Jeg viser til Kontroll- og konstitusjonskomiteens brev
av 16. dm. om ovennevnte sak
Det vises til at Riksrevisjonen
omtaler en rapport fra departementenes servicesenter av 21. august
2008 som avdekker de vesentlige sikkerhetsproblemer knyttet til
Deptnett/U. Var departementet kjent med disse problemene før denne
rapporten ble oversendt departementet?
Jeg kan ikke se å ha mottatt en rapport som
er datert 21. august 2008. Departementet ble i desember 2007 første
gang orientert uformelt av DSS om sikkerhetsutfordringer i Depnett/U.
Formell rapport om dette ble oversendt departementet 20. januar
2008 og var utgangspunktet for departementets utarbeidelse av forslag
om IKT- sikringstiltak i St.prp. nr. 59 - Tilleggsbevilgninger og
omprioriteringer i statsbudsjettet 2008, kap 1522 post 45. (RNB-08)
Er departementet tilfreds
med DSS’ oppfølging av de sikkerhetsproblemer som ble avdekket?
Det er uheldig at det tok lengre tid enn forutsatt å
få på plass de tiltakene DSS utarbeidet på bakgrunn av rapporten
av 20. januar 2008. For øvrig viser jeg til mitt svar av 16. november
på komiteens brev av 4. november 2010. Jeg redegjør der for departementets
opplegg for kvalitetssikring av alle sider ved DSS’ gjennomføring
av den vedtatte handlingsplanen for IKT- sikkerhet.
Hva er årsaken til at de
lekkasjeproblemer som rapporten avdekket i 2008 ikke umiddelbart
ble gjort kjent for andre departementer som brukere av nettet? Det
vises til at kommunikasjonen omfatter eksempelvis sensitive personopplysninger, selskapsinformasjon
og informasjon om petroleumsressurser.
Avdekkede svakheter omtalt i rapporten fra 20. januar
2008 ble umiddelbart tatt opp med alle departementer der det var
blitt påvist kompromitterte maskiner. For øvrig la departementet og
DSS til grunn at rapporten inneholdt skjermingsverdig informasjon,
som det måtte være begrenset tilgang til, for å unngå at eksterne miljøer
kunne sette i gang målrettede angrep mot det ugraderte nettet. I
e-post datert 14. desember 2007 gjorde DSS departementene oppmerksom på
at det forelå et generelt behov for sikkerhetsmessige endringer
i Depnett/U. Behovet for tiltak knyttet til sikkerhetsutfordringer
fremgår også av bevilgningsforslaget fra Fornyingsdepartementet
i RNB-08. Jeg er likevel enig i at det i denne perioden kunne ha
blitt informert både i større grad og mer presist til departementene
om utfordringene i det ugraderte nettet. Rutinene i DSS for å formidle
sikkerhetsrelevant informasjon til de IKT- ansvarlige i departementene
har senere blitt utviklet og fungerer nå bedre.
Rapporten viser svakheter i nettverket, men
den dokumenterer ikke at informasjon har blitt tappet fra det ugraderte
nettet.
Er Fornyings- administrasjons-
og kirkedepartementet blitt gjort kjent med datasikkerhetsproblemene
i DSS utelukkende tjenestevei eller også gjennom en såkalt varslersak?
I uke 25 i år mottok FAD et varsel fra en ansatt. Varsleren
er anonym, og tok opp mangler ved IKT- sikkerhetsarbeidet i DSS.
Departementet håndterer varselet i hht departementets etablerte interne
rutiner for håndtering av varsler.