Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Brev fra Fornyings-, administrasjons- og kirkedepartementet v/statsråden til kontroll- og konstitusjonskomiteen, datert 30. november 2010

Jeg viser til Kontroll- og konstitusjonskomiteens brev av 16. dm. om ovennevnte sak

Det vises til at Riksrevisjonen omtaler en rapport fra departementenes servicesenter av 21. august 2008 som avdekker de vesentlige sikkerhetsproblemer knyttet til Deptnett/U. Var departementet kjent med disse problemene før denne rapporten ble oversendt departementet?

Jeg kan ikke se å ha mottatt en rapport som er datert 21. august 2008. Departementet ble i desember 2007 første gang orientert uformelt av DSS om sikkerhetsutfordringer i Depnett/U. Formell rapport om dette ble oversendt departementet 20. januar 2008 og var utgangspunktet for departementets utarbeidelse av forslag om IKT- sikringstiltak i St.prp. nr. 59 - Tilleggsbevilgninger og omprioriteringer i statsbudsjettet 2008, kap 1522 post 45. (RNB-08)

Er departementet tilfreds med DSS’ oppfølging av de sikkerhetsproblemer som ble avdekket?

Det er uheldig at det tok lengre tid enn forutsatt å få på plass de tiltakene DSS utarbeidet på bakgrunn av rapporten av 20. januar 2008. For øvrig viser jeg til mitt svar av 16. november på komiteens brev av 4. november 2010. Jeg redegjør der for departementets opplegg for kvalitetssikring av alle sider ved DSS’ gjennomføring av den vedtatte handlingsplanen for IKT- sikkerhet.

Hva er årsaken til at de lekkasjeproblemer som rapporten avdekket i 2008 ikke umiddelbart ble gjort kjent for andre departementer som brukere av nettet? Det vises til at kommunikasjonen omfatter eksempelvis sensitive personopplysninger, selskapsinformasjon og informasjon om petroleumsressurser.

Avdekkede svakheter omtalt i rapporten fra 20. januar 2008 ble umiddelbart tatt opp med alle departementer der det var blitt påvist kompromitterte maskiner. For øvrig la departementet og DSS til grunn at rapporten inneholdt skjermingsverdig informasjon, som det måtte være begrenset tilgang til, for å unngå at eksterne miljøer kunne sette i gang målrettede angrep mot det ugraderte nettet. I e-post datert 14. desember 2007 gjorde DSS departementene oppmerksom på at det forelå et generelt behov for sikkerhetsmessige endringer i Depnett/U. Behovet for tiltak knyttet til sikkerhetsutfordringer fremgår også av bevilgningsforslaget fra Fornyingsdepartementet i RNB-08. Jeg er likevel enig i at det i denne perioden kunne ha blitt informert både i større grad og mer presist til departementene om utfordringene i det ugraderte nettet. Rutinene i DSS for å formidle sikkerhetsrelevant informasjon til de IKT- ansvarlige i departementene har senere blitt utviklet og fungerer nå bedre.

Rapporten viser svakheter i nettverket, men den dokumenterer ikke at informasjon har blitt tappet fra det ugraderte nettet.

Er Fornyings- administrasjons- og kirkedepartementet blitt gjort kjent med datasikkerhetsproblemene i DSS utelukkende tjenestevei eller også gjennom en såkalt varslersak?

I uke 25 i år mottok FAD et varsel fra en ansatt. Varsleren er anonym, og tok opp mangler ved IKT- sikkerhetsarbeidet i DSS. Departementet håndterer varselet i hht departementets etablerte interne rutiner for håndtering av varsler.