Staten skal bli bedre på informasjonssikkerhet

Staten skal bli bedre på informasjonssikkerhet

Regjeringen legger nå frem en ny handlingsplan som skal bidra til bedre informasjonssikkerhet i staten. Hvorfor legger staten fram denne planen nå? 

Regjeringen legger nå frem en ny handlingsplan som skal bidra til bedre informasjonssikkerhet i staten. Hvorfor legger staten fram denne planen nå? Handlingsplanen er en direkte oppfølging av Nasjonal strategi for informasjonssikkerhet og Riksrevisjones anmerkninger om manglende samordnet tilnærming til informasjonssikkerhet i staten. Mens den nasjonale strategien trekker opp utfordringsbildet for Norge, retter handlingsplanen seg mot statens utfordringer spesielt.

Statlige virksomheter trenger en felles og målrettet innsats. Direktoratet for forvalting og ikt (Difi) har kartlagt utfordringene i staten. I følge Difi har flere virksomheter utfordringer med å få på plass et styringssystem for informasjonssikkerhet som fungerer i praksis. Staten mangler en felles forståelse av hva risiko er og hvilken risiko som kan defineres som akseptabel. Difi har også observert at mange virksomheter har et for lavt kunnskapsnivå, manglende opplæring av ansatte, og en for svak sikkerhetskultur.

Informasjonssikkerhet er en forutsetning for digitalisering i offentlig sektor. Ansatte i staten må vite hvordan de skal håndtere informasjon og vite hvordan de bruker it-løsninger, pc-er og andre enheter på en trygg måte slik at informasjon ikke kommer på avveie. Utviklerne av digitale offentlige tjenester skal også ha den nødvendige kompetansen til å kunne utvikle trygge og stabile systemer og nett, slik at de motstår innbrudd, og at sensitiv informasjon kommer på avveie. Med nye måter å jobbe og levere tjenester på skal ikke informasjonssikkerhet følge etter. Den skal følge med.

God sikkerhetskultur og trygge og stabile ikt-løsninger er et lederansvar. Handlingsplanen retter seg mot toppledelsen og sikkerhetsansvarlige i alle fagdepartement. Formålet er en felles tilnærming til sikkerhetsutfordringer. Dette er nødvendig for å oppnå digital samhandling i statsforvaltningen, i offentlig sektor som helhet, og med brukerne av offentlige tjenester.

Handlingsplanen har tre viktige mål:

  1. Befolkningen, næringslivet og forvaltningen skal ha tillit til at alle systemer, nettverk, og digitale tjenester som utvikles og driftes av virksomheter i offentlig sektor, er sikre og pålitelige.
  2. Fagdepartementene skal ha en felles forståelse av hvilke særskilte utfordringer knyttet til utvikling og drift av digitale offentlige tjenester statsforvaltningen har.
  3. Ledere, utviklere, driftsansvarlige og brukere ansatt i statsforvaltningen skal få økt kompetanse og bevissthet omkring behovet for informasjonssikkerhet.

Ikt-sikkerhet er viktig. Samtidig krever ikke all informasjon samme sikkerhetsnivå. Konfidensialitet, tilgjengelighet og integritet må alltid veies mot hverandre. Det er derfor viktig at ledelsen har kompetanse til å finne en riktig balanse. Gode risikovurderinger og bevissthet om hva som er akseptabel risiko, er viktig for å lykkes med digitalisering.

Etter at regjeringen tiltrådte for to år siden har den satt styring og ledelse i statsforvaltningen på dagsorden. Et eget program for styring og ledelse skal bidra til bedre resultater og bedre gjennomføring av beslutninger. Planen skal gi støtte til virksomhetsledere i deres ansvar for informasjonssikkerheten slik at befolkningen har tillit til at informasjonen deres blir håndtert på en trygg måte.