse: Postboks 93 4791 LILLESAND Tel: 22 82 46 00 Fax: 22 82 46 40 firmapost@nkom.no NO 974 446 871 www.nkom.no
Den 30. oktober 2014 oppstod det en feil i Telenors abonnementsdatabase som medførte et nært totalt utfall av tale- og SMS-tjenester for samtlige av Telenors om lag tre millioner abonnenter fra kl. 18:58 til kl. 21:23. En følgefeil medførte at ca. en halv million abonnenter ikke fikk tjenestene tilbake før kl. 22:21. Datatjenester var også påvirket, men i noe mindre omfang. Hendelsesforløp, konsekvenser og årsaker til utfallet er utfyllende beskrevet i Nkoms rapport av 22.12.2014. Varsel om pålegg om retting Telenor innførte kort tid etter hendelsen risikoreduserende tiltak knyttet til den type rettearbeid som utløste feilen 30. oktober 2014. Nkom finner disse tiltakene hensiktsmessige for å redusere den umiddelbare risikoen under selve rettearbeidet. Imidlertid adresserer disse tiltakene ikke de underliggende årsakene til feilsituasjonen. Den implisitte risikoeksponeringen anser Nkom ikke å være i tråd med Telenors plikt til å levere tjenester med forsvarlig sikkerhet for brukerne iht. ekomloven 2-10 første ledd. Det følger av ekomloven 10-6 første ledd at Nkom kan gi «pålegg om retting eller opphør av ulovlige forhold og fastsette vilkår som må oppfylles for at virksomheten skal være i samsvar med krav fastsatt i eller i medhold av denne lov». I henhold til lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven) 16 første og andre ledd varsles det med dette at Nkom vil fatte vedtak om at Telenor pålegges å gjennomføre relevante tiltak for å adressere de underliggende årsakene til feilsituasjonen som oppstod 30. oktober 2014. Telenor har allerede informert Nkom om at På bakgrunn av dette oppfordrer Nkom Telenor å legge fram en tiltaksliste for å adressere de underliggende årsakene, med en konkret tidsplan for gjennomføring. Eventuelle merknader/tiltaksliste til varselet om pålegg om retting må være Nkom i hende senest innen 7. april 2015. 2
Varsel om vedtak om overt redelsesgebyr I henhold til ekomloven 10-13 første ledd, kan myndigheten pålegge «fysiske personer eller foretak overtredelsesgebyr dersom personen, foretaket eller noen som handler på vegne av foretaket forsettlig eller uaktsomt overtrer nærmere angitte plikter som følger av ekomloven». I sin hendelsesrapport opplyste Telenor videre at det er utviklet en prosedyre for dette arbeidet, som er testet i testanlegg. Arbeidet meldes som «change request» etter Telenors system for endringshåndtering. Arbeidet har blitt utført rutinemessig etter de testede prosedyrer over mange år, og har av Telenor blitt risikokategorisert som «minor» (lav risiko/kundekonsekvens). For denne type arbeid er det følgelig begrenset med kontroll og verifikasjon. Feil i Telenors abonnentsdatabase vil ha et betydelig skadepotensiale. At arbeidet i dette tilfellet ble utført av erfarne operatører etter fastsatt og testet prosedyre har bidratt til å redusere denne risikoen. Likevel innebar arbeidet at det måtte gjøres manuelle analyser av de aktuelle dataene, og de operasjoner som måtte foretas varierte fra sak til sak. Nkom anser derfor at denne risikoreduserende faktoren alene ikke er tilstrekkelig for å oppnå akseptabel risiko, gitt det betydelige skadepotensialet. På bakgrunn av dette er det Nkoms vurdering at det forelå en ikke ubetydelig far unne medføre alvorlige konsekvenser for tjenestetilgjengeligheten, og at Telenor etter ekomloven 2-10 første ledd hadde plikt til å iverksette ytterligere risikoreduserende tiltak i denne forbindelse. Det er videre Nkoms vurdering at Telenor, på bakgrunn av en feilaktig risikovurdering, ikke oppfylte sin plikt til å sikre forsvarlig sikkerhet for brukerne av mobiltjenesten, da de ikke hadde iverksatt forsvarlige risikoreduserende tiltak for denne typen arbeid. Nkom anser at Telenor objektivt sett har overtrådt ekomloven 2-10 første ledd. 3
Utover vilkåret til overtredelse av plikter i eller i medhold av ekomloven, forutsetter ileggelse av overtredelsesgebyr etter ekomloven 10-13 at det foreligger subjektiv skyld hos foretaket, eller noen som handler på vegne av foretaket. Det er tilstrekkelig at det foreligger uaktsomhet for at skyldkravet er oppfylt. En uaktsom handling foreligger når handlingen avviker fra hva som er alminnelig forsvarlig opptreden på området. Normen for hva som utgjør forsvarlig opptreden er objektiv. Vurderingstemaet blir derfor om Telenor burde opptrådt annerledes. Nkom forutsetter at Telenor var kjent med var kjent med at det er en ikke ubetydelig sannsynlighet for menneskelig feil Nkom forutsetter også at Telenor gjennom flere år. I tillegg ble denne type arbeid utført i snitt ca. 2 3 ganger per måned Gitt skadepotensialet ved feil i abonnentsdatabasen, vurderer Nkom at Telenor har avveket fra alminnelig forsvarlig opptreden ved å ha gjennomført denne type feilrettingsarbeid uten tilstrekkelige kontroll- og verifikasjonsmekanismer. Det er derfor Nkoms konklusjon at dette har medført en overtredelse av Telenors plikt til å tilby nett og tjeneste «med forsvarlig sikkerhet for brukerne», jf. ekomloven 2-10 første ledd, og at denne overtredelsen var uaktsom. Nkom anser dermed at vilkårene for å ilegge overtredelsesgebyr er oppfylt. Slik Nkom vurderer det, fremstår overtredelsesgebyr som en nødvendig reaksjon i dette tilfellet. Et utfall av det omfang samfunnet opplevde 30. oktober 2014 har et betydelig skadepotensial. Samtidig kunne utfallet ha vært unngått, eller omfanget betydelig redusert, dersom risikovurderingen knyttet til feilrettingsarbeidet var gjennomført på en forsvarlig måte, og kompenserende tiltak fattet på bakgrunn av denne. Nkom ser det derfor som nødvendig å reagere på de manglende sikkerhetstiltak av allmennpreventive grunner. Det følger av ekomloven 10-13 andre ledd og ekomforskriften 2 10-3a at det ved utmåling av overtredelsesgebyrets størrelse skal legges særlig vekt på overtredelsens grovhet, varighet, utvist skyld og foretakets omsetning. I henhold til ekomforskriften 10-3a andre ledd 1 til 5 skal det ved vurderingen av overtredelsens grovhet særlig tas hensyn til overtredelsens art, foretakets gevinst, dens faktiske innvirkning på markedet, størrelsen på det berørte markedet og om overtrederen har hatt en 2 Forskrift 16. februar 2004 nr. 401 om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjeneste (ekomforskriften) 4
ledende eller passiv rolle i overtredelsen. I forskriften 10-3a tredje ledd 1 til 4 fremgår det andre momenter som kan påvirke utmålingen av gebyret. Listen er ikke uttømmende. Overtredelsesgebyret kan settes inntil 5 prosent av foretakets omsetning. Foretakets omsetning er i følge ekomforskriften 10-3a foretakets samlede salgsinntekter for siste regnskapsår. I følge opplysninger innhentet av Nkom fra Brønnøysundregistrene hadde Telenor Norge AS en salgsinntekt på 21 833 000 000 kroner i 2013 3. Nkom har i vurderingen lagt vekt på pliktbruddets omfattende skadepotensiale, som materialiserte seg den 30. oktober 2014. Utfallet rammet direkte om lag tre millioner mobilabonnenter. Trafikken fra mobiltelefoner utgjør i underkant av 80 prosent av den totale genererte taletrafikken i fast- og mobilnettene i Norge. Telenors markedsandel på ordinære mobilabonnement er om lag 50 prosent. Videre er om lag halvparten av all generert datatrafikk i mobilnettet knyttet til ordinære mobilabonnement. Telenors markedsandel på særskilte abonnement for mobilt bredbånd er også på om lag 50 prosent. I tillegg er Telenors markedsandel på maskin-til-maskin-kommunikasjon på om lag 90 prosent, målt i antall SIMkort. Utfallet utgjorde derfor et betydelig utslag på tilgjengeligheten til elektroniske kommunikasjonstjenester i Norge. På bakgrunn av det betydelige skadepotensialet som ligger i alvorlige feil i abonnentsdatabasen og Telenors overtredelse av plikten til å tilby nett og tjeneste «med forsvarlig sikkerhet for brukerne», jf. ekomloven 2-10 første ledd, tilsier de ovennevnte forhold samlet sett at det bør ilegges et betydelig overtredelsesgebyr i denne saken. Nkom har i de siste årene hatt et skjerpet fokus på sikkerhet og beredskap. Avhengighet til ekom er stadig økende. Bruken av mobile tjenester har økt kraftig de siste årene. Reelle utfallshendelser og flere analyser har også vist at samfunnet har gjort seg svært avhengig av tilgjengelige mobiltjenester. Den viktigste og mest markante endringen de siste årene er endringen i hvordan folk bruker mobiltelefonen. Nkom vil også trekke frem at muligheten til å gi overtredelsesgebyr for brudd på ekomloven 2-10 ble lagt til i endring i ekomloven i 2013, slik at myndigheten kan benytte sanksjonen til å ivareta brukernes behov for forsvarlig sikkerhet i elektroniske kommunikasjonsnett og -tjeneste. Nkom har videre sett hen til sårbarhetsanalysen av mobilnettene i Norge (2012). Her vises det til at«[en] av sårbarhetene som i Nexia/Styrmand-analysen får høyest risiko, handler om svakheter ved rutiner. Feilsituasjoner oppstår ofte i forbindelse med planlagt arbeid i nettene [ ]». Det er derfor særlig viktig at tilbyder har tilstrekkelig risikoerkjennelse ved planlagt arbeid, da dette erfaringsmessig er årsak til en stor andel av utfallene de siste årene. 3 Siste regnskapstall som er oppgitt i Brønnøysundregistrene er fra 2013 5
Telenors bistand til å belyse denne saken i ettertid av utfallet ved Nkoms oppfølging, og det at Telenor på egen hånd har foreslått tiltak for å unngå at lignende feil gjentar seg, vektlegges i formildende retning. Etter en samlet vurdering av de ovennevnte momenter og i henhold til forvaltningsloven 16 første og andre ledd varsles det med dette at Nkom vil ilegge Telenor Norge AS, organisasjonsnummer 976 967 631, et overtredelsesgebyr i størrelsesorden 9 000 000 kroner for overtredelse av ekomlovens regler om sikkerhet og beredskap, jf. ekomloven 2-10 første ledd, jf. 10-13 første ledd. Den endelige størrelsen på overtredelsesgebyret vil bli fastsatt i vedtaket om overtredelsesgebyr. Eventuelle merknader til varselet om overtredelsesgebyr må være Nkom i hende innen 7. april 2015. Med hilsen Torstein Olsen direktør Einar Lunde avdelingsdirektør 6