Mellom november 2019 og februar 2020 har to medarbeidere i sikkerhetsavdelingen kunnet lese utgående e-poster sendt fra ansatte, deriblant journalister, i NRK. Det kommer fram i en intern melding Medier24 har sett.
I fjor innførte rikskringkasteren et spamfilter med mål om å styrke egen it-sikkerhet. Filteret skannet alle e-poster sendt til en mottaker uten NRK-adresse, og ved hjelp av maskinlæring skulle filteret varsle sikkerhetsavdelingen «om alvorlige hendelser», slik at de kunne ta en manuell gjennomgang.
Teknologidirektør Heidrun Reisæter i NRK.Ole Kaland
Nå beklager teknologidirektør Heidrun Reisæter overfor samtlige over 3.500 NRK-ansatte i en intern melding.
– Spamfilteret var en feilvurdering. 3. mars ble denne funksjonen for alltid skrudd av. Vi tar dette svært alvorlig, og hendelsen vil få konsekvenser for hvordan vi jobber med slike spørsmål i fremtiden, skriver Reisæter i en e-post til Medier24.
Filteret ble stanset i mars, og onsdag har NRK-ledelsen beklaget overfor sine ansatte i en intern melding på kanalens intranett.
Ifølge den interne meldingen sendes det rundt tre millioner e-poster fra NRK-adresser i måneden og IT-avdelingen har identifisert minst 142 e-poster som «kan ha blitt åpnet av en av to IT-administratorer».
Totalt er 74 personer direkte berørt.
– En skandale
I en e-post til NRKJs medlemmer kaller tillitsvalgt Rolf Johansen spamfilteret et alvorlig brudd på kildevernet. Videre omtaler han det som «en svært alvorlig sak, som skader vårt omdømme og som bryter med svært viktige prinsipper.»
Johansen sier til Medier24 at journalistklubben har vært krystallklare fra dag én: Dette filteret må stanses.
Medier24 er kjent med at det var først da NRKs toppledelse ble koblet på at saken tok en annen retning.
– Hvorfor ble ikke NRKs toppledelse involvert på et tidligere stadium?
– Det var en feilvurdering, sier Reisæter.
Johansen kommenterer snuoperasjonen slik:
– Vi er glade for at NRK-ledelsen nå har kommet til en konklusjon som er helt i tråd med det vi har ment fra dag én og at ledelsen legger seg flate og ber om unnskyldning. Men dette kan ikke beskrives som noe annet enn en skandale, sier han til Medier24.
Leder Rolf Johansen i NRKJ. Her fra da regjeringen la fram sin mediestøttemelding.Erik Waatland
Ifølge Johansen tok det fem dager fra klubben ble innkalt til første drøftelsesmøte om saken til filteret var deaktivert. Han er glad for at ledelsen nå beklager.
– Jeg er overrasket over at dette har skjedd. Det er åpenbart at kildevern og personvern ikke sitter like tydelig i ryggmargen hos alle NRK-ansatte, som det gjør hos oss som er journalister og jobber med dette hver dag, sier han.
– Ikke høy nok bevissthet
Medier24 har sett den interne meldingen fra teknologidirektør Heidrun Reisæter, hvor hun beklager spamfilteret. Hun presiserer at hensynet til kildevern er svært viktig for NRK.
– Det er ubestridelig at en slik funksjonalitet, om det skal tas i bruk, også må følges av svært gode rutiner for håndtering for ikke å bryte person- eller kildevernet. Her viste de involverte ikke høy nok bevissthet, skriver teknologidirektør Heidrun Reisæter i en e-post til Medier24.
– Hvorfor beklager dere?
– Først og fremst skulle funksjonaliteten aldri blitt skrudd på. Funksjonaliteten skulle blitt vurdert av ansvarlig leder før iverksettelse. Alle mulige sider og konsekvenser ved en slik funksjonalitet skulle blitt tilstrekkelig belyst. Hadde vi gjort det ville vi kommet fram til at denne tilleggsfunksjonaliteten ikke er avgjørende for å styrke vår evne til å fange opp alvorlige hendelser. Funksjonaliteten kan derimot bidra til unødig usikkerhet blant medarbeidere, og en mulighet for en kontroll NRK ikke skal ha eller ønsker.
Lover rutine-gjennomgang
Medier24 er kjent med at flere journalister skal ha reagert kraftig på beskjeden om at IT-avdelingen har hatt anledning til å åpne utgående e-poster. Det bekrefter Johansen.
– Folk er i stor grad ganske sjokkerte over at dette kunne skje, men er også fornøyde med at NRK-ledelsen er tydelige på at de nå skal rydde opp.
NRK-ledelsen lover nå å gjennomgå egne rutiner på feltet.
– Vi har nå brukt tid på å gjennomgå saken nøye i hele vår IT-sikkerhetsorganisasjon, for å få alle fakta på bordet og for å lære og forbedre oss. Vi gjennomgår og endrer vår praksis slik at dette ikke skal kunne skje igjen. Et viktig grep er at alle nye endringer innen IT-sikkerhet skal vurderes opp mot person- og kildevern før de implementeres. Vi har også igangsatt tiltak for å heve vår bevissthet rundt personvern i hele IT-sikkerhetsorganisasjonen.
– Hvorfor har det tatt så lang tid?
– Det har dessverre tatt for lang tid å løfte denne saken og få den behandlet på rett nivå. Vi har også sett det som helt nødvendig i en alvorlig sak som dette å bruke den tiden som trengs for å få en grundig gjennomgang og sikre tilstrekkelig oppfølging saken, skriver Reisæter i e-posten.
