Nav får sterk kritikk for svak IKT-sikkerhet
Det er sterkt kritikkverdig at Nav og Kunnskapsdepartementet ikke har sikret tilfredsstillende informasjonssikkerhet, ifølge Riksrevisjonen.
Også Direktoratet for økonomistyring (DFØ) får samme harde kritikk i Riksrevisjonens årlige revisjon og kontroll for budsjettåret 2017, som ble lagt frem torsdag.
Der kommer det frem at mange statlige virksomheter har for dårlig sikring av IKT-systemer og sensitiv informasjon.
– Våre undersøkelser viser at det er vesentlige mangler i styringen av informasjonssikkerhet og sikring av IKTsystemer, sier riksrevisor PerKristian Foss i en pressemelding.
– Dette gir risiko for at opplysninger kommer på avveie eller at funksjoner settes ut av spill, fremholder han.
– Det er vesentlige mangler i styringen av informasjonssikkerhet og sikring av IKT-systemer, sier riksrevisor Per-Kristian Foss.
For de tre nevnte statlige organene er det for dårlig styring av informasjonssikkerhet og sikring av IKT-systemer som ifølge Riksrevisjonen er problemet.
Ofte er det mangler i grunnleggende sikkerhetstiltak som tilgangsstyring og overvåking av egne systemer, slås det fast.
– Det er kritikkverdig at dette
ikke følges opp bedre, fremholder Foss.
– På papiret har flere virksomheter styringssystemer for informasjonssikkerhet, men våre undersøkelser viser at det er store utfordringer med å få systemene til å fungere. Det er ofte vanskelig å se sammenheng mellom identifiserte risikoer og risikoreduserende tiltak, sier han.
«Kan utnyttes i dataangrep»
Riksrevisjonen kritikken slik:
Nav har etablert flere sterke sikkerhetstiltak, men etatens IKT-systemer har likevel vesentlige svakheter som kan utnyttes i dataangrep av interne og eksterne aktører.
DFØ har ikke god nok sikring av personopplysninger i lønnsog personalsystemet som benyttes for ansatte i 171 virksomheter.
Kunnskapsdepartementet har ikke sikret at driftsleverandørene leverer tilfredsstillende sikkerhet i økonomisystemene til universiteter og høyskoler.
Samtidig peker Riksrevisjonen på forhold som beskrives som kritikkverdige hos Arbeidstilsynet, Statens kartverk, Fylkesnemndene for barnevern og sosiale saker samt ett universitet og to høyskoler.
Både Arbeidstilsynet og Statens kartverk har styringssystemer for informasjonssikkerhet, men styringen har ikke fungert, og det er svakheter i sikringen av IKT-systemer, ifølge revisjonen.
Samtidig har Fylkesnemndene for barnevern og sosiale saker ikke et styringssystem for informasjonssikkerhet og ikke god nok oppfølging av sikkerhet i tjenester som er satt ut til eksterne.
oppsummerer