Mange virksomheter håndterer ikke graderte IKT-systemer i samsvar med regelverket og det forekommer også avvik fra bestemmelser om håndtering av krypto, heter det i rapporten fra Nasjonal sikkerhetsmyndighet (NSM).

Alvorlig bekymret for Norges IKT-sikkerhet

NSM klager over manglende lederforankring og dårlig organisering av sikkerhetsarbeidet.

I dag har Nasjonal sikkerhetsmyndighet (NSM) publisert sin årlige rapport om rikets sikkerhetstilstand. Rapporten er allment tilgjengelig i ugradert versjon (pdf, 10 sider).

Rapporten sammenfatter hvordan NSM vurderer etterlevelsen av sikkerhetsloven. Loven skal sørge for at sikkerhetsgradert informasjon beskyttes mot spionasje, sabotasje og terror. Den gjelder for nærmere 600 norske virksomheter, og omfatter Forsvaret, offentlig forvaltning samt enkelte private virksomheter.

Den begynner slik:

– Det er et forbedringspotensial når det gjelder sikkerhetstilstanden i Norge. I denne rapporten redegjør NSM for sin bekymring knyttet til forhold som manglende lederforankring, manglende organisering av sikkerhetsarbeidet, samt andre sentrale forhold av betydning for sikkerhetstilstanden.

Den fortsetter like skarpt. I tillegg til manglende ledelsesengasjement og mangelfull organisering, hudflettes sikkerhetsvirksomhetene også for:

  • Mangelfull kompetanse og bevissthet
  • Mangelfull deteksjon, rapportering og håndtering av hendelser
  • Mangler i sikkerhetsklarering og autorisasjon
  • Mangelfull håndtering og oppbevaring av graderte dokumenter
  • Mangler innen håndteringen av graderte IKT-systemer

NSM poengterer et «økende gap mellom risikobilde og sikkerhetsarbeid» og «manglende forståelse» for både risikonivå og trusselbilde i de virksomhetene som er underlagt sikkerhetsloven.

Rapporten forteller at trusselnivået knyttet til IKT-baserte virkemidler har økt de siste to årene. Varslingssystemet for digital infrastruktur (VDI) melder stadig oftere om «IKT-hendelser», som er stadig mer alvorlige og vanskeligere å håndtere.

NSM konstaterer mangler innen håndtering av graderte IKT-systemer:

Mange virksomheter håndterer ikke graderte IKT-systemer i samsvar med regelverket og det forekommer også avvik fra bestemmelser om håndtering av krypto.

Sikkerhetsgradert informasjon blir ofte behandlet på informasjonssystem som ikke er sikkerhetsgodkjent og som ofte ikke er merket slik at det er mulig å identifisere maskinvaren som sikkerhetsgradert. Utfordringen er unødvendig ettersom det i mange tilfeller er mulig for virksomheten å enkelt sikkerhetsgodkjenne og merke informasjonssystemet selv.

Videre viser NSMs tilsyn at sikkerhetsgraderte informasjonssystemer ofte er mangelfullt dokumenterte og registrerte. Blant annet mangler vurdering av risiko i forbindelse med plassering og bruk. Det samme gjelder ofte andre sikkerhetsgraderte lagringsmedier, særlig minnepinner.

Instrukser for sikker bruk av sikkerhetsgraderte informasjonssystemer mangler ofte helt eller er svært mangelfulle. NSMs tilsyn viser at sikkerhetsvilkår knyttet til IKT-tjenesteleveranse oftest ikke er regulert i avtale eller på annen måte.

Det går fram av rapporten at mange norske sikkerhetsvirksomheter har opplevd datainnbrudd. NSM konstaterer:

Det er ikke usannsynlig at store mengder informasjon er på avveie som følge av disse datainnbruddene. I de fleste av disse sakene har det vært avdekket at berørte systemer har vært kompromittert over lengre tid.

NSM påpeker utstrakt sløvhet i virksomhetene som burde ha vært fremst i rekken av gode eksempler på IKT-sikkerhet:

Majoriteten av alle cyberangrep går mot sårbarheter hvor det finnes sikkerhetsoppdateringer og andre sikkerhetstiltak. Likevel observeres det at mange mindre sofistikerte angrep er vellykkede. Det er urovekkende. Sikkerhetsbarrierene er ofte unødvendig lave. Det finnes store mangler i forhold til vedlikehold og oppdatering av sårbare systemer.

En spesiell advarsel gjelder mobiltelefoner. NSM-rapporten viser ikke bare til muligheten for spredning av ondsinnet kode via mobiltelefon, men også til at det generelt i sikkerhetsvirksomhetene er «lav bevissthet om sårbarheter og trusler knyttet til bruk av mobiltelefoner». NSM finner grunn til å understreke «at mobiltelefoner kan spores og samtaler kan avleses, også på avstand». Advarselen kan tyde på at selv ikke norske etterretningsfolk tar tilstrekkelige forholdsregler.

Men det er ikke mye NSM kan få til på egen hånd. Det er bare å håpe at de som har ansvaret for rikets sikkerhet følger opp rapportens avsluttende oppfordring:

Gjennom tilsyn avdekker NSM brudd på lovpålagte krav til sikring av sikkerhetsgradert informasjon. Tilsynsrapportene, og medfølgende pålegg, er utformet slik at tilsynsobjektene skal være i stand til å korrigere underliggende forhold, for dermed å hindre at avvikene gjentar seg. Tilsynsrapportene omhandler forbedringspunkter og er ment som bidrag til virksomhetens kontinuerlige arbeid med å videreutvikle og forbedre den forebyggende sikkerhetstjenesten.

    Les også:

Til toppen