Kun 29 prosent av statlige virksomheter øver minst en gang i året på IT-beredskapen. (Bilde: M. Panchenko)

IT-SIKKERHET

Undersøkelse: Staten øver ikke på IT-sikkerhet

Sikkerhetssjefene blir ikke hørt.

Kartlegging av it-sikkerhet i staten

  • Undersøkelse i regi av Direktoratet for forvaltning og ikt (Difi)
  • Gjennomført første gang 2004
  • 242 statlige virksomheter deltok
  • Svarprosent 98

De aller fleste statlige virksomhetene har lagt planer for hvordan de skal takle angrep og andre kriser knyttet til it-systemene.

Derimot er det et fåtall som øver på hvordan dette skal skje i praksis.

Det viser en kartlegging staten har gjort i eget hus. Dette er en årlig undersøkelse som har vært kjørt de siste 10 årene.

Les også: Norgeshistoriens største dataangrep blir ikke tatt på alvor

Trener ikke

Mer detaljert avdekker tallene fra it-direktoratet Difi at 73 prosent av etatene har sørget for å få på plass en beredskapsplan.

For de minste virksomhetene er det under halvparten som innfrir, mens andelen stiger merkbart hos de større.

Og det er kun 29 prosent, færre enn én av tre, som kjører en årlig beredskapsøvelse.

Drøyt halvparten av de store med flere enn 1000 ansatte kommer i mål her. Hos de minste med færre enn 100 ansatte er andelen skarve 17 prosent.

It-beredskapen i staten svikter fordi lederne ikke engasjerer seg i problemet, ifølge informasjonssikkerhetssjef Lillian Røstad hos Difi. Espen Zachariassen

Ukjent risiko

Hos Difi leder seksjonssjef Lillian Røstad arbeidet med informasjonssikkerhet.

– Hva kan konsekvensene være av ikke å øve?

– I ytterste konsekvens vet man ikke hvilke risiko man lever med før det er for sent, sier Røstad.

– Når en hendelse inntreffer, har man ofte ikke tid til å forholde seg til skriftlige planer. Man må agere der og da. Og skal du handle i tråd med det som er planlagt, må du ha øvd regelmessig - slik at planene sitter i ryggmargen, poengterer hun.

Les også: IT-leverandørene får ansvaret for dataløsningene i staten

Toppene svikter

Årsaken til at det svikter på beredskap ligger mye hos ledelsen, men sjefene engasjerer seg lite i it-sikkerhet.

Som et minimum skal ledelsen i en statlig virksomhet ha en skikkelig gjennomgang av sikkerhetstiltakene hvert år.

Hensikten er at toppene skal ha oppdatert kunnskap om behov, status og tiltak.

Drøyt én av tre etater kan med hånden på hjertet svare ja på at de innfrir dette kravet.

– Bare 34 prosent snakker om it-sikkerheten på toppnivå - én gang i året, sier en tydelig skuffet Røstad.

Les også: Syv tips for sikrere mobilbruk

Har kontroll...

Selv om nivået på praktisk beredskap er lavt, slik det kommer frem i undersøkelsen, oppgir de fleste at de har kontroll på sikkerheten.

73 prosent mener at de har rutiner for å håndtere hendelser.

Og de fleste har en person som har ansvaret for it-sikkerheten. Men ansvaret blir gjerne liggende hos denne - som sliter med å få gjennomslag hos ledelsen.

– De sikkerhetsansvarlige synes fortsatt det er vanskelig å få gehør og dermed prioritet til sine oppgaver hos ledelsen, sier Røstad til Teknisk Ukeblad.

Les også: Derfor har Norge krevd brukerdata fra 68 Google-kontoer

Sjefene på skolebenken

Difi jobber med at statsetatene skal bli bedre på området.

Det handler om å holde årlige felles beredskapsøvelser. Og sikkerhetssjefene skal lære av hverandre i såkalte praksisfellesskap.

Her møtes sikkerhetssjefer for å diskutere problemstillinger og utveksle erfaringer. Og de mindre virksomhetene skal kunne lære av de større som har kommet lenger med dette arbeidet.

– Etter jul lanserer vi et e-læringsprogram i informasjonssikkerhet for ledere. For at sikkerhetsansvarlig enklere skal kunne kommunisere med sin leder, trenger de en del felles kunnskap. Det ønsker vi å legge til rette for med denne opplæringen, sier Lillian Røstad.

Les også:

IT-sjefen i staten skal slutte å snakke om teknologi  

Flere norske firma angrepet av «løsepengevirus»

Gigantisk sikkerhetshull angriper Apple-dingsene dine