Spørsmål til Dokument 1(2010 - 2011) Riksrevisjonens rapport om den årlige revisjon og kontroll for budsjettåret 2009

Jeg viser til Kontroll- og konstitusjonskomiteens spørsmål i brev av 4.11.2010 vedrørende forhold tatt opp av Riksrevisjonen i Dokument 1 (2010–2011).

Mine svar på komiteens spørsmål følger nedenfor.

Spørsmål 1:

Riksrevisjonen har påpekt at informasjonssikkerheten i Departementenes servicesenter (DSS) ikke er god nok, blant annet sikkerheten til det ugraderte nettverket Depnett/U. DSS har derfor blitt pålagt å utarbeide en plan for oppfølgning av manglene. Når kan det forventes at sikkerheten kommer opp på et tilfredsstillende nivå?

DSS har i løpet av 2009 og fram til våren 2010 fått på plass alle de tekniske sikringstiltakene som det ble bevilget midler til i hhv St. prp. nr 59 (2007 – 2008) og St. prp. nr 67 (2008 – 2009)Tilleggsbevilgninger og omprioriteringer i statsbudsjettet i 2008 og 2009. DSS har videre utarbeidet en plan for å bedre rutiner og dokumentasjon knyttet til IKT-sikkerhetsarbeidet. I den sammenheng legger DSS ISO27002:2005 om IKT sikkerhet til grunn. De fleste tiltakene er planlagt implementert i løpet av våren 2011 og prosjektet skal være avsluttet høsten 2011. Fornyings-, administrasjons- og kirkedepartementet (FAD) er i ferd med å engasjere en ekstern kvalitetssikrer til dette arbeidet. Kvalitetssikrer skal rapportere til FAD og skal kvalitetssikre både prosessen/planverket og framdriften samt sluttevaluere status ved avslutningen av prosjektet. Den endelige sluttrapporten ventes å foreligge ved årsskiftet 2011/2012.

I tillegg er NSM nå i ferd med å gjøre en såkalt penetrasjonstest på Depnett/U. En slik test gjøres for å kontrollere om det er mulig å skaffe uautorisert tilgang til et informasjonssystem.

Spørsmål 2:

Hva er gjort så langt for å sikre at informasjonssikkerheten styrkes i statsforvaltningen?

Jeg har i forbindelse med oppfølgningen av Riksrevisjonens Dokument 1 (2010 - 2011), sendt et brev til samtlige departementer den 3.11.10 der jeg ber om at det blir redegjort for følgende:

• det skal gis en overordnet tilbakemelding til FAD med opplysninger om hvordan eventuelle svakheter ved IKT-sikkerheten som Riksrevisjonen har avdekket i egen sektor vil bli fulgt opp.

• departementene utfordres på å komme med synspunkter på, eventuelt konkrete innspill til, hvordan FADs samordningsrolle for informasjonssikkerhet bør videreutvikles.

• departementene skal komme med innspill til konkrete tverrsektorielle tiltak som kan bidra til å styrke den generelle informasjonssikkerheten i samfunnet.

Frist for tilbakemelding til FAD er 15.12.2010.

Departementenes tilbakemeldinger på punktene over vil også bli brukt til drøfting med Direktoratet for forvaltning og IKT (Difi) med tanke på oppfølging av informasjons-sikkerhet i offentlig sektor, samt til å revidere gjeldende nasjonale retningslinjer for informasjonssikkerhet i løpet av 2011. Difi gjennomfører nå et omfattende prosjekt med å få på plass en infrastruktur for bruk av elektronisk ID (eID) i og med offentlig sektor. Bruken av eID for felles innlogging til offentlige tjenester er en løsning som tilrettelegger for sikker elektronisk kommunikasjon mellom innbyggerne og offentlig sektor.

Spørsmål 3:

Hvor langt er man kommet i gjennomgangen av Opplysningsvesenets Fonds rammeverk og instruksverk?

Når det gjelder dette spørsmålet vises det til Prop. 1 S (2010–2011) Fornyings-, administrasjons- og kirkedepartementet og omtalen under Opplysningsvesenet fond, der det heter (side 174):

”Den finansielle bæreevnen for Opplysningsvesenets fond avhenger i stor grad av finansinntektene, som varierer med endringer i finansmarkedene. Fondets økonomiske situasjon og bæreevne preges fortsatt av nedgangen i finansmarkedene i 2008, fondets tap og bortfallet av fri egenkapital. Inntektene fra eiendomsforvaltningen gir gjennomgående ikke overskudd, noe som særlig har sammenheng med at driften og vedlikeholdet av presteboligene langt overstiger leieinntektene. Fondet har gjennom de seneste årene i betydelig grad søkt å utvikle eiendommene med sikte på verdiøkning og økt avkastning. Gjennom økt avkastning fra eiendommene vil avhengigheten av finansinntektene kunne reduseres og bidra til større forutsigbarhet og stabilitet. I St.prp. nr. 67 (2008–2009) Tilleggsbevilgninger og omprioriteringer i statsbudsjettet 2009 varslet departementet en gjennomgang av fondets rammebetingelser. Den umiddelbare foranledningen var finanskrisen, fondets resultat i 2008 og den vanskelige økonomiske situasjonen som da oppsto. Behovet for å gjennomgå fondets instruksverk og generelle rammebetingelser aktualiseres også av utviklingen innen fondets eiendomsforvaltning. Flere datterselskaper er etablert, investeringsbehovet for realisering av utviklingsprosjekter vil øke i årene framover, kompleksiteten i fondets virksomhet vil bli større og kompetanse- og kapasitetsbehovet i forvaltningen av fondet vil forsterkes. Med bakgrunn i slike utviklingstrekk har styret for fondet initiert et utredningsarbeid om fondets framtidige rammebetingelser og organisering. Hvilke tilpasninger i fondets rammeverk som kan bli aktuelle, vil departementet i tilfelle komme tilbake til.”

Som det framgår er det en relativt krevende gjennomgang som er i igangsatt, der flere sider ved fondets virksomhet blir belyst. Jeg kan ikke nå si noe nærmere om når den pågående gjennomgangen kan ventes avsluttet, men regner med at hoveddelen av gjennomgangen vil være gjort i løpet av neste år.