Politiet greier ikke sikre kritiske IKT-systemer
– At politiet ikke er sikret godt nok mot dataangrep er sterkt kritikkverdig, sier riksrevisor Per Kristian Foss.
– Politiet behandler svært sensitiv informasjon, og dette med IKT-sikkerhet har vi påpekt i mange år, sier Foss.
Tirsdag ble Riksrevisjonens revisjon av statsetatenes regnskaper og administrasjon i 2018 lagt fram.
Forsvaret får regnskapskritikk
– Jeg kan med bred penn si at kvaliteten på regskapene i norsk offentlig sektor er gjennomgående god, framhever riksrevisor Foss.
I 2018 har Riksrevisjonen revidert 232 årsregnskaper fra departementer og underliggende virksomheter.
Stort sett er står det bra til med regnskapene i staten, men Forsvarets regnskaper har vesentlige feil for tredje året på rad. Forsvaret er en stor statlig virksomhet og har fått kritikk for feil i regnskapene for tredje år på rad. Forsvarets regnskap viser forbedringer i 2017 og 2018, men fortsatt er det vesentlige feil i regnskapet, heter det i revisjonens rapport.
At politiet ikke er sikret godt nok mot dataangrep er sterkt kritikkverdig
Politiet ikke sikret godt nok mot dataangrep
I tillegg til regnskapene har Riksrevisjonen også vurdert de ulike etatene ut fra ulike forvaltningsmessige saksforhold – med andre ord sett på om de oppfyller de oppgavene de er satt til å gjøre. Sterkest kritikk får Politiet.
Politiet har ikke sikret kritiske IKT-systemer godt nok mot etterretning og angrep. Politiet arbeider ikke systematisk med å planlegge og følge opp
informasjonssikkerhet, og arbeidet vanskeliggjøres av kompleks organisering og fragmenterte ansvarsforhold, skriver Riksrevisjonen i sin rapport, og karakteriserer dette forholdet som «sterkt kritikkverdig».
Riksrevisjonen påpeker at Politiets oppgaver og opplysningene som etaten behandler, gjør etaten til et attraktivt mål for etterretning og angrep i det digitale rom.
«Målrettede aktører som fremmede nasjoner, terrorister og organiserte kriminelle kan ønske å angripe politiets IKT-systemer for å ramme etatens evne til å utføre oppgavene sine», heter det i rapporten.
Mangeårig problem
Riksrevisjonen hevder å ha tatt opp mangler ved styringssystemet for informasjonssikkerhet i politiet i en rekke år. Årets revisjon viser at arbeidet med å få etablert et styringssystem fortsatt har kommet kort, er den knallharde konklusjonen.
Revisjonen viser at risikoanalyser for flere viktige systemer ikke foreligger. Det er heller ikke gjennomført risikovurdering i forkant av beslutningen om å sette ut driften av viktige sikkerhetsløsninger.
Riksrevisjonen mener det er sterkt kritikkverdig at politiet ikke arbeider systematisk med planlegging og oppfølging av informasjonssikkerhet, og i henhold til krav i lov og forskrift.
Det er videre kritikkverdig at IKT-tjenestene som er levert, ikke har det kvalitets- og sikkerhetsnivået som er forutsatt.
Riksrevisjonen anbefaler at ansvars- og styringslinjer for arbeidet med informasjonssikkerhet i politiet forenkles og klargjøres og at arbeidet med informasjonssikkerhet i politiet i større grad følger anbefalinger fra blant annet Nasjonal sikkerhetsmyndighet.
Ifølge revisjonens rapport ser justisminister Jøran Kallmyr alvorlig på de funn og merknader som er omtalt, og «vil legge Riksrevisjonens anbefalinger til grunn i det videre arbeidet med informasjonssikkerhet i politiet».
Statsråden understreker at god informasjonssikkerhet er en forutsetning for at politiet kan løse sine oppgaver på en effektiv og sikker måte.
Andre IKT-påpakninger
Men det er ikke bare Politiet som får IKT-refs av Riksrevisjonen. Heller ikke Oljedirektoratet har ikke kommet langt nok i å sikre sine IKT-systemer, som har svakheter uvedkommende kan utnytte. Dette er sterkt kritikkverdig, påpeker Riksrevisjonen.
Som om ikke det var nok får også Utenriksdepartementet kritikk for ikke å ha et godt nok styringssystem for informasjonssikkerhet. «Kritikkverdig», er stemplet revisjoner gir for dette. Utenriksdepartementet for også kritikk for å ha gjennomført flere ulovlige direkteanskaffelser i 2018. Departementet kjøper varer og tjenester for rundt regnet en milliard kroner og i mange saker mangler dokumentasjon. Det er «kritikkverdig», skriver Riksrevisjonen.
Riksrevisjonens kritikkformer
Riksrevisjonen benytter følgende begreper for kritikk i alle sine dokumenter til Stortinget, med denne rangeringen:
Svært alvorlig brukes ved forhold der konsekvensene for samfunnet eller berørte borgere er svært alvorlige, for eksempel risiko for liv eller helse.
Alvorlig benyttes ved forhold som kan ha betydelige konsekvenser for samfunnet eller berørte borgere, eller der summen av feil og mangler er så stor at dette må anses som alvorlig i seg selv.
Sterkt kritikkverdig angir forhold som har mindre alvorlige konsekvenser, men gjelder saker med prinsipiell eller stor betydning.
Kritikkverdig brukes for å karakterisere mangelfull forvaltning der konsekvensene ikke nødvendigvis er alvorlige. Dette kan gjelde feil og mangler som har økonomiske konsekvenser, overtredelse av regelverk eller saker som er tatt opp tidligere og som fortsatt ikke er rettet opp.
Effektivisering uten effekt
Når vi er inne på innkjøp og anskaffelser. Helse- og omsorgsdepartemenet har omorganisert sine anskaffelsesrutiner, nettopp for å få til bedre og mer effektive anskaffelsesrutiner i helsesektoren.
Det har de ikke klart, mener Riksrevisjonen.
«Selv om anskaffelsesområdet for administrative tjenester på helseområdet er omorganisert, har det ikke ført til mer effektiv ressursbruk», skriver revisjonen. Tvert i imot, kunne de like gjerne lagt til:
«Kostnadene til gjennomføring av anskaffelser har blitt vesentlig høyere enn de var før omorganiseringen».
Helse- og omsorgsdepartementet får også kritikk for at det íkke kan sies om omorganiseringen har ført til bedre kvalitet innen anskaffelsesområdet. «De potensielle gevinstene er overrapportert og metoden for gevinstberegningene er uegnet for å vurdere de faktiske gevinstene ved omorganiseringen», heter det.
Jeg kan med bred penn si at kvaliteten på regskapene i norsk offentlig sektor er gjennomgående god
Annen kritikk
Andre etater som får stempelet «kritikkverdig» på enkelte områder:
Mattilsynet: For dårlig oppfølging fra Mattilsynet fører til at dyrelidelser får pågå for lenge. Mattilsynet mangler gode verktøy og systemer for å sikre et risikobasert tilsyn. Gjentatte alvorlige brudd er ikke blitt avdekket på grunn av sen oppfølging fra Mattilsynet.
Landbruks- og matdepartementet: Saksbehandlingen av produksjonstilskudd og avløsertilskudd i jordbruket blir ikke fulgt godt nok opp.
NAV følger ikke godt nok opp at tilskudd til arbeidsmarkedstiltak kommer brukerne til gode. Les mer her – Velferd.no.
Universiteter og høyskoler: Det var 3,3 milliarder ubrukte budsjettkroner ved universiteter og høgskoler i 2018, som tilsvarer nesten 10 prosent av de årlige bevilgningene. Riksrevisjonen mener universitetene og høyskolene bør kunne si hvorfor disse pengene ikke er brukt og også hva de er tenkt brukt til. Departementet får også kritikk for ikke å ha etterspurt hva disse midlene er avsatt til.
NAV: Personer med nedsatt funksjonsevne som trenger tilrettelegging av boligen sin for å kunne bli boende hjemme, får ulik hjelp av NAV, avhengig av hvor de bor. Les mer her –Velferd.no