DSS sier seg ferdige med alle tiltakene for å utbedre den elendige IT-sikkerheten i regjeringskvartalet, som påtalt av Riksrevisjonen i 2010. I mellomtiden ble regjeringskvartalet smadret av terrorbomben 22. juli 2011, noe som medførte forsinkelser i arbeidet. (Bilde: Terje Pedersen/ANB/All Over Press)

Ikke lenger pill råtten IT-sikkerhet?

Vage svar om regjeringens datanett.

KOMMENTAR: Datasikkerheten i regjeringskvartalet ble i 2010 avslørt som pill råtten. Den nedslående tilstanden var egentlig avdekket flere år tidligere, men i en rapport som hårreisende nok ble holdt skjult.

Riksrevisjonen refset regjeringen etter at det ble påvist en rekke alvorlige brudd. Både statsråders og andre medarbeideres pc-er var hacket, infisert av skadevare og utsatt for målrettet kyberspionasje.

Hvor mye data som fløt ukontrollert ut av regjeringskvartalet, det kunne ikke IT-minister Rigmor Aasrud svare på den gangen.

I etterspillet tok direktør Iver Gammelmo og IKT-direktør Petter Møller i Departementenes servicesenter (DSS) ansvar for fadesen, plukket med seg hattene sine og gikk av med øyeblikkelig virkning.

Nå viser det seg at opprydningsarbeidet, med gjennomføring av 116 identifiserte tiltak, har tatt over to år. I mellomtiden smalt terrorbomben, men likevel. Dette har jaggu tatt sin tid.

Først rett før jul kunne DSS-direktør Kjell Arne Knutsen og IKT-avdelingsdirektør Dag Anders Brunstad «friskmelde» egen etat.

Iallfall bekrefter de i et brev (pdf) til Fornyingsdepartementet at FIKS-prosjektet (Forbedret teknisk IKT-sikkerhet) er fullført. Det betyr at alle punktene Riksrevisjonen og Nasjonal sikkerhetsmyndighet (NSM) påtalte skal være håndtert.

- Vi vil med dette bekrefte at det siste tiltaket (...) nå er fullført. Dette gjaldt styrking av nettverkssikkerhet for alle departementer, skriver Knutsen og Brunstad.

Rapportene som omtaler den elendige IT-sikkerheten er gradert. Det samme er tiltakene som nå skal være utført. DSS er ikke særlig meddelsomme om arbeidet med å sikre landets sentrale statsforvaltning mot hackere og dataspionasje.

Derimot trår IKT-avdelingsdirektør Brunstad svært forsiktig når digi.no stiller spørsmål i anledning prosjektets ferdigstillelse.

Vi ba om en forklaring på tidsbruken, hva de konkret har gjort for å rette opp sikkerheten, hvem som har vært involvert i utbedringen og hva dette har kostet.

Har de skiftet ut programvare, endret eksisterende systemer, konfigurasjoner, kjøpt inn ny maskinvare, dreier det seg om opplæring av ansatte, endrede rutiner eller kanskje en kombinasjon av alt dette?

I hvilken grad er DSS trygge på at datasikkerheten i departementene nå er forsvarlig?

Men svarene vi får er svært vage. I stedet gir Brunstad oss en ferdig uttalelse, som vi velger å gjengi ordrett, med våre kommentarer innimellom:

«Viser til e-postkorrespondanse hvor det framkommer at jeg dessverre ikke har anledning til å stille i et telefonintervju. Som avtalt oversender jeg svar på dine spørsmål, og ber om at det følges vanlig prosedyre for sitatsjekk.»

Nå svarer IKT-direktøren i DSS faktisk ikke på mange av spørsmålene våre. Det er også merkelig å be om sitatsjekk for uttalelser man allerede selv har ført i pennen, slik IKT-direktøren her gjør.

«Arbeidet med lukking av krav og pålegg på informasjonssikkerhetsområdet har vært en omfattende og krevende oppgave. Direktøren i DSS og avdelingsdirektør på ikt-området valgte å fratre sine stillinger i 2010, og ny ledelse i DSS var på plass høsten 2011. Terrorhendelsen 22. juli 2011 virket forstyrrende på planlagte prosesser, og medførte endringer i framdriften på området», fortsetter Brunstad.

Vi merker oss at bomben ikke berørte IT-systemene. Alt datamateriale var i hovedsak inntakt etter angrepet 22. juli. At terroren som smadret deler av regjeringskvartalet påvirket arbeidet med informasjonssikring, slik det påvirket nær sagt alt arbeid i departementene, er likevel ingen overraskelse.

Når jeg spør FAD sier departementsråd Ingelin Killengreen at de er fornøyd med fremdriften, nettopp med tanke på utfordringene og forholdene som terroren 22/7 medførte.

Brunstad videre: «DSS har i ettertid av Riksrevisjonens påpekinger igangsatt flere prosjekter på sikkerhetsområdet. Tekniske tiltak for å utbedre påviste svakheter ble organisert under et felles program Forbedret teknisk IKT-sikkerhet (FIKS) i DSS, og skulle lukke konkrete sikkerhetssvakheter. I brev av 18. desember 2012 fra FAD til DSS formidles det at programmet FIKS er avsluttet. Det eksterne konsulentselskapet Ernst & Young har vært engasjert av departementet for å kvalitetssikre programmet, og DSS har i tillegg benyttet etablerte underleverandører i gjennomføringen. DSS leverer blant annet all ikt-drift for 13 departementer, og arbeidet i FIKS har bidratt til forbedringer på det tekniske området.»

At sikkerheten er styrket ved å lukke de mange alvorlige sikkerhetshullene de ble refset for, eller bidra til forbedringer, skulle da bare mangle.

«Parallelt med at DSS har arbeidet med å utbedre påviste svakheter besluttet Regjeringen 6. juni 2011 at det skulle utredes en ny ikt-løsning som skal dekke ugradert samt gradert informasjon opp til og med begrenset, og tilbys alle departementer samt SMK. DSS har gjennomført et forprosjekt og har fått 20 mill kr. til prosjektforberedelser, men er avhengig av ytterligere bevilgninger de påfølgende år.»

Virkelig? 20 millioner kroner bare til prosjektforberedelser er ikke snaut. Det sier vel litt om omfanget av arbeidet som gjenstår.

Killengreen kan fortelle at ny IKT-løsning i departementene er nødvendig, og at ulike alternativer utredes av eksterne konsulenter. Dette arbeidet er kommet omtrent halvveis, ifølge departementsråden. Hun svarer ikke på hvor mye anskaffelsen vil koste.

Landets øverste IT-byråkrat vil heller ikke si hvor mye penger utbedringen av datasikkerheten i departementene har kostet. « – Det er brukt betydelige midler både gjennom bevilgninger fra FAD og av DSS eget budsjett for å gjennomføre nødvendige utbedringer og til å gjennomføre etableringen av et styringssystem for informasjonssikkerhet. Hvor mye som har blitt brukt, ønsker vi ikke å gå detaljert inn på», svarer hun.

Budsjettet til DSS har for øvrig vokst fra 436 millioner kroner i 2008, 456 millioner kroner (2009), 476 millioner kroner (2010), 482 millioner kroner (2011) til 624,5 millioner kroner i 2012. Ikke hele veksten siste år skyldes terroren, som «bare» utløste nær 109 millioner kroner i ekstra tildelingsmidler fra regjeringen.

Brunstad avslutter slik: «Arbeidet med informasjonssikkerhet er en kontinuerlig prosess, og DSS fortsetter forbedringer av området som en del av sin virksomhet. DSS arbeider videre med utforming og implementering av et system for informasjonssikkerhet, nye arbeidsrutiner, rapportering og dokumentasjon på området. For best mulig utnyttelse av kompetansen på ikt-området ble det i 2012 foretatt en omstilling av ikt-avdelingen, og det arbeides med å bygge kompetanse på sentrale områder.»

Kompetansen kan altså ikke sies å være tilstrekkelig på sentrale områder riktig ennå, selv fem år etter at en intern rapport fra Departementenes servicesenter avslørte svært alvorlige sikkerhetshull.

Pressekontakt Margot Vågdal gir oss et slags svar på noen av spørsmålene som kollega Brunstad hoppet over:

- Hvordan vil dere beskrive informasjonssikkerheten i dag, sammenlignet med tilstanden Riksrevisjonen reagerte på i 2010?

- DSS har etablert et styringssystem for informasjonssikkerhet, som inngår i det samlede styringssystem i DSS. Videre har konkrete IKT-sikkerhetstiltak, som var definerte oppfølgingstiltak etter Riksrevisjonens merknader i 2010, blitt gjennomført ila 2012. Informasjonssikkerhet, inkl. rene IKT-sikringstiltak, er imidlertid ikke en engangsoppgave, men følges opp kontinuerlig, svarer Vågdal.

- I hvilken grad er DSS nå trygge på at informasjonssikkerheten er god nok?

- Informasjonssikkerhet må følges opp løpende. DSS anser at de aktuelle punkter er tilfredsstillende løst, men det kreves selvfølgelig kontinuerlig overvåkning og videreutvikling i forhold til det risikobildet som til enhver tid gjelder, sier hun.

Ingen i DSS ønsker altså å svare på om informasjonssikkerheten nå er tilfredsstillende. De kan krysse av for å ha gjennomført tiltakene de ble pålagt. At sikkerheten må følges opp kontinuerlig er opplagt at svaret mest er å regne som en floskel.

Kanskje er det likevel forståelig at ledelsen i DSS, med etatens historie friskt i minnet, ikke ønsker å binde seg til masten, for dermed eventuelt å gå ned med skuta hvis det dukker opp nye alvorlige sikkerhetsbrister?

    Les også:

Til toppen