Også Direktoratet for økonomistyring (DFØ) får samme harde kritikk i Riksrevisjonens årlige revisjon og kontroll av for budsjettåret 2017, som ble lagt fram torsdag.
Der kommer det fram at mange statlige virksomheter har for dårlig sikring av IKT-systemer og sensitiv informasjon.
– Våre undersøkelser viser at det er vesentlige mangler i styringen av informasjonssikkerhet og sikring av IKT-systemer, sier riksrevisor Per-Kristian Foss i en pressemelding.
– Dette gir risiko for at opplysninger kommer på avveie eller at funksjoner settes ut av spill, fremholder han.
Kritikkverdig
For de tre nevnte statlige organene er det for dårlig styring av informasjonssikkerhet og sikring av IKT-systemer som ifølge Riksrevisjonen er problemet.
Ofte er det mangler i grunnleggende sikkerhetstiltak som tilgangsstyring og overvåking av egne systemer, slås det fast.
Det er store utfordringer med å få systemene til å fungere
– Det er kritikkverdig at dette ikke følges opp bedre, framholder Foss.
– På papiret har flere virksomheter styringssystemer for informasjonssikkerhet, men våre undersøkelser viser at det er store utfordringer med å få systemene til å fungere. Det er ofte vanskelig å se sammenheng mellom identifiserte risikoer og risikoreduserende tiltak, sier han.
«Kan utnyttes i dataangrep»
Riksrevisjonen oppsummerer kritikken slik:
_logo.svg.png){kind=logo}
* Nav har etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes i dataangrep av interne og eksterne aktører.
* DFØ har ikke god nok sikring av personopplysninger i lønns- og personalsystemet som benyttes for ansatte i 171 virksomheter.
* Kunnskapsdepartementet har ikke sikret at driftsleverandørene leverer tilfredsstillende sikkerhet i økonomisystemene til universiteter og høyskoler.
Flere får kritikk
Samtidig peker Riksrevisjonen på forhold som beskrives som kritikkverdige hos Arbeidstilsynet, Statens kartverk, Fylkesnemndene for barnevern og sosiale saker samt ett universitet og to høyskoler.
Både Arbeidstilsynet og Statens kartverk har styringssystemer for informasjonssikkerhet, men styringen har ikke fungert, og det er svakheter i sikringen av IKT-systemer, ifølge revisjonen.
Samtidig har Fylkesnemndene for barnevern og sosiale saker ikke et styringssystem for informasjonssikkerhet og ikke god nok oppfølging av sikkerhet i tjenester som er satt ut til eksterne.
For ett universitet og to høyskoler er situasjonen at styringssystemene ikke ivaretar god nok sikkerhet ved behandlingen av personopplysninger i forskningsprosjekter, ifølge Riksrevisjonen.
