Rapport Arbeidet med informasjonssikkerheit i statsforvaltninga

Bakgrunn og behov

Om undersøkinga

Digdir sende spørjeskjema til fagpersonar i eit utval på 91 statlege verksemder (sjå vedlegg 3) med ulik storleik og organisering. 18 verksemder deltok i djupneintervju for å supplere med kvalitativ informasjon. Samla gir svara eit godt bilete på korleis statsforvaltninga arbeider med informasjonssikkerheit.

Rapporten viser korleis verksemdene arbeider med informasjonssikkerheit, men ho er ikkje ei kartlegging av sjølve sikkerheitstilstanden i den enkelte verksemda. Les heile analysen her: Analyse av dei enkelte vurderingstema | Digdir. Denne rapporten, som bygger på Digdir sitt rollemandat, kan bidra til effektiv politikkutvikling, tilrådingar og rettleiing innan informasjonssikkerheit.

Svarresultata kan tyde på at det generelt har vore lite utvikling i arbeidet med informasjonssikkerheit sidan 2018, då vi gjorde ei liknande undersøking. Det er likevel betring på enkelte område, mens andre område framleis verkar utfordrande for verksemdene å gjennomføre på ein tilfredsstillande måte.

I 2018 fann vi at statlege verksemder må styrke arbeidet med styring og kontroll av informasjonssikkerheit slik at verksemdene vert tilstrekkeleg modne og betre rusta til å følge endringar i trusselbiletet.

Målgruppe

Mann som holder jordklode

I denne rapporten har vi samla kunnskap om tilstand, trendar og behov i arbeidet med informasjonssikkerheit i statsforvaltninga. Eit slikt kunnskapsgrunnlag er viktig for fleire partar i offentleg sektor. Det er viktig for verksemdene sjølve å få kunnskap om dei største utfordringane i arbeidet. Samtidig vil det vere eit nyttig verktøy for etatsstyrarar og andre som har behov for å forstå korleis det vert arbeidd med informasjonssikkerheit i statsforvaltninga. Vi meiner også at eit kunnskapsgrunnlag av denne
typen er eit viktig verktøy for aktørar som skal
rettleie arbeidet med informasjonssikkerheit.

Formål

Statens kompetansemiljø for informasjonssikkerheit har som ei av sine hovudoppgåver å samle kunnskapsgrunnlag for å vurdere tilstand og trendar innan informasjonssikkerheit i offentleg sektor. Dette kunnskapsgrunnlaget tek utgangspunkt i ei undersøking frå 2018 knytt til informasjonssikkerheitsarbeidet i statsforvaltninga. Behovet for nytt kunnskapsgrunnlag er gjort tydeleg i Digdir sitt tildelingsbrev for 2023, der målet er at kunnskap produsert av Digdir skal ha høg fagleg kvalitet, vere lett tilgjengeleg, oppdatert, kjent og nytta. Digdir rapporterer på effektmålet "Status for informasjonssikkerheten i forvaltningen", som legg premissar for offentleg sektor sitt arbeid med førebyggande informasjonssikkerheit.

Situasjonsbiletet - frå 2018 til 2024

Omgjevnadane påverkar korleis ein arbeider med informasjonssikkerheit i statsforvaltninga, og denne dynamikken påverkar også svara frå respondentane og vår analyse av informasjonen. Derfor er det avgjerande å sjå på korleis situasjonsbiletet har endra seg frå 2018 til 2024, og kva påverknad dette kan ha for arbeidet med informasjonssikkerheit.

Frå 2018 til 2024 har trussel- og risikobiletet for Noreg vorte meir komplekst og dynamisk. Offentlege trussel- og risikovurderingar, som Risiko 2024 (NSM) og Fokus 2024 (Etterretningstenesta), skildrar eit meir skjerpa sikkerheitspolitisk bilete for Noreg. Det skjer som ei følge av krigen i Ukraina og eit meir anstrengt forhold mellom stormaktene. I Nasjonalt digitalt risikobilete 2023 beskriv Nasjonalt tryggingsorgan (NSM) korleis den teknologiske utviklinga påverkar utfordringsbiletet. Eit digitalisert samfunn aukar sårbarheita når hendingar inntreffer og konsekvensane vert større. Å ivareta sikkerheit og beredskap i digitaliseringa av Noreg er derfor ein føresetnad for at enkeltverksemder, sektorar og landet som heilskap skal kunne levere dei tenestene og oppgåvene som er forventa. Den nye sikkerheitspolitiske situasjonen krev at norske verksemder har god styring og kontroll på informasjonssikkerheitsområdet.

Norske verksemder opplever i dag ei rekke utfordringar for å få til tilstrekkeleg systematisk og kostnadseffektivt arbeid med sikkerheit. God informasjonssikkerheit er ein føresetnad for god verksemdsstyring og vellykka digitalisering. Ei offentleg verksemd arbeider med informasjonssikkerheit for å utføre oppgåvene sine og levere sine tenester på ein god måte – for å nå måla sine og ivareta lovpålagde forpliktingar. Sikkerheitsbrot kan få konsekvensar for verksemder sine leveransar, økonomi og evne til å utføre oppgåver og yte tenester. Slike sikkerheitsbrot kan også få følger for innbyggarar og tilsette, andre verksemder og samfunnsfunksjonar. Som til dømes offentlege digitale fellesløysingar eller nasjonale sikkerheitsinteresser.

I rapporten Myndighetenes samordning av arbeidet med digital sikkerhet i sivil sektor fann Riksrevisjonen at mangelfull og fragmentert regulering, saman med tilrådingar og rettleiingar som ikkje er samordna, bidreg til at brukare opplever dagens arbeid med informasjonssikkerheit i forvaltninga som utfordrande.

Endringane i trusselbiletet og funna frå denne undersøkinga, viser behovet for å forsterke arbeidet med informasjonssikkerheit dei kommande åra, om vi skal klare å møte måla satt i Digitaliseringsstrategien.