Rapport Arbeidet med informasjonssikkerheit i statsforvaltninga

Samandrag og konklusjon

Denne rapporten er eit kunnskapsgrunnlag for arbeidet med informasjonssikkerhet i statsforvaltningen. Vi har kartlagt korleis fagpersonar jobber med informasjonssikkerheit.

Når ein ser på resultata frå undersøkinga under eitt, meiner vi det er riktig å seie at dei fleste verksemdene har etablert eit godt grunnlag for kontinuerleg forbetring. Årets undersøking viser at verksemdene held oftare øvingar, og fleire har prosedyrar for å handtere hendingar enn tidlegare.

Likevel ser vi at utviklinga går sakte på andre område. For eksempel har verksemdene i liten grad oversikt over kostnader knytt til hendingar. Det er også utfordrande for verksemdene å ha oversikt over eige kompetansebehov, og å sette i verk nødvendige kompetansehevingstiltak.

Vår vurdering er derfor at det totalt sett framleis er utfordringar med korleis statlege verksemder arbeider med styring av informasjonssikkerheit. Men fleire av verksemdene seier dei er bevisst på eigne manglar og jobbar aktivt for å forbetre dei områda der ein ikkje har komme like langt.

Regjeringa har gjennom digitaliseringsstrategien tydeleggjort målsettingar for arbeidet med informasjonssikkerheit i stat og kommune. Innan 2030 skal alle statlege verksemder, og 90 prosent av kommunane, ha forbetra eller fornya styringssystemet for informasjonssikkerheit. Ein kan nytte konklusjonane frå denne rapporten til å prioritere tiltak verksemda må gjere for å nå måla i strategien.

Vi har i denne undersøkinga ikkje spurt verksemdene om kva dei sjølv ser på som årsaker til at arbeidet på nokre område ikkje har komme lengre. Undersøkinga er ei vurdering frå fagpersonar i verksemdene om korleis arbeidet med informasjonssikkerheit vert gjennomført i deira verksemd. Presentasjonen av hovudfunn er ei oppsummering av resultata frå denne undersøkinga.

Menn som dytter liten og stor runding

Hovudfunn

  • Det er framleis utfordringar med korleis statlege verksemder arbeider med informasjonssikkerheit. Dei fleste verksemdene har etablert eit godt grunnlag for kontinuerleg forbetring, men på nokre område går utviklinga feil veg.
  • I spørjeundersøkinga fann vi at 90 prosent av dei fagansvarlege svarer at dei enten i stor eller moderat grad får tydelege føringar frå leiinga. I intervjua fortel om lag ein tredjedel av respondentane at dei opplever auka fokus i leiinga for å prioritere arbeidet med informasjonssikkerheit i verksemdene.
  • 44,3 prosent av respondentane oppgir at dei i stor grad ser risikostyring av informasjonssikkerheit i samanheng med resten av risikostyringa i verksemda. 12,8 prosent svarer likevel at dei i liten eller ingen grad gjer det.
  • Intervjua viser at det er stor variasjon i korleis verksemdene organiserer og prioriterer ressursar i arbeidet med informasjonssikkerheit. Også om fordeling av tydelege roller og ansvar. Det er likevel positivt at 89 prosent av verksemdene seier dei i stor eller moderat grad har definerte roller og ansvar i arbeidet med informasjonssikkerheit.
  • Berre ei av fem verksemder seier dei i stor grad har tydelege retningslinjer for å akseptere risiko. Dette er ein nedgang frå førre undersøking. Samtidig seier nesten ein av fire dei i liten eller ingen grad har det. Når ein ikkje har klare kriterium for å akseptere risiko vert det både vanskeleg å vite kva risiko som er kritisk å prioritere, og å styre ressursbruken.
  • Undersøkinga og intervjua viser at verksemdene vurderer og handterer risiko på ulike nivå. 60 prosent av verksemdene meiner dei er i god stand til å etablere dei sikkerheitstiltaka dei har behov for. Tek vi med dei som svarer i moderat grad er talet over 92 prosent.
  • Om lag halvparten av verksemdene har i stor eller moderat grad evaluert om etablerte sikkerheitstiltak er formålstenlege.
  • Nesten ei av fire verksemder kartlegg ikkje sine behov for kompetanseheving på informasjonssikkerheitsområdet. Verksemdene arbeider med sikkerheitskultur og kompetanse, men mange har tilsette med eit sprikande kompetansebehov, og det kan vere utfordrande å sette i verk nødvendige kompetansehevingstiltak.
  • Fleire enn tidlegare gjennomfører årlege øvingar. Likevel er det ei av fem verksemder som ikkje øver minst éin gong i året. Det er også fleire verksemder som oppgir at berre delar av organisasjonen jobbar systematisk med øvingar.
  • Verksemdene har i liten grad oversikt over kostnadene som informasjonssikkerheitshendingar kan føre til. I spørjeundersøkinga fann vi at 46 prosent i liten eller ingen grad har oversikt over kostnadene som følger av informasjonssikkerheitshendingar.
Digdir illustrasjon - person med blyant og stor lyspære

Konklusjon

Vi ser ei positiv utvikling på fleire område, og det er viktig at verksemdene held fram det gode arbeidet. Samla sett tyder resultata i undersøkinga på eit behov for å forbetre systematikk i evalueringa og implementeringa av sikkerheitstiltak. Dette er ein viktig føresetnad for å sikre heilskapleg og effektiv handtering av risiko.

Intervjua, og kommentarar til spørjeundersøkinga, viste at fleire var medvitne på kvar dei har forbetringspotensiale. Fleire verksemder har ein plan med tiltak, og arbeider med det.

Vi anbefaler alle verksemdene å

  • etablere tydelege retningslinjer for å akseptere risiko
  • etablere rutinar for å vurdere om etablerte sikkerheitstiltak fungerer etter formålet
  • halde fram arbeidet med å styre informasjonssikkerheit og -risikoar i samanheng med annan risikostyring i verksemda
  • framleis fokusere på arbeidet med kompetanse og sikkerheitskultur. Særleg kartlegge kva behov for kompetanseheving dei treng, for alle tilsette og ikkje berre utvalde grupper
  • halde fram fokuset på øvingar og sikre at dei riktige delane av verksemda øver
    • At alle relevante deler av organisasjonen øver årleg på sine roller og relevante scenario

I undersøkinga har vi erfart at det er utfordrande å få anbefalingane til i praksis. Dette har fleire årsaker, og biletet kan sjå annleis ut i ulike verksemder. Mange seier informasjonssikkerheit har fått større fokus og leiinga er medviten at informasjonssikkerheit er viktig for verksemda og samfunnsoppdraget. Leiinga må sørge for at punkta over vert ført vidare, og legge til rette for at organiseringa av arbeidet med sikkerheit understøttar punkta.

Vi anbefaler at leiinga sørger for

  • Tilstrekkeleg med kompetanse for å kunne utføre oppgåva.
  • Nok tid og/eller ressursar til å utføre og følge oppgåvene systematisk, både operativt og i leiinga.
  • Egna organisering av sikkerheit tilpassa verksemda, og fordele tydelege roller og ansvar.

For at verksemdene skal kunne oppnå heilskapleg tilnærming til sikkerheit meiner vi at verksemdene må få tydelegare tilrådingar og rettleiing frå styresmaktene på informasjonssikkerheitsområdet.

I digitaliseringsstrategien tek regjeringa til orde for betre samordning av råd- og rettleiingsressursar innanfor digital sikkerheit. Dette skal føre til at forvaltninga får eit klarare bilete av samla råd og rettleiing frå relevante myndigheiter, og sette verksemdene i stand til å gjennomføre eige arbeid med informasjonssikkerheit på ein formålstenleg måte. Digdir er gjennom statens kompetansemiljø for informasjonssikkerheit ansvarleg for å gi råd og anbefalingar til verksemder i statleg og kommunal sektor om gjennomføring av internkontroll på informasjonssikkerheitsområdet. Vi skal arbeide for samordna og brukarretta rettleiing og hjelp til offentleg sektor om å ivareta informasjonssikkerheit i verksemdene.

For å lukkast med samordning av råd- og rettleiingsressursar må aktørar som rettleier i sikkerheit endre måten dei jobbar på. Anbefalingar, råd og rettleiing må i større grad utviklast i samarbeid mellom dei sentrale aktørane som rettleier verksemdene om informasjonssikkerheit, personvern og digital sikkerheit. Slik samordning krev ressursar, og bør prioriterast. Vi anbefaler at ein brukar etablerte samarbeidsforum for å styrke samordning av arbeidet med råd og rettleiing. "Felles sikkerhet i forvaltningen", kor Digdir er ein pådrivar, er eit eksempel på slikt initiativ.

Kontakt

Kompetansemiljø for informasjonssikkerhet