Revisjonen avdekker at både politiet, Utenriksdepartementet og Oljedirektoratet trenger å sikre seg bedre mot dataangrep.
- Det er svært bekymringsfullt at slike viktige samfunnsinstitusjoner ikke har tilstrekkelig kontroll over IKT-sikkerheten. Da er det bra at Riksrevisjonen følger med, undersøker og påpeker svakheter slik at det kan treffes nødvendige forbedringstiltak. Nå forventer jeg at etatene følger opp, sier NITOs president Trond Markussen.
Kritikk av politiet
Politiet får kritikk for at de ikke arbeider systematisk med å planlegge og følge opp informasjonssikkerhet. Arbeidet vanskeliggjøres av kompleks organisering og fragmenterte ansvarsforhold. Politiet har blant annet ikke forholdt seg til Nasjonal sikkerhetsmyndighets anbefalinger om grunnprinsipper for IKT-sikkerhet.
- Dette illustrerer tydelig det NITO har ment lenge, nemlig at grunnprinsipper for IKT-sikkerhet ikke kan være basert på frivillighet. Det må etableres minimumskrav og tilhørende tiltak for å sikre en minimumsstandard for IKT-sikkerhet i samfunnskritiske IKT-løsninger, understreker Markussen.
Ikke sikret datasystemer
Også Oljedirektoratet får kritikk for å ikke sikre sine datasystemer. Ifølge Riksrevisjonen har systemene de bruker svakheter som kan utnyttes av uvedkommende i forbindelse med et dataangrep. Også her definerer Riksrevisjonen funnene som «sterkt kritikkverdige».
Leder av NITOs fagutvalg petroleum Jorunn Birkeland er svært kritisk til at Oljedirektoratet ikke tidligere har tatt dette mer alvorlig med tanke på hendelsen på Mongstad i 2014 og det store fokuset IKT-sikkerhet fikk i den forbindelse, spesielt etter at saken kom ut i media høsten 2016.
Viktig sak for NITO
NITOs medlemmer har tidligere engasjert seg i saker knyttet til IKT-sikkerhet på Mongstad, Helse Sør-Øst og nødnettet. Sikring av samfunnskritiske funksjoner, mer sektorovergripende styring av IKT-sikkerheten og mer IKT-sikkerhetskompetanse har lenge vært behov NITO har påpekt.