STERK KRITIKK: Riksrevisor Per-Kristian Foss påpeker svak informasjonssikkeerhet i flere statlige virksomheter, og retter sterk kritikk mot Oljedirektoratet og Politiet. (Arkivfoto: Dag-Rune Z. Vollen)

STERK KRITIKK: Riksrevisor Per-Kristian Foss påpeker svak informasjonssikkeerhet i flere statlige virksomheter, og retter sterk kritikk mot Oljedirektoratet og Politiet. (Arkivfoto: Dag-Rune Z. Vollen)

Sterk kritikk mot statlig it-sikkerhet

Riksrevisjonen har avdekket vesentlige svakheter ved informasjonssikkerheten i flere statlige virksomheter. Oljedirektoratet trekkes fram som versting.

Riksrevisjonen påpeker at digitaliseringen bidrar til å gjøre kritiske samfunnsfunksjoner sårbare, og at det tas i bruk stadig mer avanserte metoder ved dataangrep på statlige virksomheter. Derfor må informasjonssikkerheten tas på alvor, men flere statlige virksomheter har svak informasjonssikkerhet, viser Riksrevisjonens rapport for regnskapsåret 2016.

Oljedirektoratet

Oljedirektoratet håndterer informasjon om og fra oljesektoren som det er viktig å beskytte. Riksrevisjonen har ved tidligere anledninger rapportert om vesentlige svakheter i ODs styringssystem for informasjonssikkerhet, og nå i Riksrevisjonens rapport påpekes det at Oljedirektoratet fremdeles ikke har løst dette.

— Det er sterkt kritikkverdig at direktoratet fortsatt ikke har et tilfredsstillende styringssystem for informasjonssikkerhet, sier riksrevisor Per-Kristian Foss i en pressemelding.

Riksrevisjonen skriver at det er ikke en klar sammenheng mellom risiko og sårbarhet og de sikkerhetstiltak som er iverksatt, og det er ikke gjennomført evaluering og forbedring av styringssystemet for informasjonssikkerhet.

— Mangelfull informasjonssikkerhet øker risikoen for hendelser som kan skade samfunnets tillit til direktoratet, og som kan få forretningsmessige konsekvenser for oljesektoren, understreker Foss.

Skattedirektoratet får også kritikk

Oljedirektoratet er ikke alene om å befinne seg i Riksrevisjonens søkelys. Valutaregisteret, som er underlagt Skatteetaten, inneholder store mengder personopplysninger og har heller ikke tilfredsstillende informasjonssikkerhet.

Riksrevisjonen skriver at «Skattedirektoratet har ikke gjennomført risikovurderinger av informasjonssikkerhet for valutaregisteret. Manglende krav til og oppfølging av eksterne databehandlere som forvalter og drifter registeret har ført til svakheter i informasjonssikkerheten. Flere enn nødvendig har administratorrettigheter, som gir mulighet til å lese, kopiere, endre og slette opplysninger. Det er heller ikke rutiner som sikrer at uautorisert bruk vil bli oppdaget».

— Det er kritikkverdig at Skattedirektoratet ikke har sikret opplysningene i valutaregisteret slik valutaregisterloven og personopplysningsloven krever, sier Foss.

Politiet har sovet siden 2009

I årets revisjonsrapport får også Politiet gjennomgå. Her påpeker Riksrevisjonen at problemer som har vært kjent siden revisjonsrapporten for 2009 fremdeles ikke er rettet. Dette gjelder særlig Politiets håndtering av beslag i straffesaker, som ikke befinner seg der systemet angir at de skal være.

Riksrevisjonen skriver at dette særlig gjelder for Oslo politidistrikt, som har 20 prosent av alle beslagene i landet. 12 prosent av beslagene som er kvittert inn oppbevares ikke der datasystemene til Politiet sier at de skal være. Ingen av de fem politistasjonene som ble undersøkt kunne vise fram dokumentasjon om når og hvor destruksjon av det enkelte beslag ble gjennomført, eller hvem som var til stede.

— Vi finner det sterkt kritikkverdig at mange beslag i politi- og lensmannsetaten ikke befinner seg der virksomhetens datasystemer angir at de skal være. Det er også kritikkverdig at Politidirektoratet ikke gjennomfører risikovurderinger og at direktoratet i liten grad følger opp og dokumenterer politidistriktenes håndtering og oppfølging av beslag, særlig siden vi også påpekte flere av disse utfordringene i 2009, sier riksrevisoren.