Nav får sterk kritikk for svak IKT-sikkerhet

Riksrevisor Per-Kristian Foss peker i en fersk revisjon på for dårlig IKT-sikring i flere offentlige organer.
Riksrevisor Per-Kristian Foss peker i en fersk revisjon på for dårlig IKT-sikring i flere offentlige organer. Foto: Håkon Mosvold Larsen / NTB scanpix
Artikkelen fortsetter under annonsen

Det er sterkt kritikkverdig at Nav og Kunnskapsdepartementet ikke har sikret tilfredsstillende informasjonssikkerhet, ifølge Riksrevisjonen.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

Også Direktoratet for økonomistyring (DFØ) får samme harde kritikk i Riksrevisjonens årlige revisjon og kontroll av for budsjettåret 2017, som ble lagt fram torsdag.

Der kommer det fram at mange statlige virksomheter har for dårlig sikring av IKT-systemer og sensitiv informasjon.

– Våre undersøkelser viser at det er vesentlige mangler i styringen av informasjonssikkerhet og sikring av IKT-systemer, sier riksrevisor Per-Kristian Foss i en pressemelding.

– Dette gir risiko for at opplysninger kommer på avveie eller at funksjoner settes ut av spill, fremholder han.

Kritikkverdig

For de tre nevnte statlige organene er det for dårlig styring av informasjonssikkerhet og sikring av IKT-systemer som ifølge Riksrevisjonen er problemet.

Ofte er det mangler i grunnleggende sikkerhetstiltak som tilgangsstyring og overvåking av egne systemer, slås det fast.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

– Det er kritikkverdig at dette ikke følges opp bedre, framholder Foss.

– På papiret har flere virksomheter styringssystemer for informasjonssikkerhet, men våre undersøkelser viser at det er store utfordringer med å få systemene til å fungere. Det er ofte vanskelig å se sammenheng mellom identifiserte risikoer og risikoreduserende tiltak, sier han.

«Kan utnyttes i dataangrep»

Riksrevisjonen oppsummerer kritikken slik:

* Nav har etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes i dataangrep av interne og eksterne aktører.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

* DFØ har ikke god nok sikring av personopplysninger i lønns- og personalsystemet som benyttes for ansatte i 171 virksomheter.

* Kunnskapsdepartementet har ikke sikret at driftsleverandørene leverer tilfredsstillende sikkerhet i økonomisystemene til universiteter og høyskoler.

Artikkelen fortsetter under annonsen

Flere får kritikk

Samtidig peker Riksrevisjonen på forhold som beskrives som kritikkverdige hos Arbeidstilsynet, Statens kartverk, Fylkesnemndene for barnevern og sosiale saker samt ett universitet og to høyskoler.

Både Arbeidstilsynet og Statens kartverk har styringssystemer for informasjonssikkerhet, men styringen har ikke fungert, og det er svakheter i sikringen av IKT-systemer, ifølge revisjonen.

Samtidig har Fylkesnemndene for barnevern og sosiale saker ikke et styringssystem for informasjonssikkerhet og ikke god nok oppfølging av sikkerhet i tjenester som er satt ut til eksterne.

For ett universitet og to høyskoler er situasjonen at styringssystemene ikke ivaretar god nok sikkerhet ved behandlingen av personopplysninger i forskningsprosjekter, ifølge Riksrevisjonen.