2. Komiteens merknader
Komiteen, medlemmene fra Arbeiderpartiet, Berit Brørby, Svein Roald Hansen og Ivar Skulstad, fra Fremskrittspartiet, Carl I. Hagen og lederen Lodve Solholm, fra Høyre, Per-Kristian Foss, fra Sosialistisk Venstreparti, Inge Ryan, fra Kristelig Folkeparti, Dagfinn Høybråten, og fra Senterpartiet, Magnhild Meltveit Kleppa, viser til at tekniske framskritt knyttet til datateknikk og elektronikk, har gitt menneskene muligheter både for å utforske verdensrommet og å skape et helt nytt materielt grunnlag for tilværelsen. Men ved å ta i bruk de mulighetene den teknologiske utvikling gir, utvikles samfunns- og leveforhold som er langt mer sårbare enn før. Dette fordi bruk av høyteknologi er avhengig av mange ulike faktorer og konsekvensene kan bli svært vidtrekkende om noe ikke fungerer.
Komiteen har merket seg Sårbarhetsutvalgets påpeking av at stater og terrorgrupper med forholdsvis enkle midler kan lamme viktige virksomheter og samfunnsfunksjoner. Mulighet for sabotasje, internasjonal kriminalitet og spionasje, eller brudd i telesamband, elektrisitetsforsyning eller betalingssystemer, stiller oss overfor utfordringer ethvert samfunn må ta på alvor.
På denne bakgrunn vil komiteen uttrykke tilfredshet med at Riksrevisjonen har iverksatt undersøkelse av myndighetenes arbeid med å sikre IT-infrastruktur, både i forhold til å bedre IT-sikkerheten og til tiltak for bedre telesikkerhet.
Komiteen konstaterer at formålet med undersøkelsen har vært å vurdere dette arbeidet opp mot Stortingets vedtak og forutsetninger. Det har følgelig vært naturlig å se på organiseringen av arbeidet, plan og gjennomføringsprosessene og de tiltak som er iverksatt.
Komiteen viser til St.meld. nr. 17 (2001-2002) Samfunnssikkerhet hvor det ble slått fast at ansvaret for IT-sikkerheten skal være et virksomhetsansvar, og har merket seg at dette er fulgt opp gjennom organiseringen av arbeidet.
Når det gjelder ansvarsfordelingen for koordinering og tverrgående tilsynsoppgaver innen IT-sikkerhet, konstaterer komiteen derimot at det fortsatt mangler grunnleggende avklaringer.
Riksrevisjonens undersøkelse viser at Justisdepartementet ikke har avklart betydningen av hva ansvaret for kritisk infrastruktur innebærer og hvilket ansvar departementet vil ha i en krisesituasjon. Selv om det ifølge undersøkelsen er satt i gang noe arbeid for å definere hva som er samfunnskritisk infrastruktur, synes dette arbeidet ikke å ha hatt tilstrekkelig prioritet.
Komiteen har registrert departementets tilsvar til Riksrevisjonen og kan vanskelig se at dette tilfredsstiller de krav til klarhet om ansvarsfordeling som Stortinget burde kunne forvente.
Komiteen vil understreke betydningen av klare prosedyrer i krisesituasjoner og peker på behovet for at Justisdepartementets rolle i en slik sammenheng utdypes og klargjøres ytterligere.
Komiteen har videre merket seg Riksrevisjonens påpeking av ulik oppfatning mellom Samferdselsdepartementet og Moderniseringsdepartementet (Fornyings- og administrasjonsdepartementet fra 1. januar 2006) når det gjelder SDs ansvar for sikkerhet for Internett-relaterte tjenester sett i forhold til MODs ansvar for sikkerheten i IT-sikkerhetsarbeidet. Basert på MODs svar synes avgrensningen av Samferdselsdepartementets ansvar noe uklart.
Komiteenhar registrert at MOD har ansett det hensiktsmessig å nedsette en interdepartemental arbeidsgruppe for å avklare de ulike departementenes rolle.
Komiteen deler Riksrevisjonens bekymring for hvilke konsekvenser manglende ansvarsavklaring for IT-sikkerheten i samfunnet vil kunne få i en krisesituasjon.
Komiteen har merket seg Riksrevisjonens påpeking av at utarbeidelse av veiledninger for risiko- og sårbarhetsanalyser ikke automatisk fører til at slike blir benyttet verken ved valg av metoder eller når sikkerhetstiltak skal prioriteres. Etter komiteens syn understreker dette behovet for klar ansvarsplassering og en helhetlig tilnærming til sikkerhetsproblematikken.
Komiteen har videre notert Riksrevisjonens understreking av behovet for å fange opp informasjon om trusler og sårbarhet i IT-infrastrukturen og henvisningene til Varslingssystem for digital infrastruktur (VDI) og Senter for informasjonssikring (SIS).
Komiteenkonstaterer at ingen av de to organene så langt synes å ha nådd vesentlige mål for virksomheten. Forsvarsdepartementets så vel som Moderniseringsdepartementets kommentarer til Riksrevisjonen, styrker antagelsen om et stort forbedringspotensial for begge virksomheter.
Komiteen imøteser avklaring både på SIS’ ansvar og oppgaver i forhold til relevante faginstanser og VDIs organisering for å sikre fastsatte mål.
Komiteen viser til Riksrevisjonens vurdering av mulige årsaker til manglende fremdrift av IT-sikkerhetsarbeidet og konstaterer at departementene fram til mai 2005 ikke hadde hatt kontakt med de utvalgte bransjeorganisasjonene som i henhold til Nasjonal strategi for informasjonssikkerhet, er gitt et medansvar for å ivareta viktige funksjoner. Komiteenfinner det kritikkverdig at denne kontakten ikke er fulgt opp i tråd med forutsetningene.
Videre synes uenighet rundt plasseringen av CERT (Computer Emergency Response Team) å være av betydning for manglende fremdrift. Komiteenforutsetter at spørsmålet om plassering, ansvar og forhold til andre aktører snarest blir avklart.
Komiteen finner grunn til alvorlig bekymring når Riksrevisjonen viser at plandokumentene for oppfølgingen av Nasjonal strategi for informasjonssikkerhet har vært utilstrekkelige, at de som har hatt ansvaret for samordning er gitt få virkemidler, at finansieringen av tverrsektorielle tiltak har vært undervurdert og at regelverket ikke i tilstrekkelig grad har vært samordnet.
Riksrevisjonen retter særskilt søkelyset på telesikkerhet og -beredskap. At bare et fåtall av de vedtatte tiltak i St.meld. nr. 47 (2000-2001) Telesikkerhet og -beredskap i et telemarked med fri konkurranse er satt ut i livet, er etter komiteens syn sterkt å beklage og avdekker en manglende respekt for Stortingets vedtak.
Komiteen har notert at de respektive departementer ved flere anledninger understreker at arbeid er i gang. Basert på Riksrevisjonens rapport og de svar departementene har gitt, fremstår innsatsen for å bedre sikkerheten som lite helhetlig og strukturert.
Komiteen deler Riksrevisjonens vurdering av at avhengighet mellom sektorer kan bety at vurderingen av sikkerheten i den enkelte sektor ikke nødvendigvis gir et korrekt bilde av sikkerhetstilstanden for samfunnet som helhet.
Oppsummert anser komiteen at arbeidet med å sikre IT-sikkerhet synes å lide under manglende koordinering og avklaring av funksjoner, og vil uttrykke bekymring for situasjonen.
Komiteen vil understreke at helt avgjørende funksjoner som elektrisitetsforsyning og kommunikasjoner, teletjenester og informasjonstjeneste, betalingsoverføringer, helsetjenester og sykehusdrift mv., er avhengige av informasjonsteknologi. Bare i begrenset grad kan de enkelte institusjoner avbøte risiko ved for eksempel å skaffe seg nødvendige strømaggregater eller doble anlegg. Det er også grunn til å peke på at Norge er betydelig avhengig av utlandet i forbindelse med forsyninger av elektronisk utstyr og reservedeler. Dette reiser spørsmål om behov for reservelagre i Norge, om en helhetlig strategi for back-up-sentraler osv.
Komiteen viser i tillegg til Sårbarhetsutvalgets understreking av behovene for en styrking av beredskapen på personellsiden med sterkere vekt på opplæring og ajourføring av kunnskaper, med skjerpede sikkerhetsrutiner og muligheter for personellkontroll i forbindelse med samfunnsviktig virksomhet. Komiteen slutter seg til disse vurderingene.
Komiteen anser de problemstillinger som er reist i Riksrevisjonens rapport, for å være av stor viktighet og forutsetter at Regjeringen i løpet av 2006 kommer tilbake med en redegjørelse til Stortinget for arbeidet med å avklare de overordnede ansvarsforholdene mellom departementene når det gjelder IT-sikkerhet. Redegjørelsen forutsettes også å inneholde en vurdering av krisehåndtering, plassering av CERT samt status for arbeidet med å fange opp trusler og avdekke sårbarhet.
Komiteen understreker viktigheten av at det stilles tilstrekkelige ressurser til rådighet slik at arbeidet med å sikre en tilfredsstillende kriseberedskap og IT-infrastruktur kan gis nødvendig prioritet.