Hopp over båndkommandoer
Hold Ctrl-tasten nede. Trykk på
+ for å forstørre,
- for å forminske
eller 0 for å gå tilbake til standard tekststørrelse.
For mobilbrukere: bruk telefonens innebygde zoome-funksjonalitet.
Skip Navigation LinksHovedside > Presserom > Pressemeldinger > Flere statlige virksomheter har svak informasjonssikkerhet
Dokumentets forsideillustrasjon: Stortingsløve, årstall, beløp. Illustrasjon: Lars Tothammer

Flere statlige virksomheter har svak informasjonssikkerhet

​Det er vesentlige svakheter ved informasjonssikkerheten i flere statlige virksomheter, deriblant Oljedirektoratet, viser Riksrevisjonens regnskapsrevisjon for 2016. Oljedirektoratet behandler informasjon fra oljesektoren som det er viktig å beskytte. – Det er sterkt kritikkverdig at direktoratet fortsatt ikke har et tilfredsstillende styringssystem for informasjonssikkerhet, sier riksrevisor Per-Kristian Foss.

Publisert 14.11.2017 13:00

Dokument 1 (2017–2018) Riksrevisjonens rapport om den årlige revisjon og kontroll for budsjettåret 2016 ble overlevert Stortinget 14. november 2017.

Følgende hovedfunn blir framhevet i rapporten:

  • Regnskapene holder i hovedsak god kvalitet.
  • Det er svakheter ved informasjonssikkerheten i flere virksomheter, deriblant Oljedirektoratet.
  • Det er vesentlige svakheter i politiets behandling og oppfølging av beslag i straffesaker.
  • Det er vesentlige svakheter i arbeids- og velferdsetatens arbeid med dagpenger under arbeidsløshet.
  • Riksrevisjonen kan ikke uttale seg om årsregnskapene til Forsvaret og Forsvarsmateriell.

God kvalitet i de fleste regnskaper

Riksrevisjonen har avgitt revisjonsberetning for 235 regnskaper for 2016. Regnskapene holder i hovedsak god kvalitet og antall modifiserte revisjonsberetninger er lavere i 2016 enn i 2015. Riksrevisjonen har for 2016 ingen vesentlige merknader når det gjelder styringen til Statsministerens kontor, Barne- og likestillingsdepartementet, Kommunal- og moderniseringsdepartementet, Kulturdepartementet, Kunnskapsdepartementet og Utenriksdepartementet.

Svakheter ved informasjonssikkerheten

Riksrevisjonen har gjentatte ganger tatt opp at flere statlige virksomheter har vesentlige svakheter i sine styringssystemer for informasjonssikkerhet. Revisjonen for 2016 viser at det fortsatt er store mangler på dette området.

– Svak styring og oppfølging av informasjonssikkerhet gir risiko for at sensitiv informasjon, også personopplysninger, kan komme på avveie, og at viktige tjenester for samfunnet settes ut av funksjon, sier riksrevisor Per-Kristian Foss.

Digitaliseringen bidrar til å gjøre kritiske samfunnsfunksjoner sårbare, og det blir tatt i bruk stadig mer avanserte metoder ved dataangrep på statlige virksomheter.

Les mer om svakheter ved informasjonssikkerhet i statlige virksomheter

Oljedirektoratet

Riksrevisjonen har tidligere rapportert om vesentlige svakheter i informasjonssikkerheten i Oljedirektoratet. Revisjonen for 2016 viser at Oljedirektoratets styringssystem for informasjonssikkerhet fortsatt ikke er ferdigstilt. Det er ikke en klar sammenheng mellom risiko og sårbarhet og de sikkerhetstiltak som er iverksatt, og det er ikke gjennomført evaluering og forbedring av styringssystemet for informasjonssikkerhet.

– Det er sterkt kritikkverdig at Oljedirektoratet fortsatt ikke har et tilfredsstillende styringssystem for informasjonssikkerhet i samsvar med eForvaltningsforskriften og anerkjente standarder, sier riksrevisoren.

Oljedirektoratet har et nasjonalt ansvar for data fra kontinentalsokkelen, og behandler intern og ekstern informasjon fra oljesektoren som det er viktig å beskytte.

– Mangelfull informasjonssikkerhet øker risikoen for hendelser som kan skade samfunnets tillit til direktoratet, og som kan få forretningsmessige konsekvenser for oljesektoren, understreker Foss.

Les mer om svakheter ved styringssystemet for informasjonssikkerhet i Oljedirektoratet

Opplysningene i valutaregisteret bør sikres bedre

Revisjonen peker på at det også er utfordringer ved informasjonssikkerheten i valutaregisteret, som Skattedirektoratet har ansvar for. Valutaregisteret inneholder store mengder personopplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge. Skattedirektoratet har ikke gjennomført risikovurderinger av informasjonssikkerhet for valutaregisteret. Manglende krav til og oppfølging av eksterne databehandlere som forvalter og drifter registeret har ført til svakheter i informasjonssikkerheten. Flere enn nødvendig har administratorrettigheter, som gir mulighet til å lese, kopiere, endre og slette opplysninger. Det er heller ikke rutiner som sikrer at uautorisert bruk vil bli oppdaget.

– Det er kritikkverdig at Skattedirektoratet ikke har sikret opplysningene i valutaregisteret slik valutaregisterloven og personopplysningsloven krever, sier Foss.

Les mer om svakheter ved forvaltningen av informasjonssikkerhet i valutaregisteret

Politiets behandling av beslag har vesentlige svakheter

Revisjonen viser at det er store mangler ved politiets håndtering av beslag i straffesaker. Dette ble også påpekt av Riksrevisjonen i 2009. Mange beslag befinner seg ikke der systemet angir at de skal være. Dette gjelder særlig Oslo politidistrikt, der antall beslag utgjør rundt 20 prosent av alle beslagene i hele landet. 12 prosent av beslagene som er kvittert inn ved Oslo politidistrikt, oppbevares ikke der politiets datasystemer sier at de er. Videre kunne ingen av de fem undersøkte politistasjonene vise fram dokumentasjon om når og hvor destruksjon av det enkelte beslag ble gjennomført, eller om hvem som var til stede under destruksjonen.

– Vi finner det sterkt kritikkverdig at mange beslag i politi- og lensmannsetaten ikke befinner seg der virksomhetens datasystemer angir at de skal være. Det er også kritikkverdig at Politidirektoratet ikke gjennomfører risikovurderinger og at direktoratet i liten grad følger opp og dokumenterer politidistriktenes håndtering og oppfølging av beslag, særlig siden vi også påpekte flere av disse utfordringene i 2009, sier riksrevisoren.

Les mer om vesentlige svakheter i politiets behandling og oppfølging av beslag i straffesaker

Sikrer ikke at dagpenger går til reelle arbeidssøkere

Dagpenger er delvis erstatning for tapt arbeidsinntekt som følge av arbeidsløshet. I 2016 utbetalte arbeids- og velferdsetaten 15,45 milliarder kroner i dagpenger. Riksrevisjonens rapport viser at det er en rekke svakheter ved etatens arbeid med dette.

– Vi konstaterer at arbeids- og velferdsetatens behandling av dagpengesaker ikke har god nok kvalitet. Rapporten vår påpeker at etaten ikke sikrer at de som mottar dagpenger, er reelle arbeidssøkere, sier Foss.

I henhold til folketrygdloven må man være reell arbeidssøker for å ha rett til dagpenger. Som reell arbeidssøker må man være villig til å ta ethvert arbeid og til å ta arbeid hvor som helst i Norge. NAV-kontorene som Riksrevisjonen har intervjuet, opplyser at de ikke har stilt krav om mobilitet i 2016.

– Manglende praktisering av krav til aktivitet eller mobilitet kan føre til at dagpengemottakere mottar ytelsen uten å oppfylle kravet om å være reell arbeidssøker. Arbeids- og velferdsetaten må sørge for at forvaltningen av ordningen har god kvalitet, også for å opprettholde tilliten til dagpengeordningen som en viktig del av det sosiale sikkerhetsnettet, fastslår Foss.

Les mer om vesentlige svakheter i arbeids- og velferdsetatens arbeid med dagpenger under arbeidsløshet

Riksrevisjonen kan ikke uttale seg om årsregnskapene til Forsvaret og Forsvarsmateriell

Forsvarsmateriell ble skilt ut som egen virksomhet fra januar 2016. Forsvarsdepartementet besluttet at Forsvarsmateriells regnskap likevel skulle føres som en del av Forsvarets virksomhetsregnskap i 2016 og 2017. Forsvaret og Forsvarsmateriell skal både avlegge et eget virksomhetsregnskap og i tillegg rapportere om bruken av bevilgningen til statsregnskapet. Bruken av midlene er korrekt rapportert til statsregnskapet. Riksrevisjonen kan imidlertid ikke uttale seg om virksomhetsregnskapene på grunn av usikkerhet og mangler ved dem.

– Det er kritikkverdig at Forsvarsdepartementet ved opprettelsen av Forsvarsmateriell ikke har sørget for at grunnleggende forutsetninger i det statlige økonomireglementet er etterlevd, slik Stortinget forventer, sier Foss.

Alle virksomheter plikter å avlegge regnskap i tråd med de standarder og krav som gjelder for statlig regnskapsføring.

– Korrekt regnskapsførsel er en grunnleggende forutsetning for styring og kontroll med at Stortingets bevilgningsvedtak følges opp. Avleggelse av regnskap er en forutsetning for publikums innsyn i bruken av offentlige midler og for Riksrevisjonens kontroll av forvaltningen på vegne av Stortinget, påpeker riksrevisoren.

Det ble bevilget til sammen 43,1 milliarder kroner til Forsvaret og Forsvarsmateriell i 2016. Forsvarsmateriell har blant annet ansvar for anskaffelsen av F-35-kampflyene. På grunn av manglende internkontroll har det ikke vært mulig å bekrefte anskaffelseskostnaden for F-35 i Forsvarsmateriells virksomhetsregnskap. Revisjonen har videre avdekket at Forsvaret feilaktig har fakturert Justis- og beredskapsdepartementet uten merverdiavgift i forbindelse med redningshelikoptertjenesten. Ifølge Forsvaret utgjør manglende fakturert merverdiavgift om lag 170 millioner kroner.

Riksrevisjonen konstaterer at heller ikke i 2017 vil Forsvaret og Forsvarsmateriell være i stand til å avlegge selvstendige, reviderbare regnskaper uten behov for unntak fra økonomiregelverket i staten.

– Det er sterkt kritikkverdig at Forsvaret og Forsvarsmateriell ikke vil være i stand til å avlegge selvstendige, reviderbare regnskaper, uten behov for unntak, før 2018, sier Foss.

Les mer om at Riksrevisjonen ikke kan uttale seg om årsregnskapene til Forsvaret og Forsvarsmateriell for 2016

Utsatt offentlighet for dokumenter som er utarbeidet av eller til Riksrevisjonen i tilknytning til Dokument 1 (2017−2018), jf. riksrevisjonsloven § 18 annet ledd, oppheves.

 Kontaktpersoner

​Kommunikasjonsrådgiver Stein Morch. Telefon: 950 29 904 og kommunikasjonsrådgiver Susanne Berg-Hansen. Telefon: 959 33 834.

Riksrevisjonen, Storgata 16, Postboks 8130 Dep, 0032 Oslo, Norway

Telefon: +47 22 24 10 00

Org.nr: 974 760 843