Kontrollen med Telenor på Fornebu foregår ennå. Det er uklart når konkurransemyndighetene blir ferdig med sin bevissikring. (Foto: Marius Jørgenrud)

SS7-signalering

Røper hvem som forårsaket Telenors mobil-havari

Skjer dette igjen vil Telenor anse det som et ondsinnet angrep.

Telenor kan ikke klandres for utfallet der minst 1 million kunder mistet mobildekning, 19. februar i år.

I hvert fall ikke direkte.

Formelt er konklusjonen til Nasjonal kommunikasjonsmyndighet (Nkom) at teleoperatøren ikke har opptrådt i strid med ekomforskriften i denne saken.

Som digi.no tidligere har avslørt oppsto hendelsen da et internasjonalt sikkerhetsselskap forsøkte å kartlegge dem for sårbarheter.

Etter at Nkom nylig har avlagt rapport til Samferdselsdepartementet er Telenor villige til å røpe en rekke nye detaljer.

Det inkluderer hvem som forårsaket at Telenors norske mobilnett knelte.

Det var sikkerhetsselskapet Priority One Security, en leverandør til telekombransjen, som sendte den famøse og "svært sjeldne" SS7-signaliseringsmeldingen. Det gjorde de i et forsøk på å avdekke muligheter for lekkasje av abonnementsinformasjon fra teleoperatører.

Selve testen ble gjennomført via teleoperatøren Post Luxembourg, som er roamingpartner med Telenor.

Telenor visste ikke om sårbarhetstesten. Dette var på ingen måte avklart eller avtalt eller bestilt, og de oppdaget heller ingenting før mobilnettet klappet sammen.

Uheldigvis klarte ikke programvaren som Ericsson har levert til Telenor å takle signaleringsmeldingen, som går over et lukket system mellom teleoperatørene.

Det oppsto en uendelig sløyfe

Årsaken til at mobiltrafikken ble hardt rammet, blir av Telenor beskrevet som en programvarefeil i HLR (Home Location Register). Dette er en nøkkelkomponent i mobilnettet, og en database med identiteten til alle Telenors abonnenter. Ericsson har ikke villet kommentere dette for presse.

– Programvarefeilen gjorde at det ble utløst en intern uendelig sløyfe, som beslagla systemes kapasitet. Det var ikke lagt inn tilstrekkelige mekanismer i programvaren for å fange opp og terminere en slik tilstand, opplyser Telenor i en redegjørelse sendt til digi.no.

Feilen er imidlertid av en slik art at den burde vært avdekket i kvalitetskontroll før leveranse, mener de.

– Dette følger vi opp med vår leverandør, som i dette tilfellet er Ericsson, sier Telenor Norge-sjef Berit Svendsen.

På vegne av sine kunder ønsker hun å beklage utfallet, som ifølge selskapet medførte at 2G- (GSM) og 3G-tjenestene fikk en nedetid på rundt tre og en halv time.

Skjer det igjen, vil Telenor oppfatte det som angrep

Før Telenor kom fram til programvarefeil som årsak til problemene, og de fant ut hvem som sto bak signaleringsmeldingen, ble hendelsen behandlet som om dette var et ondsinnet forsøk på uthenting av informasjon.

– Telenor vil i fremtidige situasjoner der aktører bak signalering ikke er avklart, samt i tilfeller der identifiserte aktører ikke åpenbart har gode hensikter, håndtere dette som et ondsinnet forsøk på informasjonsuthenting – en form for «angrep», skriver de.

Snurpe igjen

– Vi finner ikke at Telenor har brutt sine plikter. Hvorvidt det som skjedde er innenfor hva vi kan forvente at de må ta høyde for, det vil være å strekke strikken meget langt. Det betyr ikke at situasjonen ikke kunne vært unngått, sier Nkom-avdelingsdirektør Einar Lunde til digi.no.

Han tenker da på testingen, som Telenor altså tar med sin underleverandør.

Nkom skal jobbe videre med krav og anbefalinger, en beste praksis i håndtering av det sårbare SS7-signaleringsystemet. Det er etablert et felles nordisk samarbeid blant telemyndighetene på området.

Her kan det sies at man jobber i et spor av en type hvitelisting av ulike typer signaliseringsmeldinger.

– Det er en god basis for å snurpe igjen så godt vi kan, og feie for egen dør i Norden. Dette må imidlertid følges opp internasjonalt og i en europeisk kontekst videre. Dette er ikke noe vi kan følge opp på egenhånd, sier Lunde.

– Behov for styrket varsling

– Telenor tester sårbarheter i eget nett og tjenester, og vi mener generelt at sikkerhetstesting er viktig. Det bør imidlertid bli større åpenhet rundt tredjepartstesting, men selvsagt på en slik måte at formål med testen ikke undergraves av varslingen, sier Berit Svendsen.

Videre forteller hun at Telenor vil fremme overfor Priority One Security et syn om behov for styrket varsling av planlagt testing. Da kan også operatører velge å bli utelukket fra testaktiviteteter.

– Jeg ønsker å presisere at vi har hatt et meget godt samarbeid med både Ericsson og Priority One Security på håndtering av hendelsen. Ressurser og kompetanse ble stilt til rådighet for å avklare situasjonen så raskt som mulig. Overfor Post Luxembourg er det viktigste å sikre at det fremover må være samsvar mellom deklarert signalering og faktisk utsendt signalering, avslutter Berit Svendsen i Telenor.

Til toppen