Hopp over båndkommandoer
Hold Ctrl-tasten nede. Trykk på
+ for å forstørre,
- for å forminske
eller 0 for å gå tilbake til standard tekststørrelse.
For mobilbrukere: bruk telefonens innebygde zoome-funksjonalitet.
Skip Navigation LinksHovedside > Presserom > Pressemeldinger > Mange statlige virksomheter har for dårlig sikring av IKT-systemer og sensitiv informasjon
Stortingsbygget med løvestatuen, grafer, årstall, 2017 uthevet, diagram og grafer. Illustrasjon: Flisa trykkeri

Mange statlige virksomheter har for dårlig sikring av IKT-systemer og sensitiv informasjon

​Digitalisering og stadig mer avanserte dataangrep gjør både viktige samfunnsfunksjoner og personopplysninger mer utsatt. – Våre under-søkelser viser at det er vesentlige mangler i styringen av informasjons-sikkerhet og sikring av IKT-systemer. Dette gir risiko for at opplysninger kommer på avveie eller at funksjoner settes ut av spill, sier riksrevisor Per-Kristian Foss. 

Publisert 18.10.2018 13:00

Dokument 1 (2018–2019) Riksrevisjonens årlige revisjon og kontroll – budsjettåret 2017 ble overlevert Stortinget 18. oktober.

Følgende hovedfunn framheves: 

  • Det er avdekket vesentlige feil i kun fem av 217 regnskaper.
  • Svakheter ved informasjonssikkerheten gjelder arbeids- og velferdsetaten (NAV), Arbeidstilsynet, Direktoratet for økonomistyring, Fylkesnemndene for barnevern og sosiale saker, Statens kartverk og universitets- og høyskolesektoren.
  • Stortingets mål med uførereformen om økt yrkesdeltakelse blant uføretrygdede er ikke nådd. 
  • Barne- og ungdoms- og familiedirektoratet og Helsetilsynet har ikke sikret god nok kvalitetskontroll og tilsyn med omsorgssentre for enslige asylsøkere under 15 år.  
  • Politiet har ikke oversikt over et stort antall våpen – bekymringsmeldinger fanges ikke opp godt nok og det er få kontroller av oppbevaring av våpen hos sivile og forhandlere.

De fleste regnskapene har god kvalitet

Det er avgitt revisjonsberetning med forbehold, der det påpekes konkrete vesentlige feil i regnskapene, til kun fem statlige virksomheter. Riksrevisjonen opplever at feil som blir påpekt underveis i revisjonen, blir rettet opp av virksomhetene. I tillegg er det påpekt brudd på økonomisk-administrative regelverk av tre virksomheter.

– De fleste regnskapene har vi altså ingen vesentlige merknader til, og for 2017 gjaldt dette ansvarsområdene til ti departementer og Statsministerens kontor, sier Foss.

Svakheter ved informasjonssikkerhet

Riksrevisjonen påpeker også i år at flere statlige virksomheter har for dårlig styring av informasjonssikkerhet og sikring av IKT-systemer. Ofte er det mangler i grunnleggende sikkerhetstiltak som tilgangsstyring og overvåking av egne systemer.

– Det er kritikkverdig at dette ikke følges opp bedre, framholder Foss. – På papiret har flere virksomheter styringssystem for informasjonssikkerhet, men våre undersøkelser viser at det er store utfordringer med å få systemene til å fungere. Det er ofte vanskelig å se sammenheng mellom identifiserte risikoer og risikoreduserende tiltak, sier han.

Det er sterkt kritikkverdig at NAV, Direktoratet for økonomistyring (DFØ) og Kunnskapsdepartementet ikke har sikret tilfredsstillende informasjonssikkerhet:

  • NAV har etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes i dataangrep av interne og eksterne aktører.
  • DFØ har ikke god nok sikring av personopplysninger i lønns- og personalsystemet som benyttes for ansatte i 171 virksomheter.
  • Kunnskapsdepartementet har ikke sikret at driftsleverandørene leverer tilfredsstillende sikkerhet i økonomisystemene til universiteter og høyskoler.   

Videre vurderes følgende som kritikkverdig hos Arbeidstilsynet, Statens kartverk, Fylkesnemndene for barnevern og sosiale saker samt ett universitet og to høyskoler: 

  • Arbeidstilsynet og Statens Kartverk har styringssystemer for informasjonssikkerhet, men styringen har ikke fungert og det er svakheter i sikringen av IKT-systemer.
  • Fylkesnemndene for barnevern og sosiale saker har ikke et styringssystem for informasjonssikkerhet og ikke god nok oppfølging av sikkerhet i tjenester som er satt ut til eksterne.
  • Ett universitet og to høyskoler ivaretar med sine styringssystemer ikke god nok sikkerhet ved behandlingen av personopplysninger i forskningsprosjekter.

Andre forhold

Riksrevisjonen tar i Dokument 1 også opp en rekke andre forhold som alvorlige og kritikkverdige.

Alvorlig – kan ha betydelige konsekvenser for samfunnet eller berørte borgere:

  • Arbeids- og velferdsdirektoratet har ikke i tilstrekkelig grad fulgt opp Stortingets mål om at flere uføretrygdede skal kunne kombinere arbeidsinntekt og trygd, og dermed opprettholde tilknytning til arbeidslivet.
  • Barne-, ungdoms- og familiedirektoratet og Helsetilsynet har få kvalitetskontroller og tilsyn med omsorgssentre for enslige asylsøkere under 15 år og har blant annet for få enkeltsamtaler med barna.
  • Politiet har ikke oversikt over et stort antall våpen, for lite kontroll av oppbevaring hos sivile og forhandlere, bekymringsmeldinger fanges ikke opp godt nok, og nasjonalt våpenregister sikrer ikke oppdaterte og korrekte opplysninger.

Kritikkverdige forhold – mangelfull forvaltning og blant annet økonomiske konsekvenser:

  • NAV har gjennomført flere direkteanskaffelser og forlengelser av rammeavtaler ut over avtalt tid uten konkurranse.
  • Finansdepartementet har ikke avklart innholdet i instruksjonsmyndigheten overfor kommuner som ikke etterlever faglige krav til skatteinnkreving og arbeidsgiverkontroll. Dette gjelder også Kommunal- og moderniseringsdepartementets mulighet for å følge opp med sanksjoner.
  • Helsedirektoratet har i om lag halvparten av tildelinger som er undersøkt, ikke dokumentert vurdering av om målene for tilskuddene er oppnådd
  • Norsk filminstitutt mangler tydelige prioriteringer og mål for virksomheten, og har ikke et system for å vurdere resultater og ressursbruk. Tilskuddsforvaltningen er lite effektiv og har svakheter når det gjelder innretning, sporbarhet og habilitet.  
  • Kulturdepartementet har ikke sørget for at det har nødvendig informasjon til å kunne vurdere om viktige mål nås, og NIFs styring og forvaltning har ikke lagt godt nok til rette for målrettet og effektiv bruk av midlene.
  • Utdanningsdirektoratet har ikke fulgt opp et vesentlig antall skoler der det er vurdert høy risiko for at statstilskudd og skolepenger disponeres i strid med skoleloven, verken med tilsyn eller på annen måte.
  • Samferdselsdepartementet har ikke fulgt opp at Kystverket har et godt system for å måle og følge opp resultater. Kystverket har, med unntak av lostjenesten, lite informasjon som kan belyse om virksomheten drives effektivt.

 Kontaktpersoner

​kommunikasjonsrådgiver Stein Morch, tlf. 950 29 904, stein.morch@riksrevisjonen.no

ekspedisjonssjef Tora Jarlsby, tlf. 977 44 331,tora.jarlsby@riksrevisjonen.no – departementsområdene til Arbeids- og sosialdepartementet, Barne- og likestillingsdepartementet, Kommunal- og moderniseringsdepartementet, Landbruks- og matdepartementet, Nærings- og fiskeridepartementet, Helse- og omsorgsdepartementet, Klima- og miljødepartementet, Kunnskapsdepartementet og Samferdselsdepartementet

ekspedisjonssjef Tor Digranes, tlf. 970 10 143,tor.digranes@Riksrevisjonen.no – departementetsområdene til Finansdepartementet, Forsvarsdepartementet, Justis- og beredskapsdepartementet, Kulturdepartementet og Utenriksdepartementet

ekspedisjonssjef Therese Johnsen, tlf.911 52 826, therese.johnsen@riksrevisjonen.no– undersøkelsene av Kystverket, Norges idrettsforbund, Norsk filminstitutt, uførereformen og økonomisystemer i universitets- og høyskolesdektoren

Riksrevisjonen, Storgata 16, Postboks 6835 St. Olavs plass, 0130 Oslo, Norway

Telefon: +47 22 24 10 00

Org.nr: 974 760 843