Riksrevisjonen mener det er sterkt kritikkverdig at politi- og lensmannsetaten ikke har sikret kritiske IKT systemer mot etterretning og angrep i henhold til krav i politiregisterloven.
Riksrevisjonen mener det er sterkt kritikkverdig at politi- og lensmannsetaten ikke har sikret kritiske IKT systemer mot etterretning og angrep i henhold til krav i politiregisterloven. (Foto: Torkjell Trædal)

Sterk kritikk mot politiets IKT-sikkerhet

Riksrevisjonen mener det er «sterkt kritikkverdig» at politi- og lensmannsetaten ikke har sikret kritiske IKT-systemer mot etterretning og angrep.

Det går fram av Riksrevisjonens rapport om den årlige revisjon og kontroll for budsjettåret 2018, som ble publisert i dag.

«Politiet arbeider ikke systematisk med å planlegge og følge opp sikkerhet, og kompleks organisering og fragmenterte ansvarsforhold gjør arbeidet vanskeligere. Riksrevisjonen har blant annet tatt opp mangler ved styringssystemet for informasjonssikkerhet i politiet i flere år, og årets revisjon viser at mye av arbeidet med å få etablert et styringssystem fortsatt gjenstår», skriver Riksrevisjonen i sin rapport.

De bemerker at de har tatt opp mangler ved styringssystemet for informasjonssikkerhet i politiet i en rekke år.

«Vesentlige svakheter»

Riksrevisjonen karakteriserer det som «sterkt kritikkverdig» at politiet ikke har sikret kritiske IKT-systemer mot etterretning og angrep i henhold til krav i politiregisterloven.

Hakon Skulstad. Foto: Politihøgskolen

− Vi tar funnene i Riksrevisjonens rapport på alvor, og har tatt nye og viktige grep for å styrke informasjonssikkerheten i etaten. Befolkningen kan ha tillit til at politiet tar nødvendige grep for å sikre systemene våre, sier assisterende politidirektør Håkon Skulstad i en pressemelding på Politiet.no.

I rapporten påpeker Riksrevisjonen at politiet de seneste årene har «gjennomført tekniske tiltak for å forbedre sin evne til å forebygge og oppdage angrep mot sine IKT-systemer».

«Revisjonen viser imidlertid at det fortsatt er vesentlige svakheter i politiets tekniske sikkerhetstiltak. Flere av sikkerhetstiltakene er ikke gjennomført slik Nasjonal sikkerhetsmyndighet anbefaler i sine grunnprinsipper for IKT-sikkerhet», heter det videre.

Slakter Politiets IKT-tjenester

I rapporten skriver Riksrevisjonen at Politidirektoratet «i liten grad» har utarbeidet skriftlige føringer for informasjonssikkerheten i etaten.

«Politiets IKT-tjenester, en enhet med særlig betydning for informasjonssikkerheten i politiet, har begynt å utarbeide policyer og instrukser for sin virksomhet. Det vil imidlertid ta noe tid før dette blir tatt i bruk for fullt», bemerkes det.

Riksrevisjonen peker videre på at en kompleks organisering og fragmenterte ansvarsforhold gjør det vanskeligere å gjennomføre arbeidet med informasjonssikkerhet i samspillet mellom POD, Politiets IKT-tjenester, Kripos og politidistriktene.

«Revisjonen viser videre at Politiets IKT-tjenester ikke leverer tjenester med det kvalitets- og sikkerhetsnivået som forutsatt. I avtaler mellom Politidirektoratet og Politiets IKT-tjenester er det definert tre kvalitetsnivåer for tjenestene som skal leveres, og det er spesifisert at kun det beste nivået er akseptabelt for IKT-systemer som er kritiske for å beskytte liv og helse. Politiets IKT-tjenester klarer imidlertid kun å levere det laveste kvalitetsnivået.»

- Det gjenstår fortsatt arbeid

Assisterende politidirektør Skulstad sier i pressemeldingen at det er iverksatt nødvendige tiltak på kort sikt, og utarbeidet en helhetlig handlingsplan med konkrete tiltak. Disse tiltakene, mener Politidirektoratet (POD), vil gi forbedring på flere av områdene som omtales i rapporten.

− Vi rydder opp i roller og ansvar, styrker kapasiteten for å overvåke og beskytte systemene våre mot angrep, og vi oppgraderer IKT-utstyr i etaten. Det er tatt betydelige grep for å styrke informasjonssikkerheten, men det gjenstår fortsatt arbeid. Nå tar vi nye grep for å sikre at vi kommer i mål, sier Skulstad.

I pressemeldingen viser han til at IKT-arbeidet i politiet ikke fulgte noen helhetlig plan fram til 2013.

IKT-direktør gikk av

Det var nettopp i juni 2103 at Cato Rindal ble hentet inn som PODs nye IKT-direktør, i konkurranse med 76 andre søkere. Rindal kom fra en tilsvarende stilling hos Sykehuspartner.

Cato Rindal. Foto: Politidirektoratet

Forrige uke ble det imidlertid offentliggjort at Rindal, som den siste tiden har vært direktør for virksomhetsutviklingsavdelingen i POD, går av.

- Det er har vært interessant og givende å lede først IKT-avdelingen og deretter Virksomhetsutviklingsavdelingen, med alle de dyktige medarbeiderne der. Jeg kom til Politidirektoratet for seks år siden, sammen har vi jobbet systematisk og målrettet med å styrke og forbedre politiet på IKT-området. Jeg er stolt av hvor mye vi har fått til, men det er fremdeles områder som må forbedres. Dette gjelder også informasjonssikkerhetsområdet, sa Rindal i en pressemelding på Politiet.no.

Rindal skal nå lede det nyopprettede programmet for helhetlig grenseforvaltning.

- Har ikke vært gode nok

I Riksrevisjonens rapport, påpekes det at oppgavene politiet utfører og den sensitive informasjonen etaten behandler, «gjør etaten til et attraktivt mål for etterretning og angrep i det digitale rom».

«Dersom politiet rammes av et alvorlig dataangrep, kan dette få konsekvenser for liv og helse, politiets operative evne og personvernet. God informasjonssikkerhet er derfor en forutsetning for at politiet kan løse sine oppgaver på en effektiv og sikker måte», understrekes det.

− Vi har ikke har vært gode nok på helhetlig og strategisk styring i takt med den teknologiske utviklingen og digitaliseringen av samfunnet, medgir Skulstad i pressemeldingen.

- Arbeidet de siste årene har gitt resultater, samtidig er det fortsatt behov for investeringer til å ta inn etterslep på modernisering av IKT-infrastrukturen i politiet. Vi har omdisponert midler inneværende og neste år, men noen langsiktige tiltak vil kreve ytterligere finansiering, sier han.

Ser alvorlig på saken

I Riksrevisjonens rapport, understreker også statsråd Jøran Kallmyr at han ser alvorlig på de funn og merknader som er omtalt, «og vil legge Riksrevisjonens anbefalinger til grunn i det videre arbeidet med informasjonssikkerhet i politiet».

God informasjonssikkerhet, sier han, er en forutsetning for at politiet kan løse sine oppgaver på en effektiv og sikker måte.

Ifølge PODs plan fra 2018 for å styrke informasjonssikkerheten i politiet, forventes de mest kritiske sårbarhetene utbedret i løpet av 2020, mens resten skal lukkes innen 2024, heter det i rapporten.

Til toppen