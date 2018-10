innenriks

Også Direktoratet for økonomistyring (DFØ) får same harde kritikk i Riksrevisjonens årlege revisjon og kontroll for budsjettåret 2017, som vart lagt fram torsdag.

Der kjem det fram at mange statlege verksemder har for dårleg sikring av IKT-system og sensitiv informasjon.

– Våre undersøkingar viser at det er vesentlege manglar i styringa av informasjonssikkerheit og sikring av IKT-system, seier riksrevisor Per-Kristian Foss i ei pressemelding.

– Dette gir risiko for at opplysningar kjem på avvegar eller at funksjonar blir sette ut av spel, poengterer han.

Kritikkverdig

For dei tre nemnde statlege organa er det for dårleg styring av informasjonssikkerheit og sikring av IKT-system som ifølgje Riksrevisjonen er problemet.

Ofte er det manglar i grunnleggjande sikkerheitstiltak som tilgangsstyring og overvaking av eigne system, blir det slått fast.

– Det er kritikkverdig at dette ikkje blir følgt opp betre, meiner Foss.

– På papiret har fleire verksemder styringssystem for informasjonssikkerheit, men våre undersøkingar viser at det er store utfordringar med å få systema til å fungere. Det er ofte vanskeleg å sjå samanheng mellom identifiserte risikoar og risikoreduserande tiltak, seier han.

«Kan utnyttast i dataangrep»

Riksrevisjonen summerer opp kritikken slik:

* Nav har etablert fleire sterke sikkerheitstiltak, men IKT-systemet til etaten har likevel vesentlege svakheiter som kan utnyttast i dataangrep av interne og eksterne aktørar.

* DFØ har ikkje god nok sikring av personopplysningar i lønns- og personalsystemet som vert nytta for tilsette i 171 verksemder.

* Kunnskapsdepartementet har ikkje sikra at driftsleverandørane leverer tilfredsstillande sikkerheit i økonomisystema til universitet og høgskular.

Fleire får kritikk

Samtidig peiker Riksrevisjonen på forhold som blir omtalt som kritikkverdige hos Arbeidstilsynet, Statens kartverk, Fylkesnemndene for barnevern og sosiale saker og eitt universitet og to høgskular.

Både Arbeidstilsynet og Statens kartverk har styringssystem for informasjonssikkerheit, men styringa har ikkje fungert, og det er svakheiter i sikringa av IKT-system, ifølgje revisjonen.

Samtidig har Fylkesnemndene for barnevern og sosiale saker ikkje eit styringssystem for informasjonssikkerheit og ikkje god nok oppfølging av sikkerheit i tenester som er sett ut til eksterne.

For eitt universitet og to høgskular er situasjonen at styringssystema ikkje varetar god nok sikkerheit ved behandlinga av personopplysningar i forskingsprosjekt, ifølgje Riksrevisjonen.

