Fortsatt alvorlige mangler i Forsvarets informasjonssystemer

«En av de mest alvorlige rapportene vi har lagt frem,» sa riksrevisor Karl Eirik Schøtt-Pedersen da Riksrevisjonen høsten 2022 offentliggjorde undersøkelsen av informasjonssystemene som Forsvaret bruker i operasjoner.

Undersøkelsen avdekket mangler ved Forsvarets informasjonssystemer både på samvirke og sikkerhet. Dette kan få store konsekvenser og Riksrevisjonen vurderte funnene som svært alvorlige. 
I rapporten konkluderte vi blant annet med at

• mangler i samvirket mellom Forsvarets informasjonssystemer kan påvirke operativ evne
• Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset i situasjoner med et økt trusselnivå
• Forsvaret bruker informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav om å beskytte informasjon som skal skjermes

For tidlig å vurdere effekt

Nå har Riksrevisjonen fulgt opp undersøkelsen. Oppfølgingen viser at Forsvarsdepartementet, Forsvaret og Forsvarsmateriell har satt i gang en rekke tiltak som følges opp systematisk, men at situasjonen fortsatt er alvorlig.

Les ugradert versjon av oppfølgingsundersøkelsen her

– Nå leverer vi en oppfølgingsrapport, men vi fremmer ikke kritikk. Det er satt i gang mange tiltak. Det mener vi er positivt, men det er for tidlig å si noe om omfanget og effekten. Alvoret i den opprinnelige undersøkelsen og at Stortinget og offentligheten blir informert om utviklingen, er årsaken til at vi leverer en løypemelding. Vi kommer til å følge denne saken videre, sier Schjøtt-Pedersen. 

I oppfølgingen konkluderer vi med at  

• samvirket mellom Forsvarets informasjonssystemer er blitt bedre
• sikkerhetstilstanden til Forsvarets informasjonssystemer fortsatt er alvorlig
• det fortsatt er betydelig risiko knyttet til IKT-satsingen i programmene Mime og MAST som på sikt skal løse mange av IKT-utfordringene i forsvarssektoren
• Forsvarsdepartementet har iverksatt en styringsreform som gir Forsvaret mer ansvar og myndighet på IKT-området.

Systemer mangler sikkerhetsgodkjenning

Undersøkelsen viser at Forsvaret har fått bedre oversikt over sine informasjonssystemer. Samtidig er sikkerhetstilstanden fortsatt alvorlig og Forsvaret har et betydelig antall systemer som ikke er sikkerhetsgodkjent. Utfordringene handler i stor grad om eldre systemer som på sikt må skiftes ut.

–  I tillegg ser vi at det er ulike oppfatninger mellom Nasjonal sikkerhetsmyndighet og Forsvaret om hva som er et forsvarlig sikkerhetsnivå etter sikkerhetsloven. Der må det komme en avklaring, og vi registrerer at det er satt i gang en prosess for det, sier Schjøtt-Pedersen. 

Bedre samvirke

Undersøkelsen viser også at det har skjedd forbedringer på flere områder. Det gjelder spesielt evnen til samvirke mellom informasjonssystemer.

– Det er positivt at systemene snakker bedre sammen, men det er fortsatt en stor utfordring at Forsvaret har mange systemer og at noen er gamle. Det gjør moderniseringen utfordrende og tidkrevende og går ut over samvirket, sier Schjøtt-Pedersen.

Styrket evne til å stanse cyberangrep

Evnen til å oppdage og stanse digitale angrep er også bedret gjennom oppbyggingen av IKT-responsmiljøet MilCERT som ble operativt fra 1. januar.

– Samtidig er det viktig at IKT-systemene og den digitale grunnmuren moderniseres. Det vil styrke både sikkerheten og evnen til å oppdage og stanse digitale angrep, sier Schjøtt-Pedersen.

Gradert rapport, ugradert oppsummering

Både den første rapporten om Forsvarets informasjonssystemer og denne oppfølgingsundersøkelsen er gradert etter sikkerhetsloven. Riksrevisjonen har også denne gangen, i dialog med Forsvarsdepartementet, laget en ugradert oppsummering som er så fullstendig som mulig. Det betyr at graderte opplysninger er fjernet, og at en del informasjon er omskrevet og gjort mindre detaljert.