Del av dokument 1 (2019–2020) / Offentliggjort Undersøkelse av sikring mot dataangrep i Oljedirektoratet
Oljedirektoratet har ikke kommet langt nok i å sikre sine IKT-systemer, og de har svakheter uvedkommende kan utnytte.
- (PDF, 14,9 MB) Last ned fullversjon
Funn
- Oljedirektoratet har etablert et grunnlag for systematisk arbeid med informasjonssikkerheten.
- Oljedirektoratet har vesentlige mangler i gjennomføringen av sentrale aktiviteter i styringssystemet.
- IKT-systemer har svakheter som kan utnyttes i forbindelse med dataangrep.
- Oljedirektoratet har feilrapportert til departementet om sikkerhetstilstanden.
Kritikknivå:
Sterkt kritikkverdig
Oljedirektoratets vurdering av IKT-systemer, med påfølgende risikovurdering og sikkerhetsplanlegging, er ikke kommet langt nok, og IKT-systemene har svakheter som uvedkommende kan utnytte.
Kritikknivå:
Sterkt kritikkverdig
Oljedirektoratet feilinformerer om sikkerhetstilstanden i sin rapportering om IKT-sikkerhet til Olje- og energidepartementet.
Anbefalinger
Riksrevisjonen anbefaler at Olje- og energidepartementet
- påser at Oljedirektoratet etablerer et tilfredsstillende styringssystem for informasjonssikkerhet i samsvar med eForvaltningsforskriften § 15
- sikrer at Oljedirektoratet rapporterer korrekt informasjon om informasjonssikkerheten i direktoratet
Bakgrunn og mål
I flere av sine IKT-systemer behandler Oljedirektoratet informasjon som ikke bør komme på avveie, og som eksterne aktører kan være interessert i. Det er derfor viktig at Oljedirektoratet beskytter informasjonen det forvalter, og sørger for at nettverk og systemer til enhver tid er sikre og stabile.
Målet med revisjonen har vært å kontrollere om Oljedirektoratet arbeider systematisk med å forhindre dataangrep og oppdage urettmessig tilgang til IKT-systemer.