Hopp over båndkommandoer
Hold Ctrl-tasten nede. Trykk på
+ for å forstørre,
- for å forminske
eller 0 for å gå tilbake til standard tekststørrelse.
For mobilbrukere: bruk telefonens innebygde zoome-funksjonalitet.
Skip Navigation LinksHovedside > Presserom > Nyheter > Svakheter ved styringssystemet for informasjonssikkerhet i Oljedirektoratet

Svakheter ved styringssystemet for informasjonssikkerhet i Oljedirektoratet

​Oljedirektoratet har et nasjonalt ansvar for data fra kontinentalsokkelen. Tap av dataene kan få forretningsmessige konsekvenser for oljesektoren.

Publisert 16.11.2017 13:00

​Manglende systematikk i arbeidet med informasjonssikkerhet kan føre til at risiko ikke blir håndtert, eller at sikkerhetstiltak som er satt i verk ikke fungerer etter hensikten. Riksrevisjonen har tidligere rapportert om vesentlige svakheter ved informasjonssikkerheten i Oljedirektoratet. I risikovurderingene til Nasjonal sikkerhetsmyndighet og Politiets sikkerhetstjeneste de siste årene kommer det fram at olje- og energisektoren er særlig utsatt for ulike angrep knyttet til ikt-infrastruktur. Riksrevisjonen finner det sterkt kritikkverdig at direktoratet fortsatt ikke har et tilfredsstillende styringssystem for informasjonssikkerhet som gir betryggende kontroll med sensitive data.

Styringssystem 

Riksrevisjonen finner det sterkt kritikkverdig at Oljedirektoratet fortsatt ikke har et tilfredsstillende styringssystem for informasjonssikkerhet i samsvar med eForvaltningsforskriften § 15 og anerkjente standarder.

Et styringssystem for informasjonssikkerhet skal ifølge Direktoratet for forvaltning og IKT sikre at virksomhetens informasjon/systemer ikke blir kjent for uvedkommende, ikke blir endret utilsiktet eller av uvedkommende, og at det er tilgjengelig ved behov.

Tidligere revisjon 

Riksrevisjonen har tidligere rapportert om vesentlige svakheter knyttet til informasjonssikkerheten i Oljedirektoratet og om mangelfull oppfølging av sikkerheten i databasen DISKOS i revisjonen for 2013. Kontroll- og konstitusjonskomiteen forventet at det ble gjennomført tiltak som sikret at Oljedirektoratet implementerte et nødvendig  styringssystem  for informasjonssikkerhet.

Revisjon for 2016 

Riksrevisjonen har i 2016 gjennomført en revisjon av Oljedirektoratets styringssystem for informasjonssikkerhet. Departementet har i sin styringsdialog og i tildelingsbrev fulgt opp status i arbeidet med informasjonssikkerhet. Riksrevisjonen konstaterer likevel at arbeidet med styringssystemet i direktoratet ikke er ferdigstilt, og at aktiviteter for styring og kontroll i varierende grad er satt i verk.

Mangler

Følgende mangler er avdekket i revisjonen:

  • Klassifisering av informasjon med hensyn på grad av sensitivitet er ikke ferdigstilt. 
  • Årlig risikoprosess er definert, men ikke etablert i praksis.
  • Sikkerhetstiltak er ikke utledet fra styringssystemet, og er i varierende grad dokumentert og evaluert.
  • Det finnes ikke et enhetlig system for rapportering og håndtering av informasjonssikkerhetshendelser.
  • Det er ikke gjennomført evaluering og forbedring av styringssystemet.

Manglende systematikk i arbeidet med informasjonssikkerhet kan føre til at risiko ikke blir håndtert, eller at sikkerhetstiltak som er satt i verk, ikke fungerer etter hensikten. Svakhetene i Oljedirektoratets styring av og kontroll med informasjonssikkerhet kan medføre risiko for at sensitive opplysninger ikke blir tilstrekkelig beskyttet mot uautorisert innsyn og endring.

Oljedirektoratet har et nasjonalt ansvar for data fra kontinentalsokkelen. Det har en oversikts- og formidlerrolle når det gjelder data, analyser og beslutningsgrunnlag, og direktoratet behandler både intern og ekstern informasjon fra oljesektoren som det er viktig å beskytte. Mangelfull informasjonssikkerhet øker risikoen for at det inntreffer hendelser som kan skade samfunnets tillit til direktoratet, og som kan få forretningsmessige konsekvenser for oljesektoren. I Nasjonal sikkerhetsmyndighets risikovurderinger de siste årene kommer det fram at olje- og energisektoren er særlig utsatt for ulike angrep knyttet til ikt-infrastruktur, og at det forventes at mengden og omfanget av denne typen angrep vil øke i årene som kommer.

Riksrevisjonens  anbefalinger

Riksrevisjonen anbefaler at Olje- og energidepartementet sikrer at Oljedirektoratet har etablert et tilfredsstillende styringssystem for informasjonssikkerhet i samsvar med eForvaltningsforskriften § 15.

Riksrevisjonen, Storgata 16, Postboks 8130 Dep, 0032 Oslo, Norway

Telefon: +47 22 24 10 00

Org.nr: 974 760 843