Fylkeskommuner og kommuner har ikke tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet. Dette gjelder spesielt små og mellomstore kommuner. Det går fram av en rapport Digitaliseringsdirektoratet har laget i dialog med KS, på oppdrag fra Kommunal- og moderniseringsdepartementet. Funnene i rapporten viser viktigheten av å fortsette å styrke informasjonssikkerheten i kommunal sektor.
Samlet sett viser våre vurderinger at fylkeskommuner og kommuner, og spesielt små og mellomstore kommuner, ikke har tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet. Rapporten peker også på eksisterende og planlagte tiltak som vil kunne bedre informasjonssikkerheten i sektoren.
Svakheter i systematisk internkontroll
Det er svakheter i fylkeskommuners og kommuners arbeid med å etablere og vedlikeholde systematisk internkontroll på informasjonssikkerhetsområdet. Spesielt gjelder dette små og mellomstore kommuner. For eksempel ser vi at kun 33 prosent av de små kommunene gjennomfører risikovurderinger systematisk og periodisk.
Dette viser at kommunestørrelse kan ha betydning for hvordan det arbeides med informasjonssikkerhet.
Få øver årlig
Få fylkeskommuner og kommuner gjennomfører øvelser knyttet til informasjonssikkerhet minst én gang årlig. Rapporten viser at kun 25 prosent av fylkeskommunene og 12,6 prosent av de små kommunene øver årlig, som er vår anbefaling.
Dette viser at fylkeskommuner og kommuner ikke i tilstrekkelig grad gjennomfører øvelser knyttet til informasjonssikkerhet.
For sjelden kompetanseheving
Under halvparten av små og mellomstore kommuner gjennomfører kompetansehevende aktiviteter minst én gang i året. Fylkeskommuner og store kommuner gjør dette i større grad enn små og mellomstore kommuner.
Forutsetning for trygg digitalisering
Å bidra til å styrke informasjonssikkerheten i fylkeskommuner og kommuner er et viktig satsingsområde for Digitaliseringsdirektoratet.
– God informasjonssikkerhet er en forutsetning for å digitalisere på en trygg og brukervennlig måte. Det er viktig at alle offentlige virksomheter arbeider godt med informasjonssikkerhet for å kunne levere effektive, brukervennlige og sikre tjenester til innbyggerne. Vi hjelper, i samarbeid med andre veieldningsaktører, offentlige virksomheter med å lykkes med informasjonssikkerhetsarbeidet. For kommunal sektor er KS og Foreningen kommunal informasjonssikkerhet sentrale samarbeidspartnere, sier Grete Orderud, avdelingsdirektør i Digitaliseringsdirektoratet.
Våre anbefalinger og forslag til videre arbeid
Mye av veiledningen og verktøyene fylkeskommunene og kommunene trenger for å arbeide mer systematisk med informasjonssikkerhet finnes allerede. Eksisterende og planlagte tiltak fra KS, Foreningen kommunal informasjonssikkerhet (KiNS), Direktoratet for samfunnssikkerhet og beredskap (DSB) og Digitaliseringsdirektoratet vil alle kunne bidra til å forbedre dette arbeidet.
Vi anbefaler at videre veiledning mot fylkeskommuner og kommuner innrettes slik:
- Veiledning om systematisk internkontroll på informasjonssikkerhetsområdet bør særlig gis til små og mellomstore kommuner.
- Veiledning i øvelser knyttet til informasjonssikkerhet bør rettes mot både fylkeskommuner og kommuner.
- Veiledning knyttet til kompetanse- og kulturutvikling bør rettes mot fylkeskommuner og kommuner, og i særlig grad mot de små og mellomstore kommunene.
– Videre arbeid med å følge opp arbeidet med informasjonssikkerhet i kommunal sektor, i tråd med anbefalingene over, er en prioritert oppgave for Digitaliseringsdirektoratet framover. Den jobben vil vi gjøre i samarbeid med de andre veiledningsaktørene, slik at vi sikrer at vi sammen kan gi et helhetlig og godt koordinert tilbud, sier Kjetil Korslien seksjonssjef i Digitaliseringsdirektoratet.
Samarbeid med KS
I rapporten anbefaler vi at vurderingene og tiltakene tas med inn i samtaler med kommunene for å nyanseres og utfylles. Det er naturlig at dette gjøres i samarbeid med KS.
– Kommunal sektor samarbeider i stadig større grad på digitaliseringsområdet som helhet. Også samarbeidet knyttet til informasjonssikkerhet og personvern er tydeligere satt på dagsorden både i det nasjonale samarbeidet, og i flere fylker gjennom regionale digitaliseringsnettverk. En videre styrking av dette gjennom samarbeid med Digitaliseringsdirektoratet og andre nasjonale aktører er viktig for å ytterligere bedre fylkeskommuners og kommuners arbeid innen informasjonssikkerhet og personvern, sier avdelingsdirektør Asbjørn Finstad i KS.
Om rapporten
Rapporten er en dokumentstudie, og vurderinger og anbefalinger er gjort på bakgrunn av allerede eksisterende materiale knyttet til informasjonssikkerhetsarbeidet i kommunal sektor. Formålet er å gi bedre forståelse av hvordan fylkeskommuner og kommuner arbeider med informasjonssikkerhet.
Rapporten er ikke en kartlegging av den faktiske sikkerhetstilstanden, men handler om fylkeskommuners og kommuners systematiske arbeid på informasjonssikkerhetsområdet.