Hva som er viktigst å beskytte i Norge, er fremdeles ikke kartlagt. Det er full forvirring rundt regelverk og ansvar. Det er risiko for at kritiske funksjoner ikke er godt nok beskyttet mot digitale angrep.

Det er noen av de alvorlige svakhetene Riksrevisjonen har funnet etter å ha gjennomgått Justis- og beredskapsdepartementets innsats innen digital sikkerhet.

Ikke godt nok beskyttet

I nesten ti år har Justis- og beredskapsdepartementet hatt ansvaret for Norges digitale sikkerhet i sivil sektor. Riksrevisjonen har undersøkt samordningen av innsatsen, hvorvidt departementet håndterer det effektivt nok og om det er i tråd med Stortingets vedtak.

Undersøkelsen, som ble lagt frem på en pressekonferanse torsdag, har resultert i knusende kritikk av departementets innsats. Det skjer samtidig med at justisministeren får sterk kritikk fra flere hold for sin bruk av den kinesiske appen Tiktok på tjenestemobilen.

Riksrevisor Karl Eirik Schjøtt-Pedersen sier undersøkelsen samlet viser at Justis- og beredskapsdepartementet ikke ivaretar sitt ansvar som pådriver og samordner godt nok til å møte truslene på det digitale sikkerhetsområdet og gir karakteristikken «kritikkverdig», som er nummer to på en skala av tre.

– Det gir risiko for at funksjoner som er kritiske for både stats- og samfunnssikkerheten ikke er godt nok beskyttet mot digitale angrep, og at alvorlige digitale angrep ikke håndteres godt nok, advarer Schjøtt-Pedersen.

Svak samordning av ansvar

– Vi konkluderer med at svak samordning av roller og ansvar og krav, gjør arbeidet med digital sikkerhet krevende. Justis- og beredskapsdepartementet har ikke sørget for god nok informasjon om nasjonal digital sikkerhetstilstand, god nok oppfølging av nasjonal strategi for digital sikkerhet og ikke lagt godt nok til rette for tverrsektoriell hendelseshåndtering, sier riksrevisoren.

Riksrevisjonen har undersøkt noen av myndighetenes mest sentrale arenaer innen digital sikkerhet og funnet klare svakheter innen viktige institusjoner som Nasjonal sikkerhetsmyndighet (NSM) og Felles cyberkoordineringssenter, som har ansvar for Norges cybersikkerhet innen sivil sektor.

Riksrevisoren omtaler Nasjonalt cybersikkerhetssenter, som ble opprettet av Nasjonal sikkerhetsmyndighet i 2019 i positive ordelag:

– En velfungerende arena for forebyggende arbeid. Det er positivt, sier han.

Cybermyndigheter får kritikk

Men de andre arenaene bidrar ikke godt nok til samordningen, mener Riksrevisjonen.

Det er problemer knyttet til NSMs tekniske systemer for kartlegging av digitale sårbarheter og varslingssystem for digital infrastruktur. NSMs evne til å oppdage og håndtere digitale hendelser har derfor svakheter, ifølge Riksrevisjonen. Felles Cyberkoordineringssenter (FCKS) har manglende måloppnåelse på grunn av manglende ressurser og bemanning – samt manglende oversikt over senterets utfordringer.

– De bærer preg av lite forpliktelse og systematikk. Tilsynsmyndighetene har ikke brukt sin arena til å utarbeide en enhetlig metodikk, sier Schjøtt-Pedersen.

Også på regelverksområdet hersker det fullt kaos, skal vi tro Riksrevisjonen, som gir beredskapsdepartementet skylden.

– Roller, ansvar og krav i regelverket er fortsatt lite samordnet. Virksomhetene synes det er krevende å avklare hvilket regelverk som gjelder for dem, hvordan reglene står i forhold til hverandre og hvilke myndigheter og veiledere de skal forholde seg til. Det fører til forsinket og mangelfull innføring av relevant regelverk. I verste fall kan det gjøre at viktige verdier ikke blir sikret, sier Schjøtt-Pedersen.

Årsaken er at myndighetene ikke har tilrettelagt godt nok for dette, mener riksrevisoren.

«Manglende kapasitet»

– Dette gir risiko for at funksjoner som er kritiske for både stats- og samfunnssikkerheten ikke er godt nok beskyttet mot digitale angrep, sier han.

Hvilken infrastruktur som er viktigst å beskytte i Norge er heller ikke kartlagt, selv om dette skulle vært klart allerede i 2020.

Myndighetene har fortsatt ikke oversikt over hvilke virksomheter, infrastruktur og informasjonssystemer som skal sikres etter Sikkerhetsloven. Blant årsakene til dette er «manglende kapasitet og sikkerhetskompetanse» i departement og virksomheter.

Justis- og beredskapsdepartementet kunne ha satt krav og frister for å sikre fremdrift, men:

– Det har de ikke gjort, sier Schjøtt-Pedersen.

– Denne tregheten kan få alvorlige konsekvenser for den nasjonale sikkerheten. Grunnleggende nasjonale funksjoner kan bli satt ut av spill, sier riksrevisoren.

– Tregheten kan få alvorlige konsekvenser for den nasjonale sikkerheten. Grunnleggende nasjonale funksjoner kan bli satt ut av spill, sier riksrevisor Karl Eirik Schjøtt-Pedersen om Justis- og beredskapsdepartementets innsats innen digital sikkerhet.
– Tregheten kan få alvorlige konsekvenser for den nasjonale sikkerheten. Grunnleggende nasjonale funksjoner kan bli satt ut av spill, sier riksrevisor Karl Eirik Schjøtt-Pedersen om Justis- og beredskapsdepartementets innsats innen digital sikkerhet. (Foto: Ole Berg-Rusten)

Samme problemer som i 2012

Departementet har heller ikke gjort en god nok risiko- og sårbarhetsanalyse for å vurdere tilstanden til kritiske samfunnsfunksjoner det er ansvarlig for. En av årsakene til at det ikke er bra nok, er at alle rapporterer forskjellig, påpeker Riksrevisjonen.

– Justis- og beredskapsdepartementet kan gi felles føringer for hvordan analysene skal gjennomføres, men har heller ikke gjort det, sier riksrevisoren, som også er kritisk til at det gjøres altfor få digitale tilsyn og utilstrekkelige nasjonale øvelser på cyberområdet.

Problemer som er blitt påpekt allerede i 2012, gjelder fremdeles i dag, ifølge Riksrevisjonen.

DN har bedt justisminister Emilie Enger Mehl om kommentarer til kritikken og stilt følgende spørsmål:

– Riksrevisjonen mener departementet har sviktet på de aller fleste områder, hva er bakgrunnen for at departementet havnet i en slik situasjon?

– Hva er Mehls kommentar til at innsatsen på det digitale sikkerhetsområdet slaktes av Riksrevisjonen, samme uke som det er storm rundt ministerens bruk av Tiktok på tjenestetelefonen?

– Hva har ministeren tenkt å gjøre nå?

Skylder på forgjengerne

Presseavdelingen i Justis- og beredskapsdepartementet sendte DN følgende svar fra statssekretær Hans-Petter Aasen (Sp) sent torsdag ettermiddag:

Det alt vesentlige av Riksrevisjonens undersøkelsesperiode ligger forut for at den sittende regjeringen tiltrådte. Avveininger som ble gjort av forrige regjering, kan ikke vi svare for.

Etter at vi tiltrådte så vi det nødvendig å raskt iverksette en rekke tiltak for å bedre vår digitale motstandskraft. Dette i form av både økte bevilgninger og andre tiltak.

Statssekretæren viser til Prop. 78 S (2021-2022), også omtalt som «Ukraina-proposisjonen» og skriver at regjeringen har styrket den sivile beredskapen betydelig innenfor cyberområdet.

Regjeringen har også nylig fremmet en stortingsmelding om nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet. Det er derfor gjort et betydelig løft siden Ap- og Sp-regjeringen tok over regjeringsmakten høsten 2021. Dette er tiltak vi mener svarer ut de fleste av Riksrevisjonens anbefalinger. Men vi vil se videre på anbefalingene sammen med berørte departementer og fortsette arbeidet med å styrke den digitale sikkerheten.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.