Kva er status på arbeidet med informasjonssikkerheit i statsforvaltninga? Og korleis har utviklinga vore sidan 2018? Digdir har gjennomført ei undersøking som viser at det framleis er rom for forbetring når det kjem til det systematiske arbeidet med informasjonssikkerheit.
I 2018 fann Difi at arbeidet med styring og kontroll av informasjonssikkerheit i verksemdene måtte styrkast for at verksemdene skulle oppnå tilstrekkeleg modnad og verte betre rusta til å følge endringar i trusselbiletet. No har Digdir gjennomført ei ny undersøking for å sjå korleis det står til i 2024. I denne undersøkinga ser vi at sjølv om det på fleire område har skjedd ei positiv utvikling, så er det framleis ein veg å gå for at norske verksemder skal kunne oppfylle dei måla som er sett i Digitaliseringsstrategien.
Framleis er det slik at ei av åtte verksemder i liten eller ingen grad ser risikostyring på informasjonssikkerheitsområdet i samanheng med resten av risikostyringa i verksemda. Berre ei av fem verksemder seier dei i stor grad har tydelege retningslinjer for å akseptere risiko.
Og sjølv om ni av ti verksemder seier dei er i stand til å etablere dei sikkerheitstiltaka dei har behov for, er det berre om lag halvparten som har evaluert om dei etablerte tiltaka er formålstenlege.
Nesten halvparten veit heller ikkje kva kostnader informasjonssikkerheitshendingar kan gje.
Meir systematisk arbeid med øvingar
Eit område med klar forbetring sida 2018 er øvingar. I 2018 hadde under halvparten av verksemdene årlege øvingar. I år oppgir tre av fire verksemder at dei gjennomfører minst ei øving på informasjonssikkerheitsområdet årleg. I tillegg er det ei dobling av verksemder som svarer at dei i stor grad jobbar systematisk med øvingar. Det viser eit auka fokus på evne til å handtere hendingar.
Men, verksemdene har i liten grad oversikt over kostnadene som informasjonssikkerheitshendingar kan føre til. I spørjeundersøkinga fann vi at 46 prosent i liten eller ingen grad har oversikt over kostnadene som følger av informasjonssikkerheitshendingar.
Målet er at alle statlege verksemder skal ha eit styringssystem for informasjonssikkerheit som er i kontinuerleg utvikling. Framover vil Digdir fortsette å tilby målretta rettleiing og støtte for å hjelpe verksemdene med å nå dette målet.
Arbeidet framover
Eit mål i den nye digitaliseringsstrategien er at alle statlege verksemder skal kunne svare «ja» på at de har forbetra, fornya eller evaluert sitt styringssystem for informasjonssikkerheit innan 2030. Dette handlar om kontinuerleg forbetring. Vår undersøking viser at det framleis er forbetringspotensiale knytt til det systematiske arbeidet med dette. Men det finnes lyspunkt – i intervju og kommentarar til spørjeundersøkinga seier fleire av respondentane at dei er medvitne på kvar dei har forbetringspotensiale, og at dei arbeider med det. Dei fleste verksemdene har etablert eit godt grunnlag for kontinuerleg forbetring.
Vi vil fortsette å arbeide for samordna og brukarretta rettleiing og hjelp til offentleg sektor, basert på funna gjort i undersøkinga.