Forsvarshemmeligheter og oljedata kan havne på avveie

Forsvarshemmeligheter som kan havne på avveie. Oljedata som kan forsvinne. En rekke viktige statlige etater har store svakheter i hvordan de passer på samfunnsviktige data.

Forsvarsdata, oljehemmeligheter, regnskaper og andre meget sensitive data kan havne på avveie. — Foto: Øijord, Thomas Winje

Per Anders Johansen

Publisert: 16.10.2014 21:42

Ifølge riksrevisor Per-Kristian Foss er datasikkerheten altfor dårlig i flere av de viktigste statsetatene i Norge.

Det viktigste datasystemet til Forsvaret, som inneholder data om regnskap, lønn, materiell og andre forsvarshemmeligheter, har alvorlige svakheter.

Et stort antall mennesker er "superbrukere".

Passordene som brukes i Forsvaret er så enkle at de kan hackes, og det mangler rutiner som sikrer både konfidensialitet og integritet.

— Det er fortsatt ikke stilt krav til komplekse passord, påpeker Riksrevisjonen i en rapport til Stortinget.

— De avdekkede svakhetene kan føre til risiko for misligheter og lekkasje av informasjon.

Les også:

Disse etatene får refs for svak datasikkerhet

Forsvaret er bare en av flere tunge og viktige statlige etater som får kritikk for dårlig datasikkerhet:

Brønnøysundregistrene.
Jernbaneverket.
Oljedirektoratet.
Fiskeridirektoratet.
Arkivverket.
Nasjonalbiblioteket.
Det øker faren for at persondata og samfunnsviktig informasjon kommer på avveie.

— Skal hvem som helst få tilgang? Er det regulering av dette, spør riksrevisor Per-Kristian Foss.

Foss betegner det som "svært kritikkverdig" at så viktige statsetater ikke passer godt nok på sine data.

Les også:

Olje: Oljehemmeligheter kan stjeles

Et annet statlig datasystem som forvalter enorme verdier, er "Diskos".Datasystemet brukes av Oljedirektoratet til å lagre sensitiv informasjon om oljeleting og utvinning. Her ligger enorme mengder data om oljeselskaper på norsk sokkel, særlig brønn— og seismikkdata fra norsk sokkel.

En gullgruve, dersom det kommer i uvedkommendes hender.

Det er det fare for, mener Riksrevisjonen. Alt for mange har tilgang, og Oljedirektoratet har mangelfull kontroll med hvem som logger seg inn.

— Oljedirektoratet har ikke hatt kontroll på at dataene er tilstrekkelig sikret, mener riksrevisor Per-Kristian Foss.

— Dette medfører risiko for at informasjon kan komme på avveie eller bli misbrukt. Riksrevisjonen vurderer dette som kritisk siden informasjonen er av svært sensitiv og verdifull karakter.

Les også:

Jernbanen: "Betydelige svakheter"

For å forhindre ulykker og togkaos, bruker Jernbaneverket datasystemet "Banedata".Systemet er i ytterste konsekvens livsviktig: Når jernbanen skal vedlikeholdes, og feil skal forebygges eller rettes, er det hit de ansatte i Jernbaneverket går for å hente data.

Ifølge Riksrevisjonen er det "betydelige svakheter" i informasjonssikkerheten og kontrollen med hvem som har tilgang.

— Riksrevisjonen mener at svakhetene gir høy risiko for uautorisert tilgang til informasjon, uautoriserte endringer og tilsiktede eller utilsiktede handlinger – forhold som kan ha alvorlig konsekvenser for tilgjengelighet, integritet og konfidensialitet i BaneData, skriver Riksrevisjonen i rapporten.

Fisk og oppdrett: Fare for datajuks

Et annet eksempel er datasystemet som Fiskeridirektoratet bruker til å styre verdier for milliarder i fiskeri- og oppdrettsnæringen. Datasystemet mangler sikkerhetskrav, risikovurdering og har alvorlige svakheter i kontrollen med hvem som har tilgang til datasystemene.

Dermed kan utenforstående kan få tilgang til data.

— Det gir risiko for uautorisert tilgang til informasjon, uautoriserte endringer og bevisste eller ubevisste handlinger med alvorlige konsekvenser for tilgjengelighet, integritet og konfidensialitet i direktoratet.

Arkivverket: Passer vår kulturarv med svak datasikkerhet

Det er også "helt grunnleggende" mangler i datasikkerheten i Arkivverket og Nasjonalbiblioteket.

Dette er institusjoner som passer på hele vår kulturarv.

— Grunnleggende prinsipper for god styring og internkontroll av informasjonssikkerhet etterleves ikke av Nasjonalbiblioteket og Arkivverket, mener Riksrevisjonen.

Fylkesmennene

Fylkesmennene rundt om i landet behandler svært personsensitive opplysninger om enkeltmennesker, blant annet klagesaker.

To av fem embeter har mangler med hensyn til å etterleve loven om behandling av personopplysninger. Flere tiltak som skulle vært på plass allerede i 2012, er ennå ikke klare.

Ingen forbedring på 4 år

Etter fire år er forsatt datasikkerheten i en rekke statlige etater meget dårlig. Moderniserings- og kommunalminister Jan Tore Sanner får hovedansvaret for å rydde opp. — Foto: Junge, Heiko

Foss peker på at tidligere riksrevisor Jørgen Kosmo advarte mot den dårlige datasikkerheten i Staten allerede for fire år siden.— Dette ble påpekt overfor daværende statsråd allerede i 2009. Siden har ingen forbedring skjedd, sier Foss.

— Til tross for økt avhengighet av IKT, endret risikobilde og økt satsing på ikt-systemer, har departementet fortsatt ikke ferdig en plan for hvordan arbeidet med informasjonssikkerhet i statsforvaltningen skal gjennomføres, skriver Riksrevisjonen.

Da var Rigmor Aasrud (Ap) fornynings- og administrasjonsminister i Stoltenberg-regjeringen. Nå er det er moderniserings- og kommunalminister Jan Tore Sanner som har ansvaret for å få rydde opp.

Brønnøysund: Risiko for juks i registrene

En annen meget samfunnsviktig etat som har for dårlig datasikkerhet, er Brønnøysundregistrene.

Her ligger enorme mengder data om norske private og offentlige selskaper, som spiller en svært viktig rolle i samfunnet.

Registrene mangler ifølge Riksrevisjonen grunnleggende sikkerhetsrutiner som logging og vedlikehold av hvem som bruker datasystemene.

— Dette fører til risiko for uautoriserte endringer i regnskapet og for misligheter. Flere av manglene som det er rapportert om tidligere år, er ikke rettet opp.

Bekymrede statsråder

I flere brev til Riksrevisjonen, gir flere statsråder uttrykk for at de er meget bekymret for datasikkerheten.

— Lite tilfredsstillende, skriver samferdselsminister Ketil Solvik-Olsen (Frp). Han mener forholdene Riksrevisjonen avdekker "samlet sett er uakseptable".

Forsvarsminister Ine Eriksen Søreide (H) sier hun tar på "alvor" at det svak datasikkerhet i Forsvaret. — Foto: Pedersen, Terje

— Riksrevisjonens funn synliggjør avvik i Forsvaret i forhold til kravene. Jeg tar dette på alvor, svarer forsvarsminister Ine Eriksen Søreide (H). Hun viser til at både departementet og forsvarssjefen følger opp kritikken.Kommunal- og moderniseringsminister Jan Tore Sanner svarer at "departementet har delegert oppfølgingen til Direktoratet for forvaltning og IKT (Difi).

— Departementet har tatt initiativ til opprettelsen av et kompetansmiljø på informasjonssikkerhet på Difi, skriver Sanner.

Les også:

Forsvarshemmeligheter og oljedata kan havne på avveie

Disse etatene får refs for svak datasikkerhet

Olje: Oljehemmeligheter kan stjeles

Jernbanen: "Betydelige svakheter"

Fisk og oppdrett: Fare for datajuks

Arkivverket: Passer vår kulturarv med svak datasikkerhet

Fylkesmennene

Ingen forbedring på 4 år

Brønnøysund: Risiko for juks i registrene

Bekymrede statsråder

Gjett hva pappa fant da han googlet mamma

Konsulenter fikk 1,18 mrd mer enn kontraktene sa

Han refser 14 av 17 statsråder for pengebruk eller mangelfull styring

Snowden: - Jeg kunne lese e-post til Norges statsminister

Avslørte 500 som jobbet ulovlig overtid i Forsvaret

Les videre

Riksrevisjonen slår alarm om svikt i regjeringens beredskapsarbeid

Riksrevisjonen simulerte dataangrep mot helseforetakene. Fant svært alvorlige mangler.

Riksrevisjonen: Betydelig risiko for at norsk krigsmateriell havner i Jemen