NSM har ansvaret for at Norges innerste hemmeligheter forblir nettopp det – hemmelig. Bomben i regjeringskvartalet førte til «økt risiko for spionasje», hemmelig informasjon og utstyr ble eksponert, og det oppsto sikkerhetstruende hendelser i tiden etter 22. juli, skriver sikkerhetsetaten i sin egen evalueringsrapport etter terrorangrepet.

De ble i tillegg holdt utenfor og ikke kontaktet av andre myndigheter og etater etter at det smalt, selv om NSM har ansvaret for sikkerhetstilsyn med bygninger, sikring og evakuering av topphemmelig informasjon og utstyr. Det gjelder alt fra graderte dokumenter til krypteringsutstyr. Kryptering brukes for at ingen utenforstående skal kunne lese eller forstå hemmelige dokumenter.

Forundret over manglene

I rapporten står det at «mesteparten» av det topphemmelige krypteringsutstyret ble hentet ut eller gjort rede for i ukene etter terroranslaget, men det opplyses ikke om noe av materialet fortsatt er på avveie.

Tidligere justisminister Odd Einar Dørum (V) er overrasket:

— Jeg er forundret over at noen prosedyrer ikke synes å være på plass. Jeg legger til grunn at en del tiltak ikke er avhengig av 22. juli-kommisjonen før de blir realisert, slik det skjedde for både politiet og PST gjennom økt helikopterberedskap og økte bevilgninger. Samme forhold gjør seg gjeldende for NSM. NSM er et av Norges viktige sikkerhetsorganer. De forholdene som påpekes i rapporten må bringes i orden så raskt som mulig, siden dette gjelder det løpende sikkerhetsarbeidet.

— Hvordan reagerer du på opplysningene om krypteringsmateriellet?

— NSM peker på helt sentrale sikkerhetsprosedyrer, som skal følges ganske umiddelbart når noe dramatisk skjer. Forholdene skal ikke være slik NSM rapporterer om. Her har man åpenbart noe å lære, sier Odd Einar Dørum.

Les også:

Sikring av hemmelighetene

Sikkerhetsloven legger rammene for NSMs virksomhet. I regelverket er redegjort i detalj for hvordan den norske statens innerste hemmeligheter skal sikres og behandles. De ansvarlige for det hemmelige utstyret og materialet er lovpålagt å rapportere om sikkerhetstruende hendelser og situasjonen for det hemmelige materialet innen 24 timer. Terrorangrepet var selvfølgelig en sikkerhetstruende hendelse, ikke minst fordi flere departementers lokaler ble ødelagt. Det åpnet muligheter for utenlandsk etterretning. I den ugraderte evalueringsrapporten står det:

"Gitt situasjonen nasjonen stod overfor, økte sårbarheten knyttet til skjermingsverdig informasjon og utstyr, noe som tilsier økt risiko for bl.a. spionasje." Rask rapportering vil "bidra til å redusere potensielle skadevirkninger", ifølge NSM. Likevel har det "i svært begrenset grad" kommet slike rapporter til sikkerhetsmyndighetene.

Sier ikke hvor alvorlig det er

— NSM skriver at de selv har observert sikkerhetsbrudd eller sikkerhetstruende hendelser, men de sier ikke hvor stor skade Norge er påført, og om for eksempel fremmede makter har fått tilgang til materiale på grunn av dette. De skriver heller ikke hvor alvorlige sikkerhetsbruddene er, sier spesialrådgiver Vegard Valther Hansen ved Norsk Utenrikspolitisk Institutt (NUPI).

— Hvordan ser du på formuleringen om at mesteparten av kryptoutstyret ble gjort rede for etter noen uker?

— Regler for håndtering av slikt materiell gjelder særlig i ekstreme situasjoner, som krig eller terror. Da er sikkerhetskravene absolutte. Det er bekymringsfullt at man lang tid etter hendelsen ikke har rapportert om manglende eller savnede dokumenter eller kryptomateriell, sier Hansen.

Må ta konsekvensen

— Hvor alvorlig er det at både dokumenter og utstyr kan være kompromittert?

— Utstyr og dokumenter kompromitteres hvis personer, som verken er sikkerhetsklarert eller autorisert, får tilgang til materialet. Det er ikke nødvendigvis i seg selv alvorlig, men så lenge man ikke har kontroll over materialet, må man ta for gitt at det kan falle i hendene på noen som kan misbruke det. Det trenger ikke være fremmede makter, men kan like gjerne være alt fra journalister til noen som forsøker å tjene penger på det.

— Jeg regner med at det materialet man ikke kunne gjøre rede for, er fulgt opp av NSM, selv om noe nok også ble fysisk ødelagt i eksplosjonen. Har man indikasjoner på at gradert materiell og informasjon er i besittelse av noen som kan misbruke det, må man ta konsekvensen, eksempelvis ved å bytte ut krypteringsutstyr og krypteringsnøkler, sier Vegard Valther Hansen.