DATASIKKERHET: Hele tre av fem statlige virksomheter har helt eller i stor grad satt ut sin IKT-drift. Halvparten mener de bare i noen grad har tilstrekkelig kapasitet, eller dårligere.
Colourbox/Nikita Lisovoy
Datasikkerhet
Ny rapport avdekker sårbarheter i statlig IKT-sikkerhet
Ni av ti statlige virksomheter og leverandørers IKT-drift er ikke sertifisert etter den mest anerkjente internasjonale sikkerhetsstandarden.
erlend.tro.klette@lomedia.no
En betydelig andel av Norges statlige virksomheter melder selv at de mangler kompetanse på informasjonssikkerhet.
Dette kommer frem i en nylig publisert rapport, produsert på bestilling fra Kommunal- og distriktsdepartementet, der IKT-løsninger i statlige virksomheter kartlegges.
Under halvparten av virksomhetene melder at de i stor grad har tilstrekkelig spesialkompetanse på informasjonssikkerhet. Dette er «en mangel som bør reduseres,» konkluderes det i rapporten.
I tillegg har bare elleve prosent av de statlige virksomhetene som svarte på undersøkelsen blitt sertifisert under den mest anerkjente internasjonale sikkerhetsstandarden, ISO 27001.
Må kunne tolkes som sårbarheter
Det betyr ikke at de har funnet konkrete hull i den statlige IKT-sikkerheten, ifølge Henning Denstad, seniorrådgiver for A-2 Norge AS og prosjektansvarlig for rapporten.
– Men at rapporten vår avdekker sårbarheter, må man kunne tolke.
Flere av virksomhetene forklarer i undersøkelsen at de har styringssystemer for informasjonssikkerhet basert på anerkjente standarder, men at de ikke er formelt sertifisert. Det kan være problematisk, fordi ISO-standarden setter krav til hvilke prosesser, rutiner og retningslinjer man må ha.
– Dersom man ikke er sertifisert, blir man ikke stilt overfor noen som går deg etter i sømmene. Fordelen med sertifisering er at du blir revidert. Det tvinger deg til å tenke gjennom mye, og definerer kontroller. Det er ikke alle som klarer det på egen hånd, sier Denstad.
Nesten en av tre følger ikke grunnprinsipper
Seniorrådgiveren presiserer at det ikke var meningen å avdekke konkrete, kritiske sikkerhetsmangler i undersøkelsen. Han hevder at hvis man skal gjøre en ordentlig vurdering av mulige svakheter, må man gå mer detaljert til verks.
– Vi var ute etter indikasjoner. Om kompetansen er i orden, grunnleggende ting. Det sier noe om tilstanden, sier Denstad.
En av de grunnleggende tingene Denstad lette etter var hvorvidt de statlige virksomhetene etterlevde Nasjonal Sikkerhetsmyndighets grunnprinsipper. Nesten en tredjedel av de statlige virksomhetene som besvarte undersøkelsen følger bare «i noen grad» disse grunnprinsippene.
Men alle virksomheter kan ifølge Denstad bedre informasjonssikkerheten sin ved å øke bevisstheten rundt digitale utfordringer.
– En ting er hva leverandøren av IKT-sikkerhet kan blokkere av angrep og spionasjeforsøk. Mye går på hvordan brukeren, den ansatte, agerer. Hvor lemfeldig man er med passord. Om man slipper inn folk i lokalene uten å vite hvem de er og hvor de skal. Mye går på det menneskelige. Man kan nesten alltid spørre «når har man nok?».
Angrep mot fellesløsninger er alvorlig sikkerhetsrisiko
Det er Kommunal- og distriktsdepartementet som har ansvar for IKT-politikk og digitalisering av offentlig sektor. Statssekretær Gunn Karin Gjul i KDD svarer på epost til NTL-magasinet at departementet skal arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i forvaltningen.
«Angrep mot offentlig sektors fellesløsninger er en alvorlig sikkerhetsrisiko. Obligatorisk bruk av sikkerhetstiltak og -standarder blir derfor vurdert fortløpende,» skriver Gjul.
Hun påpeker at Justis- og beredskapsdepartementet har et samordningsansvar for digital sikkerhet i sivil sektor, og etablerer nasjonale krav og anbefalinger for offentlige og private virksomheter.
«Enkelte sikkerhetsstandarder er pålagt å bruke gjennom Forskrift om IKT-standarder i forvaltningen. Kompetansebygging er også helt sentralt. NSM, ved Nasjonalt cybersikkerhetssenter, har på sine nettsider publisert råd om digital sikkerhet som alle virksomheter bør følge,» mener statssekretæren.
Allikevel sier Gjul at det er «virksomhetens egenart» som avgjør hvorvidt ISO-standarden bør tas i bruk.
«Krav om innføring av et styringssystem for informasjonssikkerhet legger ikke opp til obligatorisk bruk av ISO 27000, men peker på at standarden kan legges til grunn.»
Massive digitale utfordringer nå og i fremtiden
38 kjente dataangrep rammet norske virksomheter i 2021, ifølge digi.no. I starten av fjoråret opplevde Østre Toten kommune et dataangrep som tvang kommunen til å gå over til analoge hjelpemidler. NRK hevder angrepet hittil har kostet Østre Toten 35 millioner kroner.
I rapporten beskrives sikkerhetsutfordringene i dagens, og ikke minst fremtidens, digitale samfunn som massive. «Disse utfordringene treffer alle statlige virksomheter. [...] Samtidig blir de statlige virksomhetene mer digitale og avhengige av internett og skyløsninger.»
«Fragmentert og lite koordinert»
På spørsmål om hvor mye regjeringen mener er opp til hver enkelt statlig virksomhet å løse, skriver statssekretæren i KDD at helhetlig styring og kontroll av informasjonssikkerhet skal være en integrert del av alle offentlige og private virksomheter.
«Dette er et lederansvar, og kan ikke overtas av myndighetene eller regjeringen. Selv om alle virksomheter har et ansvar for å ivareta sin egen digitale sikkerhet gjør samfunnets digitale avhengighet det helt nødvendig med et styrket samarbeid og partnerskap på tvers av offentlig og privat sektor,» mener Gjul.
Hun sier flere sentrale tiltak er iverksatt for å gjør det digitale Norge tryggere, og viser til at det relativt nye Digitaliseringsdirektoratet har styrket sitt tilbud til forvaltningen. I tillegg trekker hun frem «Veiledning i helhetlig styring og kontroll av informasjonssikkerhet», nylig utgitt i felleskap av Digdir, NSM og Direktoratet for forvaltning og økonomistyring.
«Dette er oppfølging av tidligere kartlegginger som påpeker at råd og veiledning på informasjonssikkerhetsområdet fremstår som «fragmentert og lite koordinert».»
Rapport: «Kartlegging av drift og forvaltning av IKT-løsninger i statlige virksomheter»
Kommunal- og distriktsdepartementet, Justis- og beredskapsdepartementet og Finansdepartementet har i samarbeid kartlagt drift og forvaltning av IKT-løsninger i staten. Rapporten fra A-2 Norge AS viser blant annet at mer enn halvparten av virksomhetene har satt ut alt eller nesten alt av IKT-drift og forvaltning.
Kartleggingen er gjennomført i perioden september til desember 2021. I alt var 259 statlige virksomheter invitert til å bidra i undersøkelsen, og det ble mottatt svar fra 199 av disse (77 prosent).
Det viktigste verktøyet i kartleggingen har vært gjennomføring av en spørreundersøkelse. Denne har blitt supplert av dokumentgjennomgang og intervjuer med utvalgte virksomheter.
Oppdragsansvarlig og prosjektleder har vært Henning Denstad, seniorrådgiver hos konsulentselskapet A-2, med Morten Kallevig og Trond Aasland som prosjektmedarbeidere.
Med statlige virksomheter menes forvaltningsorganer og forvaltningsbedrifter som er finansiert over statsbudsjettet, samt særlovsselskaper og statsforetak.
Kilde: Pressemelding, regjeringen.no
Rapport: «Kartlegging av drift og forvaltning av IKT-løsninger i statlige virksomheter»
Kommunal- og distriktsdepartementet, Justis- og beredskapsdepartementet og Finansdepartementet har i samarbeid kartlagt drift og forvaltning av IKT-løsninger i staten. Rapporten fra A-2 Norge AS viser blant annet at mer enn halvparten av virksomhetene har satt ut alt eller nesten alt av IKT-drift og forvaltning.
Kartleggingen er gjennomført i perioden september til desember 2021. I alt var 259 statlige virksomheter invitert til å bidra i undersøkelsen, og det ble mottatt svar fra 199 av disse (77 prosent).
Det viktigste verktøyet i kartleggingen har vært gjennomføring av en spørreundersøkelse. Denne har blitt supplert av dokumentgjennomgang og intervjuer med utvalgte virksomheter.
Oppdragsansvarlig og prosjektleder har vært Henning Denstad, seniorrådgiver hos konsulentselskapet A-2, med Morten Kallevig og Trond Aasland som prosjektmedarbeidere.
Med statlige virksomheter menes forvaltningsorganer og forvaltningsbedrifter som er finansiert over statsbudsjettet, samt særlovsselskaper og statsforetak.
Kilde: Pressemelding, regjeringen.no
Mest lest
– Hvis du lurer på hvorfor Norges største parti ikke lenger er Norges største parti, så kan dette være en av forklaringene, sier HK-lederen, med klar henvisning til Tonje Brennas siste uttalelse om matkøene i Norge. (Arkivfoto)
Jan-Erik Østlie
LO-forbund etter Brennas uttalelser om matkøer: – Vi er sjokkert
Et flertall på Stortinget ønsker at uføre skal kunne tjene mer ved siden av trygden. (Illustrasjonsfoto)
Brian Cliff Olguin
Stortinget ønsker at uføre skal kunne tjene mer
Leder i Fellesforbundet, Jørn Eggum, har tidligere argumentert for at uføre skal ha rettigheter i en AFP-ordning. Det har vedtaket på Fellesforbundets landsmøte satt en stopper for.
Håvard Sæbø
Det blir ingen AFP-pensjon for uføre, slår Eggum fast
Tore Kristiansen / VG
Fersk måling: Nedtur for Høyre og Erna Solberg
– Jeg føler meg ikke noe verdsatt. Om de ikke ville ha meg der, kunne de jo gitt beskjed tidligere – jeg har tre barn og regningene må betales, sier Siyyam.
Jan-Erik Østlie
Siyyam føler seg presset ut av jobben: – Jeg ble for dyr
Fra lønnsoppgjøret 2023. (Arkivbilde)
Tormod Ytrehus
De avgjorde din nye lønn. Se hva toppene i arbeidslivet tjener
Ap- nestleder og statsråd Tonje Brenna forsvarer hun sosialhjelp som velferdsstatens «nødhjelp», sier en julekrisepakke ikke er rett lut mot matkøene. (Arkivfoto)
Jan-Erik Østlie
Brenna får kritikk for matkø-budskap: Arrogant og hjerterått
I august 2017 fjernet Forsvaret et tillegg som ansatte med undervisningsplikt hadde, kalt «skoletillegget». 10. mars 2023 vant offiserene over Forsvaret i lagmannsretten, noe som resulterte i utbetalinger på 100 millioner kroner.
Sebastian Christiansen / Forsvaret
Over 400 i Forsvaret får nå etterbetalt store summer
Jonas Gahr Støre og resten av Ap-ledelsen vil lytte til folket når de nå skal utvikle ny politikk.
Jan-Erik Østlie
Ap ber om hjelp. Nå kan du si din mening
Ole Palmstrøm
FHI-ansatte beholder jobben. – Nå kan jeg ta jul med senkede skuldre
Plutselig dukker ikke lønna opp som avtalt. Da er det greit å vite hvilke steg man må ta.
Colourbox
Seks råd til folk som ikke har fått lønna de har krav på
BESKYTTELSE: Ettersom Xofigo er en radioaktiv medisin, må den pakkes godt inn og fraktes trygt.
Espen Solli
Medisinen de lager her, skal redde pasienter over hele verden
TRIVES: Kommunen har kjøpt opp én bolig i hver blokk i dette området. – Det er dritlurt, for da blir det ikke så mye spetakkel, sier Berit.
Berit Baumberger
Skitbyen-Berit med ti råd til Nav
FÅR DET VERRE: Arbeidsledige som blir sanksjonert får enda strammere økonomi, mener Nav-forskerne.
Illustrasjonsfoto: Colourbox
Strengere regler for arbeidsledige virket ikke etter hensikten
Barnetrygden øker med 2400 kroner i året for barn over seks år.
Martin Guttormsen Slørdal
Enige om statsbudsjettet: Øker barnetrygden og minstesatsen for uføre
Arild Martinsen (55) er bekymret for pensjonen: – Ingen kunne forestilt seg at endringene skulle skje så fort.
Ylva Lie Bjerke
Arild har jobbet i kommunen i 14 år. Nå er han bekymret for pensjonen
– Dette med rus og alkohol er fortsatt tabulagt og oppleves av mange som noe privat, sier rådgiver i Akan kompetansesenter.
Sissel M. Rasmussen
Drikker du for mye med kollegaene dine?
Brannpersonellet på Avinors flyplasser må vente på kommunalt brannvesen.
Anne Marthe Vestre Berge
Brannfolk får ikke redde passasjerer fra røykfylte fly: – Jeg frykter at liv skal gå tapt
Erlend Angelo
Catos epost diskutert i Høyesterett: – Helt uvirkelig at det havnet her
Lina Winge