Er informasjonssikkerheten i statsforvaltningen god nok?

Informasjonssikkerhet er særlig viktig når digital kommunikasjon er hovedregelen for kommunikasjon i og med forvaltningen. Befolkningen, næringslivet og forvaltningen skal ha tillit til at digitale tjenester og sentrale ikt-systemer i statsforvaltningen er godt sikret og til å stole på, skriver statssekretær Paul Chaffey i Computerworld.

Regjeringen har høye ambisjoner for digitaliseringen av offentlig sektor. Da blir det også viktig å ivareta informasjonssikkerheten. Det gjelder særlig å beskytte de nasjonale felleskomponentene og andre viktige systemer og nettverk i forvaltningen, både mot målrettede angrep og mer eller mindre tilfeldige feil.

Dette krever en felles forståelse av, og tilnærming til, ikt-sikkerhetsutfordringene i statsforvaltningen.

Riksrevisjonen etterlyste lenge en samlet plan for slikt arbeid. Som et svar på dette la derfor regjeringen i september 2015 fram en handlingsplan for arbeidet med informasjonssikkerheten i statsforvaltningen. Handlingsplanens hovedmålgruppe er toppledelsen og sikkerhetsansvarlige i alle fagdepartementer, men flere av tiltakene er relevante for offentlig sektor som helhet, også for kommunene.

Handlingsplanen har tre delmål:

  1. Befolkningen, næringslivet og forvaltningen selv skal ha tillit til at alle interne systemer og nettverk, samt alle digitale tjenester som utvikles og driftes i regi av virksomheter i offentlig sektor, er sikre og pålitelige.
  2. Fagdepartementene skal ha en felles forståelse om hvilke særskilte utfordringer statsforvaltningen står overfor i forbindelse med utvikling og drift av digitale offentlige tjenester.
  3. Ledere, utviklere, driftsansvarlige og brukere ansatt i statsforvaltningen skal få økt kompetanse og bevissthet omkring behovet for informasjonssikkerhet.

Det er pekt ut fem tiltaksområder: 1) styring og kontroll, 2) sikkerhet i digitale tjenester, 3) digital beredskap, 4) sikkerhet i nasjonale felleskomponenter, og 5) kunnskap, kompetanse og kultur. Disse fem områdene skal hver for seg, og i felleskap, bidra til at handlingsplanens målsetninger blir nådd.

Sikkerhet er én av flere målsettinger vi må ta hensyn til.
Når vi nå er kommet halvveis i planens virkeperiode har KMD, som samordner arbeidet, kartlagt status for med gjennomføring av handlingsplanen. Det viser seg at informasjonssikkerheten står høyt på ledelsens dagsorden i den enkelte virksomhet. Flere arbeider med å få på plass et styringssystem for informasjonssikkerhet, noe som er avgjørende for at alle i virksomheten har en felles forståelse av hvilke krav og retningslinjer som gjelder, og at de kontinuerlig følges opp.

Dette fordi et godt sikret ikt-system kan fortsatt være sårbart dersom brukere av det gjør feil på grunn av manglende retningslinjer og oppfølging av slike.

Arbeidet med å bedre informasjonssikkerheten i statsforvaltningen er en kontinuerlig prosess der det er en utfordring å holde tritt med nye sikkerhetsutfordringer. Samtidig er det også slik at sikkerhet er én av flere målsettinger vi må ta hensyn til i digitale tjenester, og vi må avveie ulike hensyn på en god måte. Det er hver enkel leders ansvar.

KMDs rolle er blant annet å ha oversikt over tilstanden i forvaltningen, slik at vi kan følge opp der det trengs sammen med hvert enkelt sektordepartement og med Justis- og beredskapsdepartementet, som har det overordnede samordningsansvaret for forebyggende sikkerhet i sivil sektor. Dette arbeidet er nå kommet godt i gang.