Sterk kritikk mot Kunnskapsdepartementet, Nav og DFØ
Riksrevisjonen har også i år funnet kritikkverdige forhold ved it-sikkerheten hos flere statlige virksomheter.
I det som begynner å fortone seg som et fast årlig ritual får flere statlige virksomheter på pukkelen etter at Riksrevisjonen har overlevert sitt dokument Riksrevisjonens årlige revisjon og kontroll – budsjettåret 2017, til Stortinget.
Som vanlig er det flere av virksomhetene i staten som ikke klarer å få orden på informasjonssikkerheten sin. Det er alvorlig i en tid der digitaliseringen har virkelig begynt å skyte fart, kanskje særlig i offentlig sektor.
Vesentlige mangler
Det ligger i sakens natur at statlige virksomheter håndterer informasjon som er sensitiv eller som på andre måter er kritisk for landet. Derfor kontrollerer Riksrevisjonen alltid it-sikkerheten når de er ute på revisjon hos virksomhetene.
– Våre undersøkelser viser at det er vesentlige mangler i styringen av informasjonssikkerhet og sikring av IKT-systemer. Dette gir risiko for at opplysninger kommer på avveie eller at funksjoner settes ut av spill, sier riksrevisor Per-Kristian Foss i en pressemelding.
Riksrevisjonen påpeker at det ofte handler om grunnleggende sikkerhetstiltak som tilgangsstyring eller overvåking av egne systemer.
– Det er kritikkverdig at dette ikke følges opp bedre, framholder Foss. – På papiret har flere virksomheter styringssystem for informasjonssikkerhet, men våre undersøkelser viser at det er store utfordringer med å få systemene til å fungere. Det er ofte vanskelig å se sammenheng mellom identifiserte risikoer og risikoreduserende tiltak, legger han til.
Årets syndere er...
Det er ikke mild kritikk Riksrevisjonen fremfører mot de som har utmerket seg i den negative enden av skalaen: «Det er sterkt kritikkverdig at NAV, Direktoratet for økonomistyring (DFØ) og Kunnskapsdepartementet ikke har sikret tilfredsstillende informasjonssikkerhet», kan vi lese i pressemeldingen fra Riksrevisjonen.
De lister videre opp forholdene som de gir sterk kritikk hos de enkelte instansene.
NAV har etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes i dataangrep av interne og eksterne aktører.DFØ har ikke god nok sikring av personopplysninger i lønns- og personalsystemet som benyttes for ansatte i 171 virksomheter.Kunnskapsdepartementet har ikke sikret at driftsleverandørene leverer tilfredsstillende sikkerhet i økonomisystemene til universiteter og høyskoler. Videre vurderer Riksrevisjonen følgende som kritikkverdig hos Arbeidstilsynet, Statens kartverk, Fylkesnemndene for barnevern og sosiale saker samt ett universitet og to høyskoler:
Arbeidstilsynet og Statens Kartverk har styringssystemer for informasjonssikkerhet, men styringen har ikke fungert og det er svakheter i sikringen av IKT-systemer.Fylkesnemndene for barnevern og sosiale saker har ikke et styringssystem for informasjonssikkerhet og ikke god nok oppfølging av sikkerhet i tjenester som er satt ut til eksterne.Ett universitet og to høyskoler ivaretar med sine styringssystemer ikke god nok sikkerhet ved behandlingen av personopplysninger i forskningsprosjekter.