Dokument 3:3 (2022−2023) / Offentliggjort Forsvarets informasjonssystemer til bruk i operasjoner
Vi har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner. Det er sårbarheter i sikkerheten og systemene fungerer for dårlig sammen. Dette er svært alvorlig.
- (PDF, 0,37 MB) Last ned ugradert oppsummering (pdf)
Kort fortalt
- Effektive og sikre informasjonssystemer er avgjørende for Forsvarets operative evne. Informasjon skal deles og kommandoer gis raskt. Sikkerhetstrusler skal oppdages og stanses.
- Riksrevisjonen har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner.
- Dette er en av de mest alvorlige rapportene Riksrevisjonen har lagt frem. Begrunnelsen er at svakhetene kan få store konsekvenser for rikets sikkerhet
- Selve rapporten er gradert etter reglene i sikkerhetsloven, men vi har utarbeidet en ugradert oppsummering.
- Vi har hovedsakelig undersøkt perioden fra 2017 til 2020, altså forrige langtidsplan for forsvarssektoren.
Kritikknivå:
Svært alvorlig
Det er svært alvorlig at det er mangler ved informasjonssystemene Forsvaret bruker i operasjoner, både når det gjelder samvirke og sikkerhet. Dette kan få store konsekvenser.
Kritikknivå:
Alvorlig
- Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset i situasjoner med et økt trusselnivå.
- Forsvaret bruker informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav.
Kritikknivå:
Sterkt kritikkverdig
- Forsvaret har ikke god nok oversikt over og kunnskap om informasjonssystemene.
- Forsvaret mangler et solid system for sikkerhetsstyring.
- Forsvaret har i liten grad begrenset antall informasjonssystemer.
- Forsvarsdepartementet, Forsvarsmateriell og Forsvaret møter ikke forventningene Stortinget stilte til IKT-portefølje, styring og organisering i forrige langtidsplan.
Gradert kritikk
Deler av Riksrevisjonens kritikk er gradert, inkludert kritikknivået. Det gjelder disse punktene:
- Sårbarheter i sikkerheten gir risiko for svekket operativ evne.
- Mangler i samvirket mellom ulike informasjonssystemer gir risiko for redusert effektivitet. Kan få betydning ved økt konfliktnivå hvis tid er avgjørende.
Konklusjoner
Mangler i samvirket mellom informasjonssystemene Forsvaret bruker i operasjoner, kan påvirke Forsvarets operative evne
- Informasjonssystemer med ulik teknologi påvirker mulighetene for samhandling.
- Ulike sikkerhetsdomener påvirker informasjonsutvekslingen mellom systemer.
- Mangler ved taktisk datalink reduserer mulighetene for å utveksle data.
Sårbarheter i sikkerheten i informasjonssystemene Forsvaret bruker i operasjoner, gir risiko for svekket operativ evne
- Forsvaret har mangler i oversikten over og kunnskapen om informasjonssystemene. Det påvirker muligheten til å ivareta sikkerheten.
- Forsvaret har skjermingsverdige informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav.
- Forsvaret har mangler i evnen til å oppdage og stanse digitale angrep.
- Svakheter i sikkerhetsstyringen forsterker utfordringene.
Forsvarsdepartementet har ikke greid å realisere effektive og sikre informasjonssystemer som understøtter Forsvarets operative evne selv om de har vært klar over utfordringene
- Svak styring har medvirket til utfordringene på IKT-området og svekket verdien av investeringer.
- Overlappende og uklare ansvarsforhold mellom etatene i forsvarssektoren har påvirket gjennomføringsevnen på IKT-området.
- Mangel på kompetanse har medvirket til at forsvarssektoren ikke har klart å løse mange av utfordringene på IKT-området.
- Det er vesentlig risiko knyttet til den pågående IKT-satsingen i Mime og MAST.
Anbefalinger
Riksrevisjonen anbefaler at Forsvarsdepartementet
- følger opp at Forsvaret får en fullstendig oversikt over informasjonssystemene de bruker i operasjoner, og bruker oversikten til å styre og investere på IKT-området
- sørger for at Forsvaret og Forsvarsmateriell begrenser antallet informasjonssystemer
- legger til rette for at Forsvaret kan utnytte kapasiteten i nytt forsvarsmateriell raskere
- følger opp at Forsvaret styrker sikkerhetsstyringen og ivaretar informasjonssikkerheten
Vi anbefaler også at Forsvarsdepartementet
- styrker Forsvarets evne til å oppdage og stanse digitale angrep
- sørger for nødvendig fremdrift og gevinstrealisering i IKT-programmene Mime og MAST
- avklarer ansvaret mellom etatene i forsvarssektoren
- sikrer nødvendig IKT-kompetanse i sektoren