www.nkrf.no » Kommunerevisoren.no » 2012 » Nr. 6

Søk

Forsidebilde (NKRF):
1/3 av landets kontrollutvalgssekretærer samlet på "regjeringstrappa" på Thorbjørnrud under NKRFs årlige samling.

PDF-versjon av bladet

Last ned Kommunerevisoren nr. 6/2012 i pdf-format »

NKRF
Munkedamsveien 3B
Postboks 1417 Vika
0115 Oslo

Tlf: +47 23 23 97 00

post@nkrf.no

Hopp over seksjon - Til hovedinnhold - Topp

Revisjon av informasjonssikkerhet i offentlig sektor

Avdelingsdirektør Ryno Andersen og seniorrådgiver Stig Folkvord, Riksrevisjonen

Den teknologiske utviklingen har muliggjort økt velferd og samfunnsmessige besparelser som følge av mer effektivitet og mer produksjon. Medaljens bakside er at samfunnets avhengighet av ikt-systemene øker i takt med denne utviklingen.


Driftsavbrudd i kritiske systemer og nettverk kan gi merkbare virkninger for en virksomhet og for tjenestene til publikum. Riksrevisjonen har i revisjonen de siste årene avdekket vesentlige svakheter ved informasjonssikkerheten1 i statlig sektor. Det er grunn til å anta at det også ligger betydelige utfordringer på dette området i våre 18 fylkeskommuner og 429 kommuner.   

1. Betydelig svakheter avdekket i statsforvaltningen

Riksrevisjonen har gjennom en rekke revisjoner de siste årene påvist vesentlige svakheter ved informasjonssikkerheten i statsforvaltningen. I 2010 ble det gjennomført en omfattende revisjon av 17 departementer og 34 underliggende virksomheter. Undersøkelsen avdekket svakheter ved flere departementers styring av informasjonssikkerheten og alvorlige mangler i en rekke av virksomhetene. Resultatene av undersøkelsen ble offentliggjort i Dokument 1 (2010-2011) som er regnskapsrevisjonens årlige rapport til Stortinget. Rapporten fikk stor oppmerksomhet og bred dekning i media.

Revisjonskriterier 
I revisjonen ble følgende revisjonskriterier lagt til grunn:

Seniorrådgiver Stig Folkvord leder kompetansegruppen for ikt- revisjon i Riksrevisjonen. Ryno Andersen er avdelingsdirektør i avd. I som er strategisk partner på ikt-revisjon i Riksrevisjonen.

Bestemmelsene om økonomistyring i staten
I bestemmelsene kapittel 1.2 går det frem at departementet har et overordnet ansvar for at det gjennomføres kontroll med virksomhetene, og at virksomhetene har en forsvarlig intern kontroll. Av kapittel 2.4 følger det at virksomhetens ledelse har ansvaret for å påse at den interne kontrollen er tilpasset risiko og vesentlighet, at den fungerer på en tilfredsstillende måte, og kan dokumenteres. I revisjonen ble det lagt til grunn at virksomhetens interne kontroll også omfatter aspekter knyttet til informasjonssikkerhet.

Nasjonale retningslinjer
De nasjonale retningslinjene skisserer regjeringens tre hovedmål og 11 innsatsområder for arbeidet med informasjonssikkerhet. Det enkelte departement har ansvaret for å følge opp retningslinjene innenfor sin sektor, og Fornyings-, administrasjons- og kirkedepartementet (FAD) er tillagt et overordnet samordningsansvar.

ISO/IEC 27001 og 27002
ISO/IEC 27001 er et internasjonalt rammeverk som beskriver beste praksis for hvordan virksomheter kan styre sine ikt-ressurser og etablere et styringssystem for informasjonssikkerhet. ISO/IEC 27002 beskriver tiltak for hvordan rammeverket ISO/IEC 27001 kan oppfylles. Fordelen ved å benytte disse standardene som revisjonskriterier er at de er utbredt og godt kjent, både nasjonalt og internasjonalt. ISO/IEC 27001 og ISO/IEC 27002 har i tillegg en risikobasert tilnærming som gjør dem skalerbare og dermed anvendelige for både små og store virksomheter.

Revisjonsfunnene 
I Dokument 1 (2010-2011) fikk 11 departementer merknader knyttet til styring av informasjonssikkerheten innenfor egne sektorer. Ti virksomheter fikk avsluttende revisjonsbrev med merknader på grunn av vesentlig mangler ved informasjonssikkerheten alene eller sammen med andre revisjonsfunn. Revisjonen avdekket blant annet svakheter og mangler knyttet til identifisering og klassifisering av aktiva, risikoanalyser og beskyttelse av ikt-infrastruktur i virksomhetene. Det ble også pekt på mangler ved FADs oppfølging av samordningsansvaret for ikt-politikken.

Identifisering og klassifisering
Revisjonen viste at få departementer hadde stilt krav til virksomhetene om identifisering
av ikt-infrastruktur. På virksomhetsnivå viste revisjonen at ca. 40 % av virksomhetene ikke hadde identifisert sine viktigste aktiva, og over 50 % manglet et system for å klassifisere
informasjon- og informasjonssystemer. Identifisering og klassifisering danner grunnlaget for å bestemme sikkerhetsnivået for informasjon og nødvendige sikkerhetstiltak for å beskytte ikt-infrastrukturen.

Risikoanalyser
Revisjonen viste at de fleste departementer hadde stilt krav til underliggende virksomheter om gjennomføring av risikoanalyser som omfatter samfunns- eller virksomhetskritisk ikt-infrastruktur. Videre viste revisjonen at ca. 70 % av virksomhetene hadde utarbeidet risikoanalyser, men at omtrent halvparten manglet risikoanalyser som omfattet de viktigste aktiva i virksomhetene. Omtrent halvparten av virksomhetene manglet også rutiner for jevnlig oppdatering av risikoanalyser. Svakheter i virksomheters risikostyring kan medføre at risikoer ikke blir identifisert, og at nødvendige sikringstiltak ikke blir iverksatt.

Beskyttelse av kritisk ikt-infrastruktur
Revisjonen viste at få departementer hadde stilt krav til beskyttelse av ikt-infrastruktur. På virksomhetsnivå ble det avdekket svakheter i virksomhetenes administrasjon av tilganger til
informasjonssystemene og gjennomgående mangler ved logging og overvåking av aktiviteter i ikt-infrastrukturen. Videre viste revisjonen at ca. 80 % av virksomhetene hadde etablert en kontinuitetsplan eller en prosess for kontinuitetsplanlegging, men at de fleste av disse ikke var gjenstand for oppdateringer eller øvelser. Revisjonen viste imidlertid tilfredsstillende fysisk beskyttelse av datarom i de fleste virksomheter.

Konsekvensen av svak informasjonssikkerhet
Svak informasjonssikkerhet medfører risiko for uautorisert spredning og endring av informasjon og manglende tilgjengelighet til informasjon og informasjonssystemer. Dette vil også kunne innebære brudd på en rekke lover og forskrifter. Aktuelle lovbestemmelser vil være personopplysningslovens §§ 13 og 14, og kapittel 2 og 3 i forskrift til samme lov.  Forvaltningslovens § 13 om taushetsplikt,
e-forvaltningsforskriften § 13 m-fl. og helseregisterloven mv.

Et generelt inntrykk fra denne revisjonen synes å vise at det er lettere å beskytte det man ser, det fysiske, enn det man ikke ser, det logiske.

Et generelt inntrykk fra denne revisjonen synes å vise at det er lettere å beskytte det man ser, det fysiske, enn det man ikke ser, det logiske.

Erfaringer fra etterfølgende revisjon av informasjonssikkerhet i statsforvaltningen
Riksrevisjonen har gjennomført flere revisjoner av informasjonssikkerhet i statsforvaltningen etter den omfattende og tverrgående undersøkelsen i 2010. Tidligere revisjoner er fulgt opp og nye virksomheter er kontrollert. Det er på det rene at en rekke departementer og virksomheter har satt i verk tiltak som har forbedret informasjonssikkerheten. Vi mener likevel at det gjenstår ganske mye arbeid før hele statsforvaltningen har et tilfredsstillende nivå for informasjonssikkerhet. Dette har sammenheng med at det tar tid før alle gjennomførte tiltak får effekt og virksomhetene kommer opp på et tilstrekkelig modenhetsnivå for informasjonssikkerhet. De stadige endringer i teknologi og i trusselbildet medfører også et behov for å arbeide systematisk og kontinuerlig med informasjonssikkerhet i virksomhetene.  

2. Informasjonssikkerhet i kommunal sektor 

Kommuner og fylkeskommuner står nær den enkelte borger i hverdagen som leverandør av velferdstjenester knyttet til for eksempel skoler, tilbud til barn og ungdom, tannleger, leger og andre helse- og omsorgstjenester. Kommunens rolle som primærleverandør av mange typer velferdstjenester medfører at mye informasjon om den enkelte innbygger blir lagret lokalt i kommunene. Dette understreker betydningen av god informasjonssikkerhet.   

Kommuneundersøkelsen gjennomført av NorSIS og KINS 
Norsk senter for informasjonssikring (NorSIS)4 og Foreningen Kommunal Informasjonssikkerhet (KINS) gjennomførte i 2010 en undersøkelse om informasjonssikkerheten i norske kommuner. Tema for undersøkelsen var risikostyring, sikkerhetsledelse, sikkerhetskompetanse og personvern. Av 104 kommuner og fylkeskommuner som deltok i undersøkelsen, hadde 57 % klare rutiner for å sikre følsom informasjon. Samtidig innrømmer hver femte kommune alvorlig brudd på sikkerheten5. Det reelle tallet på brudd på informasjonssikkerhet kan påregnes å være enda høyere, da vi vet at antall sikkerhetsbrudd erfaringsmessig er langt større enn de som blir rapportert. Det er også et gjennomgående trekk i undersøkelsen at små kommuner kommer dårligere ut enn større kommuner når det gjelder informasjonssikkerhet.

Datatilsynet kommuneundersøkelse  
Datatilsynet6 foretar kontroll med kommunenes behandling av personopplysninger med hjemmel i personopplysningsloven av 14. april 2000 nr. 31. Det vises til lovens § 44, hvoretter Datatilsynet kan kreve de opplysningene som trengs for at tilsynet kan gjennomføre sine oppgaver, samt § 42 tredje ledd nr. 3 som bestemmer at Datatilsynet skal kontrollere at lover og forskrifter som gjelder behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet. Formålet med kontrollen er å vurdere virksomhetens behandling av personopplysninger i forhold til de krav som fremgår av personopplysningsloven med forskrifter.

Datatilsynets kommuneundersøkelse har avdekket svak intern kontroll7 knyttet til personopplysningsloven. Mellom juni og november 2010 ba Datatilsynet alle norske kommuner og fylkeskommuner om å redegjøre for hvordan de ivaretar kravene til intern kontroll og informasjonssikkerhet. 429 av 449 kommuner og fylkeskommuner svarte på henvendelsen. Bare 52 % av disse oppga at de hadde et dokumentert system for internkontroll, og i flere tilfeller er Datatilsynet usikker på om dette faktisk er korrekt. Det betyr at minst halvparten av landets kommuner og fylkeskommuner mangler dokumenterbare rutiner slik det kreves i personopplysningsloven. Datatilsynet mener det svake resultatet kan skyldes kommunenes rammebetingelser og kommunenes muligheter for etterleve personopplysningsloven. På bakgrunn av undersøkelsen opplyser Datatilsynet at bør det vurderes om kravene er rimelige, om de bør forenkles og om det bør legges inn mer konkrete anvisninger av hva som kreves for å oppfylle regelverket.
  
Datatilsynet har ikke gjennomført nye tilsyn på dette området mot kommunesektoren i 2011. Det ble imidlertid sendt vedtaksbrev til 56 kommuner som en oppfølging av undersøkelsen i 2010.

Undersøkelse om datasletting i kommunene
På oppdrag fra Ibas AS8 og NorSIS, har YouGov9 kartlagt norske kommuners rutiner for datasletting. Datasletting reguleres av personopplysningsloven med forskrifter10, retningslinjer gitt av Nasjonal sikkerhetsmyndighet (NSM) og av Helsedirektoratets Norm for informasjonssikkerhet som bygger på lovverket. Undersøkelsen kartla rutiner rundt datasletting, og viste at 74 % av alle norske kommuner har rutiner for datasletting, selv om metoden ikke alltid er i henhold til retningslinjer i personopplysingsloven og fra NSM. Kun halvparten av kommunene i Norge sørger imidlertid for dokumentert og reglementert sletting av personopplysninger.

Få forvaltningsrevisjoner av informasjonssikkerhet i kommunene
Norges Kommunerevisorforbund (NKRF) har laget en oversikt over 1320 forvaltningsrevisjoner 11 utført i kommunene fra 2007-2011. En gjennomgang av oversikten viser at kun et fåtall revisjoner12 har informasjonssikkerhet som hovedtema. I en av revisjonene benyttes personopplysningsloven med forskrifter som revisjonskriterium, i to andre benyttes NS-ISO/IEC 17799 (Informasjonsteknologi: administrasjon av informasjonssikkerhet) som er en standard fastsatt av Norges Standardiseringsforbund. En gjennomgang på internett viser noen flere forvaltningsrevisjoner i kommuner av informasjonssikkerheten enn de som fremgår av NKRFs oversikt, men antallet revisjoner er relativt sett meget begrenset. Funnene i revisjonene synes å avdekke svakheter ved informasjonssikkerheten i kommunene. Dette vil imidlertid kunne variere betydelig mellom de enkelte kommuner og fylkeskommuner.

Behov for økt fokus på informasjonssikkerhet i kommunal sektor
Resultatene av tilsyn, undersøkelser og revisjoner synes å avdekke et behov for økt fokus på informasjonssikkerhet i kommunal sektor. Etter vår mening, foreligger det også et behov for å øke kommunens egenkontroll på dette området, og da særlig den kontrollen som utføres av kontrollutvalgene og kommunens egen revisjon. Det er betydelig forskjell på å kontrollere seg selv og bli kontrollert av andre. En gjennomgang av revisor, som er uavhengig av administrasjonssjefen, vil erfaringsmessig gi kommunestyret en langt bedre betryggelse for hvordan den interne kontrollen i kommunen fungerer på dette området og om behovet for eventuelle tiltak. Dette er viktig styringsinformasjon i en stadig mer digitaliserte forvaltning.  

Etter vår mening, foreligger det også et behov for å øke kommunens egenkontroll på dette området, og da særlig den kontrollen som utføres av kontrollutvalgene og kommunens egen revisjon.

3. God informasjonssikkerhet krever systematisk og langsiktig arbeid

Det kreves langsiktig og systematisk arbeid i forvaltningen for å oppnå en robust og god informasjonssikkerhet. Ettersom både teknologien og trusselbildet er i konstant endring, kreves det en kontinuerlig innsats til for å etablere og opprettholde et tilstrekkelig sikkerhetsnivå. Skal dette arbeidet lykkes, må det bygges en organisasjonskultur i stat og kommuner som fremmer informasjonssikkerhet. En sterk sikkerhetskultur krever at ledelsen i virksomhetene bevisstgjør og påser at ansatte følger opp rutiner og regler som underbygger informasjonssikkerheten. Gode tekniske løsninger er ikke nok. Fokus flyttes fra de tekniske løsningene til menneskene som benytter dem. Det vil i praksis være en krevende øvelse for forvaltningen å holde tilstrekkelig fokus på arbeidet med informasjonssikkerhet over tid. For å sikre at dette skjer bør arbeidet med informasjonssikkerheten bli jevnlig målt og revidert. "Det som blir målt, blir gjort" er et gammelt jungelord i forvaltningen.

"Det som blir målt, blir gjort" er et gammelt jungelord i forvaltningen.

Regjeringen lanserte i april i år arbeidet med en fulldigitalisert forvaltning på alle forvaltningsnivåer som den nye store reformen i offentlig forvaltning. Et viktig element ved en fulldigitalisert forvaltning er at informasjonssikkerheten er tilstrekkelig slik at opplysninger som blir avgitt og lagret om den enkelte borger blir håndtert forsvarlig. God informasjonssikkerhet er på lang sikt grunnleggende for forvaltningens omdømme og publikums tillit til forvaltningen. På denne bakgrunn blir revisors oppgave med å revidere informasjonssikkerheten i stat og kommune stadig viktigere. 


  1. Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon ikke uautorisert endres eller ødelegges (integritet), og at informasjon er til stede og anvendelig for medarbeidere slik at pålagte oppgaver kan utføres (tilgjengelighet)." Datatilsynets definisjon. 
  2. I løpet av 2012 vil det komme en ny utgave av nasjonale retningslinjer for informasjonssikkerhet. Det vil også utarbeides en handlingsplan for å bidra til at retningslinjene følges opp. Retningslinjenes primære målgruppe har vært statlige myndigheter, men oppfølgingen av dem har berørt kommuner, fylkeskommuner, næringsliv, private organisasjoner og enkelt personer. 
  3. ISO/IEC 27001:2005 Information technology – Security techniques –Information security management systems – Requirements og NS-ISO/IEC 27002:2005 Informasjonsteknologi – Sikkerhetsteknikk – Administrasjon av informasjonssikkerhet
  4. NorSIS er en del av regjeringens satsing på informasjonssikkerhet i Norge. Målgruppen er norske virksomheter i privat og offentlig sektor. NorSIS er faglig underlagt Fornyings-, administrasjons- og kirkedepartementet (FAD). 
  5. Peggy Heie, seniorrådgiver i NorSIS i en artikkel skrevet av Pressenytt. 
  6. Det vises til informasjon hentet fra Datatilsynets nettsider. 
  7. I terminologien som Datatilsynet benytter dreier informasjonssikkerhet seg om å håndtere risiko for at personopplysninger og andre informasjonsverdier sikres på en tilfredsstillende måte. Internkontroll handler om å etablere og vedlikeholde planlagte og systematiske tiltak for å sikre at virksomheten oppfyller lovens krav til behandling av personopplysninger.
  8. Ibas AS er Nordens ledende tjenesteleverandør av datakonstruksjon, datasletting og dataetterforskning 
  9. YoyGov Norge er et markedsanalyseinstitutt som tilbyr kvantitative og kvalitative undersøkelser. 
  10. Sikkerhetsbestemmelsene i personopplysningsforskriften § 2-11 pålegger kommunene å slette data slik at det ikke skal være mulig å gjenskape data, men det defineres ikke hvordan selve slettingen skal utføres. 
  11. Det bemerkes at oversikten over antallet revisjoner av informasjonssikkerhet ikke er uttømmende, og at andre tilsynsorganer kan ha gjennomført kontroller som berører dette feltet uten at vi har tatt hensyn til dette. 
  12. I oversikten har vi funnet 3 revisjoner. Dette gjelder revisjon i Kviteseid kommune om it-sikkerhet 2007, Sauherad kommune it-sikkerhet 2009, og Elverum kommune It-sikkerhet 2010.

Kommunerevisoren nr. 6/2012 - 67. årg.

Til toppen av siden

Topp