Rapport Arbeidet med informasjonssikkerheit i statsforvaltninga

Analyse av dei enkelte vurderingstema

Analysen er delt opp i fire område som er sentrale i arbeidet med informasjonssikkerheit. Kvart område er delt inn i skildring av vurderingstema, observasjonar, og vurderingar av utvikling frå 2018. I «utvikling frå 2018» har vi berre samanlikna svara frå fagansvarleg informasjonssikkerheit (ikkje verksemdsleiar og etatsstyrar).

    Styring av informasjonssikkerheit

    Leiar av ei offentleg verksemd har ansvaret for å styre verksemda. Dette inkluderer å styre risiko knytt til oppgåvene og tenestene i verksemda. Arbeidet med informasjonssikkerheit er ein del av dette.

    Vi har sett på følgande faktorar når vi har vurdert korleis verksemdene arbeider med styring og kontroll:

    • Leiinga si styring og oppfølging. (forankring i leiinga/ «tonen på toppen»). Kva føringar har leiinga gitt? Kva roller er definerte?
    • Heilskapleg styring og kontroll. Jobbar verksemda heilskapleg med informasjonssikkerheit? Er informasjonssikkerheit ein del av styringa av verksemda?
    • Organisering. Korleis er arbeidet med informasjonssikkerheit organisert i verksemda? Følger dette arbeidet linja, og er det etablert nødvendige støttefunksjonar? Er roller og ansvar tydelege?
    • Oppfølging og kontinuerleg forbetring. Følger leiinga opp arbeidet med revisjonar og evalueringar? Vert det lagt til rette for forbetringar? Og vedtek leiinga endringar på dei områda der vurderingar viser det er nødvendig?

    Skildring

    Formålet med informasjonssikkerheit, og tilhøyrande styring og kontroll, er å medverke til at informasjonsbehandlinga i verksemda på ein best mogleg måte realiserer det samla målet for verksemda, er kostnadseffektiv og er i samsvar med lover og reglar. I praksis betyr det at internkontrollen bør sjåast i samanheng med den generelle styringa av verksemda. Digdir er utpeika til å gi tilrådingar på området jamfør Digitaliseringsrundskrivet 1.4. I Referansekatalogen tilrår vi å basere seg på ISO/IEC 27001:2022 og Digdir sitt rettleiingsmateriell «Internkontroll i praksis – informasjonssikkerheit».

    Spørsmåla som har vorte analysert i denne delen er spørsmål 4, 6, 7, 9, 11 og 12 (sjå vedlegg 1).

    Observasjonar

    Leiinga si styring og oppfølging – «tonen på toppen»
    • 90 prosent svarer at dei har tydelege føringar for styring av informasjonssikkerheitsarbeidet (i moderat eller stor grad). 40 prosent av respondentane svarer i stor grad, 50 prosent i moderat grad, og 10 prosent i liten eller ingen grad.
    • I intervjua kjem det også fram at verksemdene i stor grad har føringar frå leiinga. Fleire av desse respondentane opplever at leiinga er medviten om informasjonssikkerheit og at dei prioriterer området. Eit fåtal oppgir å ikkje ha nokon tydelege føringar.
    Heilskapleg styring og kontroll
    • I spørjeundersøkinga svarer 44,3 prosent at dei i stor grad ser risikostyring av informasjonssikkerheit i samanheng med resten av risikostyringa i verksemda. 42,9 prosent svarer i moderat grad, og 12,8 prosent svarer i liten eller ingen grad.
    • Intervjua viser at fleire verksemder har gjort større omorganiseringar for å slå saman fagmiljø. Dette har ført til meir heilskapleg risikostyring og positiv effekt på styringa av informasjonssikkerheit.
    Organisering

    Ansvaret for informasjonssikkerheit og tilhøyrande internkontrollarbeid bør som hovudregel følge linja. For å støtte opp under leiarar på ulike nivå, må verksemda etablere nødvendige støttefunksjonar. Saman med linja utgjer dette sikkerheitsorganisasjonen i verksemda. Roller, ansvar og oppgåver må vere tydelege.

    Vi har følgande observasjonar om organiseringa av arbeidet med informasjonssikkerheit:

    • I spørjeundersøkinga har respondentane angitt kor mange personar i verksemda som arbeider med fagområdet informasjonssikkerheit. Talet respondentane har oppgitt varierer mellom 0 til 65 personar.
    • I intervjua kjem det fram at fleire verksemder manglar ressursar og kompetanse. Fleire fagansvarlege for informasjonssikkerheit sit på dobbeltroller, eller har ei redusert stilling innan andre ansvarsområde i tillegg til rolla som fagansvarleg informasjonssikkerheit. Til dømes IT-sjef eller personvernombod. Nokon meiner at det kan vere konfliktfylt å ha fleire roller på same tid. Dei har erfart at det er nyttig å ha ein dedikert fagansvarleg informasjonssikkerheit/CISO som kan overvake og gi råd på eit overordna nivå. Dobbeltroller kan skape konflikt dersom ein ikkje er klar over rollene.
    • I SSB si undersøking «Digitalisering og IKT i offentleg sektor» (2024) svarer 92,8 prosent av statlege verksemder at dei formelt har peika ut ein person som ansvarleg for informasjonssikkerheita.
    Oppfølging og kontinuerleg forbetring

    Sentrale aspekt ved styring og kontroll er å legge til rette for å kunne forbetre, følge opp arbeid og gjere nødvendige endringar. Å handtere hendingar og gjere evalueringar og revisjonar er viktige delar i dette.

    • 22,9 prosent av respondentane opplever at risikoeigarar (dei som har ansvaret for mål og resultat i verksemda) i stor grad systematisk vurderer status på ansvarsområdet sitt. Dette betyr at risikoeigarane gjer ei sjølvstendig vurdering av om internkontrollaktivitetane dei har ansvaret for vert utført forsvarleg, og at tilsette etterlever dei gjeldande retningslinjene. Vidare svarer 61,4 prosent av respondentane at dei gjer dette i moderat grad, mens 14,3 prosent gjer det i liten grad.
    • Tilsvarande svarer 51,4 prosent av respondentane at dei som er ansvarlege for sikkerheitstiltak (tiltaksleverandørar) vurderer systematisk status på ansvarsområda sine minst ein gong i året. 17,1 prosent svarer «veit ikkje», og 31,4 prosent svarer «nei».
    • Intervjua viser også at det er utfordrande for risikoeigar og tiltaksleverandør å få god nok oversikt, og analysere status på ansvarsområdet sitt.

    Vurderingar

    Det er positivt at 90 prosent av verksemdene sine fagansvarlege svarer at dei har tydelege føringar (i moderat eller stor grad). Men det å ha føringar betyr ikkje nødvendigvis at verksemdene er tilstrekkeleg moden. Intervjua viser likevel at dei fleste oppgir at informasjonssikkerheit har auka fokus og bevisstheit i leiinga, og at roller og ansvar er beskrivne. Dei peiker likevel på fleire utfordingar. Til dømes med organisering og manglande dedikerte ressursar.

    «Vi opplever at verksemda jobbar kontinuerleg med å forbetre arbeidet med informasjonssikkerheit, og det er eit område som blir tatt alvorleg av leiinga.»

    Sitat frå intervju med respondent

    Det er positivt at 87,4 prosent ser risikostyring av informasjonssikkerheit i samanheng med anna risikostyring. Samtidig er det urovekkande at heile 12,8 prosent i ingen eller liten grad gjer dette. Intervjua viser at sjølv om mange opplever ei auka forståing for å sjå informasjonssikkerheit i samanheng med andre ansvarsområde, er dette krevjande i praksis. Nokre av observasjonane i undersøkinga kan seie noko om årsakene til dette; utfordringar med organisering av sikkerheitsarbeidet, kompetanse- og ressursmangel.

    «For ein liten organisasjon med ei relativt lita gruppe som jobbar med informasjonssikkerheit, ser ein det som utfordrande at ting skjer raskt og at det er relativt kostbart å halde seg oppdatert. Vi har til tider problem med å halde kompetansen oppdatert.»

    Sitat frå intervju med respondent

    Vi ser at mange verksemder har plassert ansvaret som fagansvarleg informasjonssikkerheit saman med andre roller. Dette kan føre til at rolla vert utvatna, og moglege rollekonflikter i arbeidet med informasjonssikkerheit. Det er viktig at fagansvarleg informasjonssikkerheit har ei overordna og fagleg rådgivande rolle for heile organisasjonen, og kan rapportere direkte til toppleiinga utan mellomledd. I tillegg påpeika respondentane at det er positivt at verksemder kunngjer rolla som fagansvarleg informasjonssikkerheit/Chief Information Security Officer (CISO) som «verksemdskritisk», då dette gjer det tydeleg kva rolla inneber.

    Når ein skal forbetre arbeidet med informasjonssikkerheit kontinuerleg er det utfordrande for risikoeigar og tiltaksleverandør å ha oversikt. Inkludert å analysere status på ansvarsområdet sitt minst éin gong årleg. Heile 49 prosent har svart «nei» eller «veit ikkje» på spørsmålet om tiltaksleverandørar vurderer status på sine ansvarsområde minst éin gong i året. Det vil seie at halvparten av verksemdene ikkje undersøker om etablerte sikkerheitstiltak er formålstenlege, eller om ein må endre sikkerheitstiltak. Det er også urovekkande at 17 prosent har svart «veit ikkje», og at fagansvarlege ikkje sit på denne oversikta. Europeiske regelverk som NIS2 og GDPR set krav til å forvalte sikkerheitstiltak, og å kontinuerleg evaluere desse.[1] Dette inneber å sette i verk sikkerheitstiltak som er tilpassa risiko, og å vurdere effekten av desse tiltaka. Ein treng tilstrekkeleg fagkunnskap for å velje, etablere, oppretthalde og forvalte gode sikkerheitstiltak – og dessutan fase ut tiltak som ikkje lenger er formålstenlege.

    Utvikling sidan 2018

    I år oppgir færre respondentar at dei i stor grad har tydelege føringar for styring av arbeidet sitt. Samtidig er det fleire som seier dei har det i moderat grad. Dette kan indikere at det framleis er eit godt grunnlag for risikobasert styring, i og med at heile 90 prosent i enten moderat eller stor grad har tydelege føringar frå leiinga.

    Det kan vere forskjell på korleis leiar av verksemda og fagansvarleg oppfattar kor tydeleg styringa av informasjonssikkerheitsarbeidet er. Vi har ikkje spurt leiarar i denne undersøkinga, derfor er det ukjend om oppfatninga har endra seg. I 2018 meinte 77 prosent av leiarane at dei gav tydelege føringar, mens 51 prosent av dei fagansvarlege var samde i at dei fekk tydelege føringar.

    Det er størst behov for å forbetre undertemaet «kontinuerleg forbetring». Det er tydeleg nedgang i mengda som oppgir at tiltaksleverandørar og risikoeigarar analyserer status på ansvarsområdet sitt minst éin gong i året. Tala frå rapporten i år kan derimot hinte om at verksemdene i mindre grad har evne til å systematisk godkjenne og iverksette sikkerheitstiltak.

    Risikostyring

    Skildring

    Risikostyring omfattar to faktorar som kan vere ein del av vurderingstemaet styring og kontroll. Her er risikostyring trekt ut som eit eige vurderingstema fordi det er eit eige fag som også vert brukt på mange andre område, i tillegg til informasjonssikkerheit.

    I denne rapporten har vi valt å analysere to faktorar for området risikostyring:

    Vurdering av risiko gjeld her korleis verksemdene beskriv og vurderer operativ risiko. Vi har lagt særleg vekt på tilnærminga verksemdene har til å akseptere risiko.

    Handtering av risiko er kva verksemdene gjer med kvar identifiserte risiko, kva som vert lagd til grunn for avgjerder om å akseptere ein risiko, og kva tilnærming verksemda har til å etablere og forvalte sikkerheitstiltak for å redusere risiko.

    Spørsmåla som er analysert i denne delen er spørsmål 8, 10, 13, 14, 15, 16 og 17 (sjå vedlegg 1).

    Observasjonar

    Vurdering av risiko

    • 97,1 prosent har i stor eller moderat grad vurdert om informasjonssikkerheitshendingar kan påverka evna verksemda har til å levere sine tjenester. 44,3 prosent svarer i moderat eller liten grad. I intervjua kjem det fram at fleire av verksemdene ser informasjonssikkerheitsrisiko i samanheng med andre risikoar for verksemda.
    • 35,7 prosent svarer at det i stor grad vert gjennomført regelmessige risikovurderingar for arbeidsoppgåvene i verksemda. 50 prosent svarer «i moderat grad», og 10 prosent svarer «i liten grad» på spørsmålet.
    • I SSB si undersøking «Digitalisering og IKT i offentleg sektor» (2024) svarer 86,6 prosent av statlege verksemder at risikovurderingar vert gjennomført systematisk og periodisk .
    • Desse resultata stemmer overeins med det som kom fram i intervjua, der dei fleste svarte at dei gjennomfører periodiske risikovurderingar på ulike nivå.
    • Gjennom intervjua kjem det også fram at det er store variasjonar i korleis verksemdene arbeider med risikovurdering. Det er store forskjellar mellom verksemdene i bruken av tydelege retningslinjer for å akseptere risiko, og metodar for å gjennomføre risikovurderingar.
    • Spørjeundersøkinga viser at ansvaret for å vurdere og handtere risiko følger linjeprinsippet i 83 prosent av dei spurde verksemdene. 17,1 prosent oppgir at det formelle ansvaret for avgjerder om informasjonssikkerheitsrisiko vert teke av spesialfunksjonar, slik som fagansvarleg informasjonssikkerheit eller andre.
    • Intervjua viser at der er store forskjellar i frekvens på gjennomføringar av risikovurderingar, og på kva nivå dei vert gjennomført. Enkelte verksemder gjennomfører berre overordna vurderingar sentralt, nokon vert gjennomført i tilknyting til prosjekt, mens andre vert gjennomført i linja. Enkelte vurderer risiko på alle nivå.
    • Eit fåtal av verksemdene som er intervjua påpeikar at det vert gjennomført mange og hyppige risikovurderingar, mens nokon primært gjennomfører risikovurderingar relatert til enkelte eller alle IKT-løysingar eller -prosjekt.
    • Dei fleste stiller krav til å vurdere risiko før dei tek i bruk nye IKT-system. Nokon påpeikar at sjølv om det finst slike krav, vert dei sjeldan følgde i praksis. Dette er basert på resultat frå interne spørjeundersøkingar.

    Handtering av risiko

    • 31,4 prosent har svart at verksemda i stor grad har ei formålstenleg organisering av drift og forvaltning av sikkerheitstiltak. 11,4 prosent har svart i liten grad.
    • 28,6 prosent oppgir at dei i stor grad gjennomfører systematisk godkjenning og iverksetting av sikkerheitstiltak. 57,1 prosent har svart «i moderat grad». Samla sett har 14,3 prosent oppgitt at dei i liten eller ingen grad gjer dette.
    • I spørjeundersøkinga oppgir 92,9 prosent at dei i stor eller moderat grad er i stand til å etablere dei sikkerheitstiltaka dei har behov for. Det er derimot 5,7 prosent som har svart at dei i liten grad er i stand til å etablere sikkerheitstiltak dei har behov for. 1,4 prosent har svart at dei ikkje veit om dei er stand til dette.
    • I spørjeundersøkinga er det 18,6 prosent som oppgir at dei i stor grad regelmessig evaluerer etablerte sikkerheitstiltak. 20 prosent oppgir at dei i liten grad gjer dette. Det er ingen som svarer at dei ikkje gjennomfører evalueringar.
    • Berre 21,4 prosent av respondentane oppgir at dei i stor grad har tydelege retningslinjer for å akseptere risiko. 54,3 prosent seier dei i moderat grad har det, mens 24,3 prosent seier dei i liten eller ingen grad har det

    Vurderingar

    Rettleiinga til Digdir slår fast at det som hovudregel ikkje er formålstenleg å gjennomføre grundige risikovurderingar på all informasjonsbehandling og alle informasjonssystem i ei verksemd. Verksemder må ha tilstrekkeleg oversikt over heilskapen og kunne prioritera, og jamleg vurdere kor det er behov for å grundig vurdere risiko. Intervjua viser at risiko i stor grad vert vurdert av risikoeigarar, og at systemeigar i mindre grad gjer det. Dette stemmer overeins med resultata frå undersøkinga som blei lagt fram i førre vurderingstema “Styring av informasjonssikkerheit”. Intervjua og kommentarar i fritekstfeltet peiker på at manglande kompetanse og kapasitet har skylda for dette.

    Dei statlege verksemdene har likevel eit godt grunnlag for ei risikobasert tilnærming til informasjonssikkerheit, sidan nesten 90 prosent av verksemdene oppgir at det vert utført regelmessige risikovurderingar for arbeidsoppgåvene deira. Vidare har 97,1 prosent i stor eller moderat grad vurdert om informasjonssikkerheitshendingar kan påverke evna verksemda har til å levere tenester. Intervjua viser også at fleire verksemder ser informasjonssikkerheitsrisiko i samanheng med andre typar risikoar for verksemda.

    Mange verksemder er i stor grad i stand til å etablere nødvendige sikkerheitstiltak. Resultata kan derimot indikere at dei har utfordringar med å evaluere desse tiltaka effektivt. Dei fleste verksemdene har ei evne til å etablere nødvendige sikkerheitstiltak, men møter på utfordringar med organisering, forvaltning og evaluering av etablerte tiltak. Sjølv om dei fleste verksemdene har ei viss grad av formålstenleg drift og forvaltning av sikkerheitstiltak, rapporterer berre 28,6 prosent at dei i stor grad har ei systematisk tilnærming til å godkjenne og iverksette nye tiltak. Dette betyr at mens dei fleste verksemder set i verk formålstenlege tiltak og forvaltar dei effektivt, er det ein stor del som manglar ei systematisk tilnærming til risikohandtering. Samla sett tyder det på behov for å gjere evalueringa og implementeringa av sikkerheitstiltak betre, og å sikre heilskapleg og effektiv handtering av risikoen.

    «Vi har gjort mykje arbeid innan dei områda de ønsker å avdekke, men føler likevel at vi har mykje jobb igjen før vi kan seie vi har "god kontroll".»

    Sitat frå intervju med respondent

    Berre 21,4 prosent oppgir at dei i stor grad har tydelege retningslinjer for å akseptere risiko. Utan slike retningslinjer er det vanskeleg å prioritere ressursane mot dei viktigaste risikoane.

    Utvikling sidan 2018

    Når det gjeld vurdering av risiko, er det noko auke (rundt 7 prosentpoeng) som oppgir at dei i "stor grad" har vurdert om hendingar vil kunne føre til utfordringar.

    Når det gjeld handtering av risiko, er det like mange (60 prosent) som i stor grad etablerer dei sikkerheitstiltak dei har behov for. Men i 2024 er det også 7 prosent som har svart “i liten grad” eller “veit ikkje”. I 2018 var det ingen som svarte dette. Samtidig svarte 35 prosent i 2018 at dei i stor grad har tydelege retningslinjer for å akseptere risiko. I 2024 har talet sokke til berre litt over 20. Mens fleire har oppgitt at dei i moderat grad har dette, er det likevel også ein større del som i ingen eller liten grad har tydelege retningslinjer enn det var i 2018.

    Færre svarer at dei i liten eller ingen grad evaluerer etablerte sikkerheitstiltak i 2024 enn i 2018. Resultata tilseier at verksemdene hadde noko betre kontroll på systematisk godkjenning og iverksetting av sikkerheitstiltak i 2018 enn i 2024.

    Ved å sette tala frå årets spørjeundersøking opp mot tala frå 2018, kan ein oppleve situasjonen i statsforvaltninga som at den ikkje har endra seg noko vesentleg. Det tilseier at arbeidet med å systematisk vurdere og handtere risiko ikkje har utvikla seg mykje i dei statlege verksemdene. Det er færre som oppgir at dei har tydelege retningslinjer for aksept av risiko. Utan tydelege retningslinjer for risikoaksept er det vanskeleg å prioritere ressursbruken mot dei risikoane det er viktig å handtere. Dette er uheldig, og kan føre til svekt styring og kontroll av informasjonssikkerheit i kvar enkelt verksemd.

    Øvingar og handtering av hendingar

    Skildring

    Verksemder bør vere førebudd på at sikkerheitshendingar kan oppstå når som helst. Ei god beredskapsplanlegging er avgjerande for å handtere uønskte hendingar på ein effektiv måte. Utan klare beredskapsplanar som tydeleg definerer ansvarsfordelinga, kan det vere vanskeleg å effektivt koordinere responsen på ei hending.

    Å planlegge og gjennomføre øvingar spelar ei vesentleg rolle i å førebu seg på uventa hendingar. Dei mest vellykka verksemdene er dei som trenar på risikoscenario som er identifisert ved å identifisere, vurdere og analysere risiko ein står overfor i si verksemd.[1] Dei tek også ei proaktiv tilnærming til øvinga, der dei på førehand har vurdert kva som er nødvendig for ei vellykka gjennomføring av øvinga.

    Etter kvar øving bør verksemder evaluere og identifisere område for forbetring. Dette kontinuerlege arbeidet vil bidra til at verksemda vert betre rusta til å handtere framtidige hendingar på ein effektiv og sikker måte. For anbefalingar og råd for gjennomføring av øvingar finst det fleire aktørar som rettleier på dette området. Hos ovelse.no får ein tilgang til diskusjonsøvingar, mens Direktoratet for samfunnssikkerhet og beredskap (DSB) rettleier for fleire type øvingar, og sektorspesifikk rettleiing.

    Spørsmåla som er analysert i denne delen er spørsmål 18, 19, 20 og 21 (sjå vedlegg 1).

    Observasjonar

    • I spørjeundersøkinga oppgir 75,7 prosent av verksemdene at dei gjennomfører minst ei øving årleg på informasjonssikkerheitsområdet. 21,4 prosent har svart at dei ikkje øver årleg. 2,9 prosent veit ikkje. I spørjeundersøkinga svarer 41,4 prosent at dei i moderat grad arbeider systematisk med øvingar. Følgt av 35,7 prosent av verksemdene som svarer i stor grad. Vidare svarer 21,4 prosent at dei i liten grad arbeider systematisk med øvingar.

    • I spørjeundersøkinga stilte vi eit fleirvalspørsmål om kva verksemdene baserer handtering av informasjonssikkerheitshendingar på. Prosentdelen differerer frå figur 6 på grunn av omrekningar gjort for ei betre grafisk framstilling.

      Her svarer verksemdene:

      • Vi har definerte roller og ansvar: 88,6 prosent
      • Vi har ein eigen funksjon for å koordinere handteringa av informasjonssikkerheitshendingar (eks: Security Incident Response Team): 78,6 prosent
      • Vi har oversikt over behov for kompetanse hos alle som er involverte i varsling, deteksjon og handtering av hendingar: 32,9 prosent
      • Vi har definerte prosedyrar for å handtere hendingar: 75,7 prosent
      • Vi har rutinar for å rapportere avvik: 87,1 prosent
      • Anna: 7,1 prosent
    • 46 prosent har i liten eller ingen grad oversikt over kostnadene som følger av informasjonssikkerheitshendingar. Dette inneber at respondentane har avgrensa innsikt i kostnadene knytt til hendingar. Ein mindre del, 10 prosent, oppgir å ha stor grad av oversikt, mens 35,7 prosent oppgir å ha moderat grad av oversikt. 7,1 prosent veit ikkje.
    • Frå intervjua fortalde fleire respondentar at medieomtale av hendingar som har funne stad hos andre eller eiga verksemd har bidrege til auka fokus på øvingar.
    • Frå intervjua fortalde respondentane at ein endra sikkerheitspolitisk situasjon for Noreg har bidrege til at verksemdene prioriterer arbeidet med øvingar og handtering av hendingar.

    Vurderingar

    Hovudinntrykket frå spørjeundersøkinga er at verksemdene i stor eller moderat grad jobbar systematisk med øvingar. Eit fleirtal av verksemdene oppgir å øve minst ein gong årleg. Dette er ein auke frå 2018, då under halvparten av respondentane svarte dei øvde årleg. Svara frå spørjeundersøkinga indikerer at verksemder jobbar meir systematisk med øvingar og øver oftare enn før.

    «Erfaringane blir brukt i årshjulet for informasjonssikkerheit, og blir tatt med i neste års arbeid.»

    Sitat frå intervju med respondent

    Sjølv om fleire oppgir i spørjeundersøkinga at dei øver årleg, så kan intervjua indikera at det ikkje er tilstrekkeleg systematikk i arbeidet. I intervjua fortalde fleire verksemder om manglande beredskapsplanar, øvingsplanar, evaluering etter hendingar og at det var eit stort forbetringspotensial. Respondentane peikar på at det er eit «etterslep» etter pandemien, der ein ikkje har komme i gang, eller ikkje har tilstrekkeleg med data frå dei siste åra å bygge på. Nokre verksemder oppgir at berre delar av organisasjonen jobbar systematisk med øvingar. Dei delane av verksemdene som jobbar meir systematisk med øvingar er vanlegvis dei som har dedikerte ressursar til arbeidet med sikkerheit på ulike nivå, både strategisk og operativt.

    Svara frå spørjeundersøkinga gir ein indikasjon på at verksemdene i norsk statsforvaltning har liten oversikt over kostnadene som kan følge av informasjonssikkerheitshendingar. Kostnadene knytt til informasjonssikkerheitshendingar kan vere store, men variere i omfang og etter type hending. Det kan vere vanskeleg for verksemder å berekne omfanget av slike hendingar. Respondentar som fortel å ha opplevd hendingar i eiga verksemd, oppgir at dette har ført til at øvingar i ettertid er sett meir på dagsordenen. Verksemdene oppgir at medieomtale etter ei slik hending også fører til auka fokus frå leiinga.

    Oppfatninga er likevel at norske verksemder har ei god forståing for kor viktig arbeid med øvingar er. Informasjonssikkerheitsbrot og -hendingar som har ført til negativ omtale, og dessutan krigen i Ukraina og ein ny sikkerheitspolitisk situasjon, kan ha bidratt til dette.

    Utvikling sidan 2018

    Undersøkinga frå 2018 viste at verksemder øver for lite, då under halvparten hadde årlege øvingar. Det vart trekt fram som positivt at 87 prosent likevel hadde handtert hendingar basert på tydelege definerte roller, ansvar og prosedyrar.

    Samanlikna med undersøkinga frå 2018 er det ein auke av verksemder som oppgir at dei jobbar systematisk med øvingar. I 2018 svara 18 prosent at verksemda i stor grad jobbar systematisk med øvingar innan informasjonssikkerheit. Dette vil seie at det har vore ein auke med over 17 prosentpoeng, som seier oss at dette har fått auka prioritering.

    Det er særleg bra at vi ser at ei større grad av verksemder øver årleg. I spørjeundersøkinga oppgir 75,7 prosent av verksemdene at dei gjennomfører minst ei øving årleg på informasjonssikkerheitsområdet. Dette er ein auke frå 45 prosent i 2018.

    Kultur og kompetanse

    Skildring

    Sikkerheitskultur handlar om dei felles haldningane, åtferda og verdiane for verksemda knytt til informasjonsressursane for verksemda. Å ha god sikkerheitskultur inneber å fremme forståing for risiko, oppmuntra til å etterleve retningslinjer og prosessar for sikkerheit. Og generelt vareta eit miljø der verksemda prioriterer sikkerheit på alle nivå.

    For å bygge ei robust informasjonssikkerheit og oppretthalde ein god sikkerheitskultur i ei verksemd, er kompetanse ein nøkkelkomponent. Formålstenleg sikkerheitskompetanse og nødvendig opplæring bidreg til at tilsette kan utføre dei daglege oppgåvene på ein sikker måte. Tilsette treng tilstrekkeleg kompetanse for å forstå og identifisere risiko, handtere sikkerheitstruslar og sårbarheiter i verksemda. Kompetanse er også viktig for å forstå den rolla tilsette har i å oppretthalde sikkerheita og ta nødvendige forholdsreglar.

    Spørsmåla som er analysert i denne delen er spørsmål 22, 23 og 24 (sjå vedlegg 1).

    Observasjonar

    • I spørjeundersøkinga oppgir 54,5 prosent at dei i stor grad opplever at informasjonssikkerheitsarbeidet har fokus og prioritet hos leiinga, mens 44,3 prosent svarer at informasjonssikkerheit i moderat grad har fokus og prioritet. 1,4 prosent av deltakarane svarer at informasjonssikkerheit i lita grad har fokus og prioritet hos leiinga.
    • Omtrent ein tredel av intervjuobjekta påpeikar eit godt fokus i leiinga når det gjeld informasjonssikkerheit. Fleire av objekta snakkar om auka prioritet, og at leiinga er på rett veg.
    • Fleire av dei intervjua verksemdene uttrykkjer seg også om at sikkerheitskulturen vert rekna som å vere god, og at kulturen utviklar seg i positiv retning. Fleire presiserer likevel at sikkerheitskulturen har rom for forbetring. Nokre få verksemder rapporterer om manglande sikkerheitsskultur.
    • I spørjeundersøkinga oppgir 24,3 prosent at dei enten i ingen grad eller i liten grad kartlegg verksemda sitt behov for kompetanseheving på informasjonssikkerheitsområdet. 61,4 prosent av verksemdene svarer at dei i moderat grad kartlegg behova, mens 14,3 prosent svarer at dei i stor grad kartlegg kompetansehevingsbehovet.
    • I Intervjua kjem det fram frå fleire av objekta at det manglar noko kartlegging av kompetansebehov. Fleire av verksemdene har tilsette med eit sprikande behov for kompetanseheving og det kan vere utfordrande å sette i verk nødvendig sikkerheitssopplæring.
    • I spørjeundersøkinga oppgir 70 prosent av deltakarane at det har vorte gjennomført tiltak for å styrke informasjonssikkerheitskulturen i verksemda for alle tilsette. 32,9 prosent av deltakarane har kryssa av at det har vorte gjennomført tiltak blant grupper av tilsette, mens 40 prosent av deltakarane svarer at tiltak har vorte gjennomført for leiargruppa. 12,9 prosent svarer at det ikkje er gjennomført tiltak for å styrke kulturen i verksemda.
    • I intervjua kjem det fram at dei fleste verksemdene set i verk tiltak for å betre sikkerheitsskulturen. Men det kjem også fram at det er nokre manglar i kompetanseheving blant nyare tilsette, og at dei har ei kjensle av å vere på etterskot med tanke på utviklinga av sikkerheitssituasjonen.
    • I SSB si undersøking “Digitalisering og IKT i offentleg sektor” (2024) svarer 90,4 prosent av statlege verksemder at aktivitetar for opplæring og bevisstgjering av tilsette og leiarar vert gjennomført minst éin gong per år.

    Vurderingar

    Det kan vere vanskeleg å seie noko konkret om sikkerheitskulturen og -kompetansen i ei verksemd. Verksemder kan i praksis ha nokre gode og nokre dårlege element i sikkerheitskultur på ei og same tid. Samtidig kan dei stille ulike krav til kultur og kompetanse basert på oppgåvene for verksemda.

    Hovudinntrykket frå resultata frå både spørjeundersøkinga og intervjua er at dei fleste verksemdene kartlegg kompetansebehov og sikkerheitskultur. Majoriteten av respondentane oppgir at dei jobbar med bevisstgjering og opplæring innan informasjonssikkerheitsområdet. Rundt tre firedelar av respondentane i spørjeundersøkinga seier at dei gjennomfører kartlegging av kompetansebehov i moderat eller stor grad. På den andre sida rapporterer omtrent 23 prosent av respondentane om manglande kartlegging av sikkerheitskultur, og fleire meiner det er rom for forbetring på dette området. Samtidig påpeikar fleirtalet av respondentane at sikkerheitskulturen har vorte betre med auka fokus og bevisstgjering, og at utviklinga går i positiv retning.

    «Sjølv om augneblinksbiletet i svara tilseier i "liten" eller "moderat" grad i mange av svara så kjem det ikkje like godt fram at vi er på ei mogningsreise. Vi veit kva medisinen er, men det tar tid å skape forståing for arbeidet og endre på kulturen, både hos leiinga og dei tilsette.»

    Sitat frå intervju med respondent

    Svara frå både spørjeundersøkinga og intervjua indikerer at leiinga har eit høgt fokus på og forståing for informasjonssikkerheit. Samtidig viser svara at det er behov for auka kompetanse på nokre område. Dette gir meining, sidan høgare bevisstgjering og fokus på informasjonssikkerheit vil gjere eventuelle manglar på kompetanse lettare å identifisere.

    «Leiinga er i ferd med å endre haldning til arbeidet med informasjonssikkerheit, og har det siste året gjort mykje for å auke bevisstheita hos leiarar og få informasjonssikkerheit integrert i styringssystemet. Det manglar stadig fokus på kulturbygging og kontinuerleg opplæring av tilsette.»

    Sitat frå intervju med respondent

    Dei fleste verksemdene påpeikar at det vert sett i gang tiltak for å betre sikkerheitskulturen blant alle tilsette. Men nokre verksemder fortel at opplæring og bevisstgjering berre er retta mot enkelte grupper av dei tilsette. I SSB si undersøking frå 2024 svarer i overkant av 90 prosent at aktivitetar for opplæring og bevisstgjering av tilsette og leiarar vert gjennomført minst éin gong per år.[1] Desse resultata viser til eit godt fokus på bevisstgjering og opplæring. Ved å kartlegge eksisterande sikkerheitskultur og -kompetanse får ein eit godt grunnlag for formålstenleg opplæring og bevisstgjering. Ved å kartlegge sikkerheitskulturen kan verksemda identifisere område der det er behov for forbetring, og enklare vite kva kompetanse som manglar. Verksemda kan deretter implementere tiltak for å styrke sikkerheitskulturen og kompetansen over tid.

    Utvikling sidan 2018

    Svarresultata frå 2024 var svært like resultatet frå 2018. I 2018 svarte 52 prosent at dei i stor grad opplever at informasjonssikkerheitsarbeidet har prioritet hos leiinga, mens i år svarte 54,3 prosent at det i stor grad er prioritet hos leiinga. I 2024 har 1,4 prosent svart at arbeidet i lita grad er prioritert av leiinga. I 2018 var det ingen som svarte dette.

    I spørjeundersøkinga frå 2024 svarte 14,3 prosent at dei i stor grad kartlegg behovet for kompetanseheving innan informasjonssikkerheitsområdet, ein liten nedgang frå 17,3 prosent i 2018. Det er ei positiv utvikling i andelen som i liten eller ingen grad kartlegg behov, då den er redusert mykje frå 32 prosent i 2018 til 24,3 prosent i 2024.

    I år er det 3 prosentpoeng mindre som svarer at dei i stor grad kartlegg behov for kompetanseheving på informasjonssikkerheitsområdet samanlikna med 2018. Men det er og nesten 8 prosentpoeng færre som seier at det enten i liten eller ingen grad vert kartlagt behov.

    Resultata frå årets spørjeundersøking viser ein nedgang av initiativ til å gjennomføre tiltak for å styrke informasjonssikkerheitskulturen i verksemdene, samanlikna med resultata frå 2018. I år har 70 prosent svart at det har vorte teke initiativ mot alle tilsette. 32,9 prosent av verksemdene har svart at initiativ har vorte retta mot grupper av tilsette, mens 40 prosent av verksemdene svarer at initiativ har vorte retta mot leiargruppa. 12,9 prosent av verksemdene svarer at det ikkje er gjennomført tiltak. I 2018 svarte 73,7 prosent av verksemdene at tiltak har vorte gjennomførte mot alle tilsette, 39,5 prosent av verksemdene kryssa av for grupper av tilsette. 44,7 prosent kryssa av for leiargruppa. 7,9 prosent svarte at det ikkje har vorte gjennomført tiltak.