6. april 1997 fikk tusenvis av kunder sine nettsider slettet fra webserveren til Telenor Nextel. Sidene ble gjenopprettet fra en sikkerhetskopi, men det tok fra 24 til 72 timer før alle nettsidene var på lufta igjen.
Et script, som var laget av New Media Science, tillot en Unix slettekommando, "rm-Rf" - gjemt som et skjult parameter - å eksekvere. Scriptet ble kjørt på én kundes nettsider. Oppsettet hos Telenor Nextel ga kommandoen global aksess, slik at filer også utenfor den ene kundes hierarki kunne slettes.
Likevel; fire dager etter slettingen uttalte informasjonsdirektør i Telenor Nextel, Arne Cartridge, gjennom Dagens Næringsliv at selskapets server ikke var feilkonfigurert, en påstand han og selskapet opprettholdt gjennom hele den påfølgende rettsak.
Det er for drøyt.
Selvfølgelig var serveren feil konfigurert.
En kundes script skal ikke kunne slette andres kunders nettsider på en slik måte. Selv om Nextel stod til knes i nye kunder fra Schibsted Nett - ja, kanskje nettopp derfor - burde Nextel vært ekstra påpasselige med sikkerheten.
Retten hadde følgende å si:
"Det kan imidlertid spørres om Telenor Nextel AS ved sitt forhold har medvirket til skadens omfang. Alle kunders programmer hadde mulighet til å slå ut alle andre kunders programmer idet selskapets server ikke var konfigurert slik at den ville avvise - eller begrense virkningen av kommandoen "rm-Rf" utløst av et skript. Weber ble ikke kontrollert med henblikk på å avdekke sikkerhetshull før de ble lagt inn på serveren m.v."
Også administrerende direktør i New Media Science, Erling Maartman-Moe, ga Telenor Nextel på pukkelen under rettsaken:
- Som profesjonell serverleverandør må man forutse at slike feil kan skje og dermed sette opp serveren slik at man unngår det. De fleste andre serverleverandører hadde satt opp sine servere på denne måten før denne saken oppsto. Telenor endret sin server to dager etter at katastrofen hadde skjedd, sa Maartmann-Moe i sin vitneforklaring.
Kort tid etter slettingen, anmeldte Telenor Nextel forholdet. En mann ble arrestert og siktet. Aktor nedla påstand om 45 dagers fengsel - hvorav 30 betinget, erstatning til Telenor Nextel på 112.000 kroner, samt saksomkostninger. På vegne av Telenor Nextel mente Økokrim at mannen hadde brutt straffelovens paragraf 292: "for rettstridig å ha ødelagt, gjort ubrukelig eller forspilt en gjenstand som helt eller delvis tilhørte en annen. Skadeverket anses som grovt, særlig fordi skaden er betydelig." og straffelovens paragraf 291 "for rettstridig å ha brukt eller forføyet over en løsøregjenstand som tilhørte en annen, og derved påført den berettigede betydelige tap."
I dommen som falt tirsdag morgen ble mannen frifunnet.
Økokrim og Telenor Nextel tapte på alle punkter i tiltalen.
I tillegg til den teknisk udugelighet som lå til grunn for at slettingen fikk så store konsekvenser, opptrådte Telenor Nextel klosset i dagene etter hendelsen. Kommunikasjonen fra selskapet var - i beste fall - upresis og måtte stadig korrigeres eller presiseres. Håndteringen viste tydelig at Norges største nettaktør manglet en kriseplan for en slik hendelse; det ble skutt fra hofta.
Rent instinktivt og emosjonelt er det naturlig for både individer og organisasjoner å søke etter eksterne syndebukker etter en slik flause. Så gjorde også Telenor Nextel. SYNDEREN skulle finnes - og tas. Selvkritikk var et ikke-tema.
Nå har retten plassert svarteper der den hører hjemme.
Telenor Nextel, med sin sentrale posisjon på nettmarkedet i Norge, må holdes til den strengeste standard hva sikkerhet og håndtering av sikkerhetsproblemer angår. Utviklingen av nettmarkedet og Internett i Norge som seriøst medium avhenger av det.
Derfor Telenor Nextel: skjerpet sikkerhet, kriseplan og en stor porsjon ydmykhet.
