Knallhard kritikk av Norges IT-sikkerhet

Riksrevisjonen bruker blant annet ord som "Elendig gjennomføring" i sin slakt av statens IT-sikring.

Riksrevisjonen bruker blant annet ord som "Elendig gjennomføring" i sin slakt av statens IT-sikring.

Riksrevisjonen har overlevert en ny rapport til Stortinget om myndighetenes arbeid med å sikre IT-infrastruktur. Det er ikke hyggelig lesing.

Rapporten tegner et bilde av et samfunn som blir stadig mer avhengig av IT-infrastruktur. Samtidig blir truslene mot disse systemene mer alvorlige, uten at sikringsarbeidet gjøres godt nok til å møte utfordringen.

Anvarsfordelingen beskrives som fragmentert og uklar. Ansvaret for IT-sikkerhet ligger hovedsakelig hos det enkelte departement eller virksomhet, men flere departementer og underliggende virksomheter har koordinerende roller eller tversgående tilsynsoppgaver.

Riksrevisjonen mener at ansvaret for disse oppgavene ikke er tilstrekkelig avklart, at ansvar og oppgaver er fragmentert, og at begrensede ressurser brukes til overlappende oppgaver.

Konklusjonen er at IT-sikkerhetsarbeidet er preget av mange aktører og uklare ansvarsforhold. Det er ingen som har overordnet ansvar for at arbeidet koordineres og følges opp, og Riksrevisjonen etterlyser en klar plassering av denne oppgaven.

I Nasjonal strategi for informasjonssikkerhet fra 2003 ble det lagt frem en rekke tiltak som skulle bidra til bedre IT-sikkerhet både innen kritisk infrastruktur og i samfunnet for øvrig. Men dagens undersøkelse viser at få av tiltakene faktisk er iverksatt.

Riksrevisjonen anbefaler at det offentliges vern mot IT-angrep bør gis høyeste prioritet, og at departementene må legge mer vekt på en koordinert, helhetlig styring og oppfølging av arbeidet med IT-sikkerhet.

Spørsmålet er nå om det er bedring i sikte. Moderniseringsdeparte¬mentet påpeker at det nylig er opprettet en interdepartemental arbeidsgruppe som skal vurdere ansvarsforholdene. Dessuten skal det opprettes en nasjonal CERT-gruppe (Computer Emergency Response Team), som sammen med Senter for informasjonssikring skal utgjøre et helhetlig konsept for nasjonal varsling og rådgivning innen IT-sikkerhet. Det ble nylig besluttet at Senteret for informasjonssikring flyttes fra Trondheim til Gjøvik.

Til toppen