Riksrevisjonen: Dårlig samordning kan få alvorlige konsekvenser for digital sikkerhet
Justis- og beredskapsdepartementet ivaretar ikke ansvaret de har for digital sikkerhet i sivil sektor godt nok. Det viser en ny undersøkelse fra Riksrevisjonen. Dette kan få alvorlige konsekvenser for kritiske samfunnsfunksjoner og nasjonale sikkerhetsinteresser.
Digital sikkerhet er avgjørende for å ivareta Norges kritiske samfunnsfunksjoner og nasjonale sikkerhetsinteresser. Krigen i Ukraina og den tilspissede sikkerhetspolitiske situasjonen i Europa gjør dette svært aktuelt.
Justis- og beredskapsdepartementet har ansvar for å samordne arbeidet med digital sikkerhet i sivil sektor. Riksrevisjonens undersøkelse viser at de ikke ivaretar ansvaret sitt godt nok.
Les undersøkelsen på riksrevisjonen.no
─ Justis- og beredskapsdepartementet slår seg for ofte til ro når frister ikke følges, med at sikkerhetsanalyser ikke er dekkende og at det gjøres få tilsyn. De følger heller ikke opp tiltak for håndtering av alvorlige digitale hendelser, godt nok. Dette kan svekke den digitale sikkerheten. Det er kritikkverdig, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Samfunnskritiske funksjoner som helsetjenester, kraftforsyningen og betalingsløsninger kan bli satt ut av spill, og det kan få alvorlige konsekvenser.
– Et departement som har ansvar for samordning, kan ikke tillate alle avvik og forsinkelser. Og de kan ikke stå på sidelinjen og se på at ting går for sakte. Da må de få fortgang i sakene, sier Schjøtt-Pedersen.
Uoversiktlig regelverk
Det er mange ulike regelverk som stiller krav til digital sikkerhet i den enkelte virksomhet. Regelverkene overlapper og er lite harmonisert. Myndighetenes veiledning er heller ikke koordinert og de som gjør tilsyn er lite samordnet. Et uoversiktlig regelverk gjør arbeidet med forebyggende digital sikkerhet vanskelig for både offentlige og private virksomheter.
─ De siste ti årene har Justis- og beredskapsdepartementet hatt ansvar for å samordne digital sikkerhet i sivil sektor, men det er fortsatt krevende for mange virksomheter å forstå hvilket regelverk som gjelder, og hvilke myndigheter og veiledere de skal forholde seg til. Dette er for dårlig, understreker Schjøtt-Pedersen.
Kraftig forsinkelse
Ny sikkerhetslov kom i 2019, men Justis- og beredskapsdepartementet har ikke sikret god nok framdrift i innføringen av loven.
Det enkelte departement skulle kartlegge grunnleggende nasjonale funksjoner på sitt område innen sommeren 2020, men dette ble kraftig forsinket. Det har igjen ført til forsinkelser i det videre arbeidet og gjør at myndighetene ikke har god nok oversikt over hvilke virksomheter, infrastruktur og informasjonssystemer som skal sikres etter sikkerhetsloven. Det gjør oss mer sårbare for digitale angrep.
─ Justis- og beredskapsdepartementet kan sette frister og krav for å sikre framdrift, men fristene er ikke fulgt opp. Denne tregheten kan få alvorlige konsekvenser for nasjonal digital sikkerhet, sier Schjøtt-Pedersen.
Viktig koordineringssenter når ikke målene sine
Felles cyberkoordineringssenter er sentralt i myndighetenes arbeid med nasjonal digital sikkerhet og består av representanter fra Nasjonal sikkerhetsmyndighet, Etterretningstjenesten, Politiets sikkerhetstjeneste og Kripos.
Undersøkelsen viser at senteret ikke når målene sine. Det skyldes flere vedvarende utfordringer og handler blant annet om ressurser og bemanning.
– Partene har ikke klart å løse utfordringene selv. Justis- og beredskapsdepartementet burde gjort mer for å sikre seg informasjon om utfordringene i senteret og hvilke tiltak som trengs, avslutter Schjøtt-Pedersen.
Riksrevisjonen har gått i dybden på dette, men informasjonen er sikkerhetsgradert og er derfor ikke offentlig.
(Riksrevisjonen/NTB Kommunikasjon)