Søk

Innhold

1. Sammendrag

1.1 Innledning

Forsvarets operative evne avhenger av effektiv kommando og kontroll og evne til å samhandle på tvers av enheter i Forsvaret og med NATO og allierte. Kommando og kontroll er det militære begrepet for planlegging og ledelse av operasjoner. Forsvarets operasjoner deles inn i daglige operasjoner, operasjoner ved nasjonale kriser og operasjoner ved væpnet konflikt (krig).

Evnen til samhandling i operasjoner avhenger av informasjonssystemer. Informasjonssystemer til bruk i Forsvarets operasjoner kalles gjerne kommando- og kontrollinformasjonssystemer. For at disse systemene skal virke effektivt, må de være interoperable. Det vil si at systemene må kunne samvirke og fungere med hverandre for å levere informasjon og tjenester til, og ta imot informasjon og tjenester fra, andre systemer. Dette avhenger også av kommunikasjonsinfrastrukturen som gjør det mulig å overføre data mellom systemene. Forsvarets kommunikasjonsinfrastruktur (FKI) består av kjernenett, aksessnett, radionett og mobile og deployerbare kommunikasjonsløsninger.

Forsvarets informasjonssystemer og kommunikasjonsinfrastruktur (IKT) må beskyttes mot sikkerhetstruende virksomhet. Det vil si at de må beskyttes mot tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser. Slike handlinger kan for eksempel være sabotasje- eller terroraksjoner eller spionasje fra en fremmed stat.

Forsvarsdepartementet har ansvar for utforming og iverksetting av norsk sikkerhets- og forsvarspolitikk og er ansvarlig for overordnet styring og kontroll av underlagte etaters virksomhet. Av departementets fire underlagte etater inngår Forsvaret og Forsvarsmateriell i denne undersøkelsen. Etterretningstjenesten og Forsvarets spesialstyrker er ikke omfattet av undersøkelsen.

Forsvarets hovedoppgave er å ivareta Norges sikkerhet mot eksterne trusler, anslag og angrep. Forsvarets hovedleveranse er operativ evne. Forsvaret er eier og bruker av informasjonssystemene som omtales i undersøkelsen. Forsvarsmateriell skal gjennom materiellanskaffelser og materiellforvaltning bidra til utvikling av Forsvarets operative evne. Dette inkluderer anskaffelser og forvaltning av informasjonssystemer til bruk i Forsvaret.

Undersøkelsen har blant annet tatt utgangspunkt i følgende vedtak og forutsetninger fra Stortinget:

  • Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) av 20. mars 1998.

  • Lov om nasjonal sikkerhet (sikkerhetsloven) av 1. januar 2019.

  • Innst. 103 L (2017–2018) fra utenriks- og forsvarskomiteen om Lov om nasjonal sikkerhet (sikkerhetsloven), jf. Prop. 153 L (2016–2017).

  • Innst. 62 S (2016–2017) fra utenriks- og forsvarskomiteen om Kampkraft og bærekraft, jf. Prop. 151 S (2015–2016).

  • Innst. 7 S om Statsbudsjettet for årene 2017, 2018, 2019 og 2020, jf. årlige Prop. 1 S for Forsvarsdepartementet.

Målet med undersøkelsen har vært å vurdere om Forsvarets kommando- og kontrollinformasjonssystemer understøtter Forsvarets operative evne gjennom effektiv og sikker kommunikasjon og informasjonsutveksling i operasjoner, og om styringen av IKT-området i forsvarssektoren har lagt til rette for effektive og sikre systemer.

Undersøkelsen omfatter perioden 2017–2020, men det er i noen tilfeller vist til forhold som ligger både før og etter undersøkelsesperioden i tid.

Rapporten ble forelagt Forsvarsdepartementet ved brev av 22. november 2021. Departementet har i brev av 17. desember 2021 gitt kommentarer til rapporten. Kommentarene er i hovedsak innarbeidet i rapporten og i dette dokumentet. Rapporten, riksrevisorkollegiets oversendelsesbrev til departementet av 16. juni 2022 og statsrådens svar av 8. juli 2022 følger som vedlegg til Riksrevisjonens dokument.

1.2 Konklusjoner

  • Mangler i samvirket mellom Forsvarets kommando- og kontrollinformasjonssystemer kan påvirke Forsvarets operative evne.

    • Kommando- og kontrollinformasjonssystemer med ulik teknologi påvirker mulighetene for samhandling.

    • Ulike sikkerhetsdomener påvirker informasjonsutvekslingen mellom systemer.

    • Mangler ved taktisk datalink reduserer mulighetene for utveksling av data.

  • Sårbarheter i sikkerheten i Forsvarets kommando- og kontrollinformasjonssystemer gir risiko for svekket operativ evne.

    • Mangler i oversikt og dokumentasjon på IKT-området påvirker muligheten for ivaretakelsen av sikkerheten i informasjonssystemene.

    • Forsvaret har skjermingsverdige informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav.

    • Forsvaret har mangler i evnen til å oppdage og stanse digitale angrep.

    • Svakheter i sikkerhetsstyringen forsterker utfordringene.

  • Forsvarsdepartementet har over tid ikke greid å realisere effektive og sikre informasjonssystemer som understøtter Forsvarets operative evne.

    • Svak styring har medvirket til utfordringene på IKT-området og svekket verdien av investeringer.

    • Overlappende og uklare ansvarsforhold mellom etatene i forsvarssektoren har påvirket gjennomføringsevnen på IKT-området.

    • Mangel på kompetanse har medvirket til at forsvarssektoren ikke har klart å løse mange av utfordringene på IKT-området.

    • Det er vesentlig risiko knyttet til den pågående IKT-satsingen i Mime og MAST.

1.3 Utdyping av konklusjoner

Ved behandlingen av langtidsplan for Forsvaret for perioden 2017–2020 sluttet Stortinget seg til at Forsvaret må ha evne til å lede og gjennomføre operasjoner gjennom et godt kommando- og kontrollapparat, og at dette krever klare styringslinjer, sikre og effektive kommunikasjonsløsninger og tilpasset infrastruktur. Det skulle videre utvikles en IKT-infrastruktur som gir Forsvaret nødvendig evne til å lede og samvirke i fellesoperasjoner.

Undersøkelsen viser at det er mangler ved Forsvarets kommando- og kontrollinformasjonssystemer både når det gjelder samvirke og sikkerhet. Riksrevisjonen mener at dette er svært alvorlig.

1.3.1 Mangler i samvirket mellom Forsvarets kommando- og kontrollinformasjonssystemer kan påvirke Forsvarets operative evne

Stortinget har forutsatt at investeringer i IKT vil bidra til at Forsvaret får mer effektiv informasjonsutveksling, felles situasjonsforståelse og økt tempo og presisjon i kommandokjeden. Det vil gi økt operativ evne å ha IKT-systemer som samvirker nasjonalt og med NATO og allierte.

Forsvarets operative evne avhenger av muligheten til samhandling i operasjoner, på tvers av enheter i Forsvaret, i kommandolinjen nasjonalt og med NATO og allierte. Slik fellesoperativ samhandling avhenger av kommando- og kontrollinformasjonssystemer som samvirker effektivt. Det innebærer at systemene må være interoperable, slik at de kan levere informasjon til, og ta imot informasjon fra, andre systemer.

Undersøkelsen viser mangler i samvirket mellom Forsvarets kommando- og kontrollinformasjonssystemer. Forsvaret har ikke utfordringer med å løse oppdraget i daglige operasjoner, men manglene gir risiko for redusert effektivitet og kan få betydning ved økt konfliktnivå dersom tid er av avgjørende betydning. Riksrevisjonen kritiserer dette. Kritikken er utdypet i Riksrevisjonens sikkerhetsgraderte rapport.

1.3.1.1 Kommando- og kontrollinformasjonssystemer med ulik teknologi påvirker mulighetene for samhandling

Undersøkelsen viser at Forsvaret har et høyt antall kommando- og kontrollinformasjonssystemer med ulike tekniske løsninger, og at dette bidrar til å gjøre samvirke mellom systemene vanskelig. Mengden av systemer medfører også at det går ekstra ressurser til forvaltning og drift av systemene.

Det har lenge vært et mål å redusere antall informasjonssystemer i forsvarsektoren gjennom såkalt variantbegrensing, men Forsvaret har ikke i tilstrekkelig grad lyktes med dette. Årsakene er oppgitt å være at systemer har unike funksjoner som gjør at de ikke kan fjernes uten erstatning, og at enkelte fagmiljø ønsker å beholde eksisterende systemer. Forsvaret og Forsvarsmateriell påpeker at det er behov for en sterkere strategisk vektlegging knyttet til utfasing av informasjonssystemer. Det er etter Riksrevisjonens vurdering sterkt kritikkverdig at Forsvaret i liten grad har greid å begrense antall systemer, når dette i lang tid har vært et mål.

Forsvaret har de senere årene anskaffet mye nytt materiell, og det er planlagt med omfattende materiellinvesteringer i både nåværende- og kommende langtidsplanperioder. Nye våpenplattformer, som fly, båter og kjøretøy, leveres ofte med innebygde informasjonssystemer. Enkelte av disse systemene er ikke interoperable med Forsvarets eksisterende informasjonssystemer. Dette kan føre til begrensinger i utnyttelsen av potensialet materiellet skulle gitt. Riksrevisjonen merker seg at sjef Luftforsvaret mener at for å få full operativ utnyttelse av de nye kampflyene må kommando- og kontrollinformasjonssystemene som benyttes i flyene, videreutvikles.

1.3.1.2 Ulike sikkerhetsdomener påvirker informasjonsutvekslingen mellom systemer

Forsvaret benytter kommando- og kontrollinformasjonssystemer på ulike sikkerhetsdomener. Dette påvirker informasjonsutvekslingen mellom systemene.

Stortinget har vektlagt utvikling av IKT som støtter interoperabilitet og samvirke med NATO. Dette er viktig fordi mangler i interoperabilitet kan påvirke Forsvarets evne til å gjennomføre fellesoperasjoner og kommunikasjon med NATO og allierte.

1.3.1.3 Mangler ved taktisk datalink reduserer mulighetene for utveksling av data

Taktisk datalink er en sentral komponent i Forsvarets kommunikasjonsinfrastruktur og brukes til å utveksle taktiske data, inkludert situasjonsbilde, sensor- og måldatainformasjon, mellom to eller flere enheter i nær sanntid. Mangler ved taktisk datalink reduserer mulighetene for utveksling av data.

Det er flere planlagte og pågående prosjekter knyttet til oppgradering av taktisk datalink. Undersøkelsen viser at det er forsinkelser og risiko for mangelfull koordinering mellom disse prosjektene, og at det er risiko for at kapasitet ikke vil kunne utnyttes fullt ut.

1.3.2 Sårbarheter i sikkerheten i Forsvarets kommando- og kontrollinformasjonssystemer gir risiko for svekket operativ evne

De nasjonale etterretnings- og sikkerhetstjenestene viser til at stadig mer av etterretningsaktiviteten mot Norge foregår i det digitale rom, og at norske mål er utsatt for et jevnt trykk av nettverksoperasjoner fra aktører som representerer fremmede stater.

Det vises også til at digitale angrep i økende grad har blitt en del av militære operasjoner. I NATO er det slått fast at et digitalt angrep vil kunne ha like alvorlige konsekvenser som et konvensjonelt angrep. Digitale angrep omfattes derfor av NATO-traktatens artikkel 5. Også i FN-pakten er det slått fast at digitale angrep kan utløse en stats rett til selvforsvar.

Sikkerhetsloven har krav om at skjermingsverdig informasjon, informasjonssystemer og infrastruktur skal beskyttes. Et informasjonssystem er skjermingsverdig dersom det behandler skjermingsverdig informasjon, eller dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner. Det vil si at informasjon er skjermingsverdige dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt eller blir endret eller utilgjengelig. Også skjermingsverdig infrastruktur skal beskyttes dersom det kan skade grunnleggende nasjonale funksjoner om den får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse.

Etter sikkerhetsloven er departementene ansvarlig for forebyggende sikkerhetsarbeid innenfor sine ansvarsområder og skal identifisere og holde oversikt over grunnleggende nasjonale funksjoner.

Forsvarsdepartementet har identifisert evnen til kommando og kontroll over norske og allierte styrker som en grunnleggende nasjonal funksjon. Dette innebærer blant annet krav til beskyttelse og sikring av informasjonssystemer som i seg selv har avgjørende betydning for Forsvarets evne til kommando og kontroll, samt objekter og infrastruktur hvor det kan skade funksjonen dersom objektet eller infrastrukturen blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse. Stortinget har også understreket viktigheten av å ivareta informasjonssikkerheten i Forsvaret gjennom å sikre og beskytte Forsvarets informasjonssystemer.

Riksrevisjonen vurderer at sårbarheter i sikkerheten i Forsvarets kommando- og kontrollinformasjonssystemer gir risiko for svekket operativ evne, og kritiserer dette. Kritikken er utdypet i Riksrevisjonens sikkerhetsgraderte rapport.

1.3.2.1 Mangler i oversikt og dokumentasjon på IKT-området påvirker ivaretakelsen av sikkerheten i informasjonssystemene

Sikkerhetsloven stiller krav om at arbeidet med forebyggende sikkerhet skal være risikobasert. Oversikt over informasjonssystemer og tilhørende kommunikasjonsinfrastruktur er en grunnleggende forutsetning for at Forsvaret skal kunne foreta gode risikovurderinger og planlegge og gjennomføre effektive sikkerhetstiltak.

Undersøkelsen viser at Forsvaret ikke har god nok oversikt over alle informasjonssystemene som er i bruk. Kartlegging av hvilke av Forsvarets informasjonssystemer som er å anse som skjermingsverdige etter bestemmelsene i den nye sikkerhetsloven, er pågående. At gjennomføringen av verdi-, risiko- og skadevurderinger ikke er sluttført, innebærer at det ikke er fastsatt et forsvarlig sikkerhetsnivå for alle informasjonssystemene.

Forsvarssektorens egne direktiver og regelverk viser til krav om telling og kontroll av sikkerhetsgradert og sensitivt IKT-materiell i sektoren. Forsvarsmateriell har myndighet til å føre kontroll med sektorens materiellforvaltning, men har så langt i liten grad gjort dette på IKT-området.

Mangler i oversikten og kunnskapen om IKT-porteføljen svekker muligheten for en effektiv og forsvarlig ivaretakelse av sikkerheten i systemene. Riksrevisjonen mener dette er sterkt kritikkverdig.

1.3.2.2 Forsvaret har skjermingsverdige informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav

Både tidligere og nåværende sikkerhetslov har krav om at skjermingsverdige informasjonssystemer skal godkjennes av en godkjenningsmyndighet. For mange av Forsvarets informasjonssystemer er Nasjonal sikkerhetsmyndighet (NSM) godkjenningsmyndighet.

Et informasjonssystem som ikke er sikkerhetsgodkjent, kan få midlertidig brukstillatelse. Dette forutsetter imidlertid det benyttes kompenserende tiltak, slik at bruk av systemet er forsvarlig. I særlige tilfeller kan NSM også gi dispensasjon fra krav til midlertidig brukstillatelse. En slik dispensasjon skal kun gis i tilfeller der konsekvensene ved å ikke ta i bruk systemet overstiger konsekvensene ved sikkerhetsbrudd vurdert opp mot sannsynligheten for slike brudd.

Gjennom undersøkelsen har det fremkommet at Forsvaret har i bruk systemer som ikke tilfredsstiller sikkerhetslovens krav til godkjenning. Informasjonssystemer som ikke er sikkerhetsgodkjent, er ressurskrevende for sektoren å forvalte. Det har også kommet frem tilfeller der hensynet til operative behov har veid tyngre enn risikoen ved bruk av systemer uten sikkerhetsgodkjenning.

Forsvarets informasjonssystemer er avhengig av en underliggende kommunikasjonsinfrastruktur, bestående av blant annet fibernett, radionett og radiolinje. I tillegg strekker den seg over store geografiske områder. Det er identifisert sårbarheter i Forsvarets kommunikasjonsinfrastruktur.

I undersøkelsesperioden har det vært iverksatt flere tiltak på området. Blant annet er Handlingsplan for sikkerhetsgodkjenning av IKT-systemer utarbeidet, og det er iverksatt flere prosjekter for å oppgradere og sikre Forsvarets informasjonssystemer og kommunikasjonsinfrastruktur. Dette skal særlig realiseres gjennom virksomhetsprogrammene Mime og MAST.

Sikkerhetslovens krav skal sikre at skjermingsverdig informasjon ikke blir kjent for uvedkommende, går tapt eller blir endret eller utilgjengelig. Forsvarets manglende etterlevelse av sikkerhetslovens krav vil kunne få store konsekvenser i både fred, krise og krig. Riksrevisjonen mener dette er alvorlig.

1.3.2.3 Forsvaret har mangler i evnen til å oppdage og stanse digitale angrep

Forsvaret vurderer at det er mangler i egen evne til å oppdage og stanse digitale angrep. Forsvaret peker på sårbarheter i Forsvarets informasjonssystemer og tilgangen på personell med riktig kompetanse som årsaker til dette. Det tar lang tid for Cyberforsvaret å få personell opp på et tilstrekkelig godt kompetansenivå for gjennomføring av defensive cyberoperasjoner.

Det er iverksatt flere tiltak for å øke Forsvarets evne til å oppdage og stanse digitale angrep. De mest sentrale tiltakene er etablering av et sensornettverk og etablering og styrking av IKT-responsmiljøet MilCERT. Forsvarsdepartementet har også gitt etatene i forsvarssektoren føringer om å øve på bortfall av kommunikasjonsløsninger og håndtering av alvorlige IKT-hendelser. Med henvisning til langtidsplanen for forsvarssektoren for perioden 2021–2024 viser Forsvarsdepartementet også til at det fra 2021 er lagt opp til en bemanningsøkning i Cyberforsvaret.

Forsvarets evne til å oppdage og stanse digitale angrep er avgjørende for å kunne ivareta operativ evne gjennom å beskytte egne skjermingsverdige informasjonssystemer, inkludert kommando- og kontrollinformasjonssystemer. I ny langtidsplan for Forsvaret vises det til at digitale angrep i økende grad har blitt en del av militære operasjoner, og at skillelinjen mellom konvensjonell og irregulær krigføring har blitt mindre klar. Dette innebærer også at de tradisjonelle skillene mellom fred, krise og krig utfordres.

Riksrevisjonen mener det er alvorlig at Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset ved et forhøyet trusselnivå.

1.3.2.4 Svakheter i sikkerhetsstyringen forsterker utfordringene

Virksomheter som er omfattet av sikkerhetsloven, skal etablere et system for sikkerhetsstyring som skal være en del av virksomhetens styringssystem. Sikkerhetsstyring omfatter alle aktiviteter med betydning for forebyggende sikkerhetsarbeid og skal bidra til et forsvarlig sikkerhetsnivå for virksomhetens skjermingsverdige informasjonssystemer.

Undersøkelsen viser at Forsvaret har utfordringer med å ivareta krav til sikkerhetsstyring. Svakheter i sikkerhetsstyringen er erkjent av både Forsvaret selv og Forsvarsdepartementet og skyldes mangler i kompetanse, organisering og ressurser. I Informasjonssikkerhetsstrategi for forsvarssektoren fra 2017 peker Forsvarsdepartementet på behovet for å integrere informasjonssikkerhetsarbeidet i den helhetlige virksomhetsstyringen. Riksrevisjonens undersøkelse viser at sikkerheten på IKT-området fremdeles ikke er tilstrekkelig ivaretatt i virksomhetsstyringen i Forsvaret. Sikkerhetsstyringen har i tillegg i for stor grad blitt ensbetydende med prosessen for sikkerhetsgodkjenning av informasjonssystemer, framfor å være en del av den ordinære styringen.

Ansvaret for forvaltningen av informasjonssystemene er fordelt på flere aktører i forsvarssektoren. Forsvaret og Forsvarsmateriell har i undersøkelsesperioden hatt stor oppmerksomhet om ansvars- og rolleavklaring knyttet til forvaltningen av IKT-materiell, og jobber med å styrke forvaltningen ytterligere. Aktørenes forståelse og praktisering av ansvarsfordelingen framstår like fullt som en medvirkende årsak.

Forsvarssektoren har i undersøkelsesperioden truffet flere tiltak for å legge til rette for bedre sikkerhetsstyring og jobber videre med disse tiltakene. Samtidig står sektoren overfor potensielt vesentlige endringer i styring og forvaltning på IKT-området som følge av planer om strategisk samarbeid. Det vil stille endrede, men fortsatt høye, krav til kompetanse og kapasitet i Forsvaret for å forstå og håndtere operative og sikkerhetsmessige konsekvenser av bruk av IKT.

Det er i lys av dette sterkt kritikkverdig at Forsvaret ikke har et mer solid system for sikkerhetsstyring på plass.

1.3.3 Forsvarsdepartementet har over tid ikke greid å realisere effektive og sikre informasjonssystemer som understøtter Forsvarets operative evne

IKT ble pekt på som et satsingsområde i langtidsplanen for forsvarssektoren for 2017–2020. Formålet med IKT-satsingen var å tilrettelegge for at Forsvaret skulle kunne løse sine viktigste oppgaver, og å bidra til god utnyttelse av sektorens ressurser. IKT skulle benyttes som et virkemiddel for bedret samhandling i Forsvarets operasjoner. Målet var å utvikle en IKT-infrastruktur som skulle gi Forsvaret nødvendig evne til å lede og samvirke i et fellesoperativt perspektiv.

Det skulle i perioden også sikres en tydelig og helhetlig ledelse av IKT-virksomheten i Forsvaret underlagt forsvarssjefen. Overlappende styringsfunksjoner skulle unngås, og grensesnittet opp mot Forsvarsmateriell skulle vurderes som en del av den pågående konsolideringen av etaten. Bakteppet var at IKT-virksomheten i Forsvaret og forsvarssektoren var for fragmentert og manglet helhetlig og enhetlig ledelse og styring, og at dette hadde ført til høye kostnader, lav gjennomføringsevne og mangelfull funksjonalitet. IKT-området i Forsvaret og forsvarssektoren som helhet leverte ikke tilfredsstillende resultater sammenlignet med andre tilsvarende virksomheter. Det ble derfor pekt på at Forsvaret hadde et betydelig potensial for forbedring på IKT-området, knyttet både til organisering og til porteføljen av IKT-systemer som skulle realiseres i perioden.

Etter Riksrevisjonens vurdering er det sterkt kritikkverdig at Forsvarsdepartementet, Forsvaret og Forsvarsmateriell i liten grad har klart å svare ut de forventningene som ble stilt i forrige langtidsplan, hverken når det gjelder IKT-porteføljen eller styring og organisering. Sektoren har bred erkjennelse av utfordringene på området, men evnen til å løse disse har vært begrenset. Styringen i sektoren i perioden 2017–2020 har vært preget av manglende oversikt, uklar forståelse av roller og ansvar og svakheter i styringen av investeringer på IKT-området. Det er satt i verk tiltak for å bedre situasjonen, blant annet utarbeidelse av en IKT-strategi for forsvarssektoren og etablering av programmene Mime og MAST for anskaffelser av nye IKT-løsninger. Disse tiltakene har foreløpig hatt begrenset effekt, og det er for tidlig å si noe sikkert om de fremtidige effektene av disse tiltakene.

1.3.3.1 Svak styring har medvirket til utfordringene på IKT-området og svekket verdien av investeringer

Forsvaret har ansvar for at virksomheten har effektiv og sikker IKT til bruk i Forsvarets operasjoner. Dette inkluderer planer for virksomhetens bruk av IKT og ivaretakelse av sikkerheten i systemene.

Forsvaret mangler en virksomhetsarkitektur som kan legge til rette for gode prioriteringer i oppfølging av eksisterende IKT-løsninger og valg av nye. Oversikt over informasjonsbehov og informasjonssystemer er en forutsetning for å kunne legge hensiktsmessige planer og rammer for videreutviklingen av IKT-porteføljen. Forsvaret har ikke god nok oversikt over alle informasjonssystemene som er i bruk. Manglende virksomhetsarkitektur er også pekt på som en årsak til utfordringene med interoperabilitet mellom kommando- og kontrollinformasjonssystemene, og en virksomhetsarkitektur er avgjørende for å nå målet om å redusere antallet systemer i Forsvaret.

Forsvarssektoren har selv pekt på anskaffelser av IKT-materiell som en hovedutfordring i styringen av IKT-området. Forsvarsdepartementet har det overordnede ansvaret for investeringer i sektoren og styrer porteføljen av prosjekter. Fram til 1. januar 2020 var departementet også prosjekteier for det enkelte prosjekt. Departementet bemerker at porteføljen av investeringsprosjekter på IKT-området er stor, og at sterke avhengigheter mellom prosjektene gjør arbeidet med investeringsprosjekter på området krevende.

Forsvarets forskningsinstitutt peker i en rapport fra 2018 på omfattende forsinkelser i IKT-prosjekter i forsvarssektoren. Blant mulige årsaker nevnes nedprioritering og manglende tilgang på nødvendige ressurser, for optimistisk planlegging og lite effektiv prosjektgjennomføring.

Forsvarsmateriell planlegger og gjennomfører alle investeringsprosjekter i forsvarssektoren på oppdrag fra prosjekteier. Forsvarsmateriell oppgir at lang gjennomføringstid kan ha flere årsaker. Blant annet er flere prosjekter skjøvet ut i tid på grunn av mangel på finansiering i prosjektporteføljen. Forsvarsmateriell opplever også at de ikke har ressurser nok til å ha ønsket framdrift i alle investeringsprosjekter for IKT-området og samtidig ivareta forvaltningsoppgaver knyttet til IKT-materiell på ønsket måte. Forsvarsdepartementet bemerker at gjennomføringstiden for IKT-prosjekter har ført til en opphopning av IKT-systemer som venter på utskifting.

Forsvarets forskningsinstitutt fant at det også var store avvik mellom planlagte og faktiske kostnader i IKT-prosjektene. Forsvarsdepartementet har i en intern evaluering vist til at når teknologien blir forsinket eller mer kostbar enn planlagt, så svekkes verdien av IKT-investeringene.

Undersøkelsen viser at det er mangelfulle data om investeringsprosjekter i forsvarssektoren. Det er etablert et system for registrering og oppfølging av investeringsprosjekter, men systemet gir begrensede muligheter for analyse. Blant annet justeres milepæler årlig og nøkkeldata oppdateres løpende, og systemet gir begrenset mulighet til å hente ut historiske data. Med tanke på de store utfordringene sektoren har når det gjelder investeringer, kan svak tilgang på gode styringsdata få konsekvenser både for oppfølging av det enkelte prosjekt og for læring og forbedring på tvers av prosjekter.

Forsvarsdepartementet er ansvarlig for overordnet styring og kontroll av underlagte etaters virksomhet. Departementet bemerker at det har vært utfordrende å styre Forsvaret helhetlig på IKT-området. Forsvarsstaben har etter departementets vurdering ikke hatt tilstrekkelig kapasitet til å fastsette operative krav til IKT, prioritere på tvers av driftsenhetene og mellom investering og drift samt være et felles kontaktpunkt mot departementet innenfor IKT. Sjef Forsvarsstaben erkjenner at Forsvarsstabens kompetanse og styring på IKT-området har vært for dårlig, men viser til at det nå er tatt grep for å endre på dette. Kompetansen på IKT i Forsvarsstaben er styrket de siste par årene, og fra 2021 er ansvaret for gjennomføringen av IKT-strategi for forsvarssektoren overført fra departementet til Forsvaret. Med dette har Forsvaret fått ansvar på IKT-området for forsvarssektoren som helhet. I tillegg er rollen som prosjekteier i investeringsprosjekter overført fra departementet til forsvarssjefen. Både departementet og Forsvaret mener at overføring av mer ansvar til Forsvaret legger bedre til rette for en helhetlig styring innen IKT-området.

Etter Riksrevisjonens vurdering har det vært vesentlige svakheter både ved Forsvarsdepartementets og Forsvarets styring på IKT-området, som har negative følger for oversikt over og samvirke mellom systemer. Det har også vært svak styring av IKT-investeringer, med den følge at disse ikke har gitt ønsket verdi. Det er for tidlig å si om overføring av ansvar til Forsvaret vil gi bedre styring av IKT-området i Forsvaret og forsvarssektoren.

1.3.3.2 Overlappende og uklare ansvarsforhold mellom etatene i forsvarssektoren har påvirket gjennomføringsevnen på IKT-området

Forsvaret og Forsvarsmateriell er tydelige på at det etter opprettelsen av Forsvarsmateriell var nødvendig å avklare grensesnittet mellom etatene på IKT-området. En avklaring av roller og ansvar var også forventet av Forsvarsdepartementet i langtidsplanen for 2017–2020. Forsvarsdepartementet viser til at det ved etableringen av Forsvarsmateriell i 2016 ble utarbeidet retningslinjer for rolle- og ansvarsfordelingen mellom Forsvarsmateriell og Forsvaret, men at etterlevelsen av retningslinjene har vært beheftet med utfordringer. Departementet erkjenner at dette har resultert i noe overlappende oppgaveutførelse og lav gjennomføringsevne. Cyberforsvaret viser til at forholdet mellom Forsvaret ved Cyberforsvaret og Forsvarsmateriell er en del av forklaringen på at Forsvaret har brukt betydelige summer på ny teknologi uten å ha fått full utnyttelse av disse investeringene.

Undersøkelsen viser at det er lagt ned et omfattende arbeid for å avklare grensesnittet mellom Forsvaret og Forsvarsmateriell. Dette har blant annet ført til overføring av oppgaver og personell mellom etatene. Både Forsvaret, Forsvarsmateriell og departementet mener at ansvarfordelingen nå er blitt klarere, og at samarbeidet er blitt bedre. Samtidig ser man ved overgangen til ny langtidsperiode at det gjenstår utfordringer knyttet til ansvarsdelingen mellom Forsvaret og Forsvarsmateriell. Blant annet viser Forsvarsmateriell til at etaten fortsatt er i prosess med å finne sin rolle på enkelte områder, og at det fremdeles er noe overlapp mellom oppgavene som utføres av Forsvaret og Forsvarsmateriell.

1.3.3.3 Mangel på kompetanse har medvirket til at forsvarssektoren ikke har klart å løse mange av utfordringene på IKT-området

Ved behandlingen av langtidsplanen for 2017–2020 sluttet Stortinget seg til at personellet er en avgjørende innsatsfaktor for forsvarssektoren, og at sektoren må ha evne til å rekruttere, anvende, beholde og utvikle kompetansen den trenger.

Forsvarssektoren har selv identifisert flere kompetansegap i sektoren når det gjelder IKT. Det er kompetanseutfordringer knyttet bruk, drift og forvaltning av eksisterende IKT-systemer og innen utvikling av nye løsninger. Det har også manglet kompetanse i styringen av IKT-området, helt opp til øverste nivå i Forsvaret og forsvarssektoren.

Manglende kompetanse er en medvirkende årsak til flere av utfordringene som beskrives i denne undersøkelsen, og til at forsvarssektoren ikke har klart å løse mange av utfordringene på IKT-området. I dette bildet må det tas med at forsvarssektoren, på lik linje med forvaltningen og samfunnet for øvrig, er truffet av mangel på ulike typer IKT-kompetanse. Sjef Cyberforsvaret viser til at det er utfordrende å rekruttere personell som har både riktig IKT- og militærfaglig kompetanse. Riksrevisjonen bemerker likevel at Svendsen-utvalget i 2020 påpeker at Forsvaret ikke har klart å henge med i utviklingen eller evnet å omstille seg i takt med nye behov for kompetanse for å utnytte teknologien og møte en økende trussel i det digitale rom. Det er ifølge Riksrevisjonen bekymringsfullt med tanke på dagens trusselbilde og hvor viktig effektive og sikre IKT-systemer er for Forsvarets operative evne.

Strategisk samarbeid med industrien, blant annet gjennom programmene Mime og MAST, er i undersøkelsen pekt på som et av de viktigste tiltakene for å øke kompetansen på IKT-området i forsvarssektoren. Det er etter Riksrevisjonens vurdering avgjørende at Forsvaret og Forsvarsmateriell klarer å rekruttere, utvikle og beholde nødvendig kompetanse i egne virksomheter, også ved bruk av strategisk samarbeid.

1.3.3.4 Det er vesentlig risiko knyttet til den pågående IKT-satsingen i Mime og MAST

For å møte en del av utfordringene på IKT-området startet Forsvarsdepartementet i 2018 virksomhetsprogrammene Mime og MAST. I program Mime inngår en rekke investeringsprosjekter som skal gi en taktisk informasjonsinfrastruktur som dekker nåværende og framtidige behov for kommando og kontroll. Mime er avhengig av MAST, som skal modernisere Forsvarets IKT-plattformer og gi forsvarssektoren tilgang på skytjenester på alle graderingsnivå.

Program Mime skal avsluttes i 2030, mens program MAST skal vare til 2028. Etter den innledende etablerings- og oppstartsfasen er begge programmene forsinket. Flere sentrale spørsmål av betydning for gjennomføringen og leveransene fra programmene står dessuten ubesvart. Riksrevisjonen mener dette utgjør en risiko for ytterligere forsinkelser og mangelfull gevinstrealisering.

Mime og MAST hviler på en anskaffelsesstrategi der strategisk samarbeid med overdragelse av drifts-, forvaltnings- og vedlikeholdsoppgaver til leverandørindustrien står sentralt. Forsvarssektorens krav til sikkerhet og beredskap skal vektlegges spesielt ved etablering av strategisk partnerskap. Det er så langt ikke avklart hva som vil være de folkerettslige konsekvensene av en overdragelse av disse oppgavene til sivile leverandører. En folkerettslig avklaring er nødvendig for å kunne fastsette de sivile leverandørenes forpliktelser overfor Forsvaret ved krise og krig og dermed Forsvarets tilgang på nødvendig IKT-understøttelse. Beslutningen om å gå i dialog om strategisk partnerskap med sivile leverandører før de folkerettslige konsekvensene av det planlagte samarbeidet er avklart, medfører risiko for at forhandlinger og eventuelle avtaler ikke reflekterer det reelle handlingsrommet og behovet i sektoren.

Forsvarets forskningsinstitutt konkluderte i januar 2021 med at bruk av skytjenester kan bidra til økt robusthet i Forsvarets kommunikasjonsinfrastruktur og være positivt for sikkerheten. Det er imidlertid fortsatt mye uavklart knyttet til regelverk og hvordan sikkerhetsvurdering og -godkjenning av slike systemer skal gjøres. Det kan i ytterste konsekvens bety at Forsvaret ikke kan ta i bruk eller hente ut ønskede effekter av skytjenester.

Forsvarssektoren har jobbet lenge med å finne løsninger som balanserer sektorens behov for sikkerhet og effektivitet i informasjonssystemer. Usikkerhet knyttet til valg av løsninger gjør at beslutninger og utbedringer trekker ut i tid.

Programorganiseringen i Mime og MAST skal legge til rette for å kunne se IKT-investeringer i sammenheng og vurdere innbyrdes avhengigheter mellom dem i prioriteringen av ressurser. Det er ut fra dette bekymringsfullt at ekstern kvalitetssikring av Mime peker på utfordringer med å foreta kost–nytte–vurderinger og å prioritere ut fra foreliggende styringsinformasjon. At programorganisasjonen også peker på behov for avklaring av ambisjonsnivå og sammenhengen med investeringer som faller utenfor programmet, forsterker et inntrykk av vesentlige svakheter i styringsinformasjonen og risiko for gjennomføringen. Programorganisasjonen for Mime og MAST peker så sent som i juni 2021, ett år etter formell oppstart av programgjennomføringen for Mime, på at den mangler verktøyene for å gjennomføre programmet som forutsatt. For MAST er programmets virkningsområde ikke avklart ved overgangen til gjennomføringsfasen.

Leveransene fra Mime og MAST er av forsvarssektoren trukket fram som avgjørende for at forsvarssektoren skal nå mål om digitalisering, effektivisering og tilhørende økt operativ evne. Behovet for mer effektiv og sikker IKT-understøttelse i Forsvarets operasjoner bekreftes i denne undersøkelsen. Utsettelser og mangelfull gevinstrealisering fra Mime og MAST er derfor ikke bare et kostnads- og ressursspørsmål. En eventuell manglende realisering av ambisjonene i programmene har konsekvenser for operativ evne i Forsvaret, både på kort og lang sikt.

Riksrevisjonens kollegium mener at funnene i undersøkelsen er av en slik alvorlighetsgrad at det legger til grunn at Riksrevisjonen 1–2 år etter Stortingets behandling vil følge opp undersøkelsen, herunder programmene Mime og MAST.

1.4 Anbefalinger

Riksrevisjonen anbefaler at Forsvarsdepartementet

  • følger opp arbeidet med å få en fullstendig oversikt over informasjonssystemer i Forsvaret, og at denne blir brukt som grunnlag for Forsvarets styring og investeringer på IKT-området

  • sørger for at Forsvaret og Forsvarsmateriell intensiverer arbeidet med variantbegrensning av Forsvarets informasjonssystemer

  • i dialog med Forsvaret og Forsvarsmateriell sikrer løsninger for kommunikasjon og informasjonsutveksling som raskere gir full utnytelse av kapasiteter ved anskaffelser av nytt materiell

  • følger opp at sikkerhetsstyringen styrkes, og at informasjonssikkerheten ivaretas i nye og eksisterende informasjonssystemer i Forsvaret.

  • styrker Forsvarets evne til å oppdage og stanse digitale angrep

  • sørger for at Forsvarsmateriell og Forsvaret ivaretar nødvendig framdrift og gevinstrealisering i programmene Mime og MAST

  • følger opp arbeidet med å avklare ansvaret mellom etatene i forsvarssektoren

  • vurderer ytterligere tiltak for å rekruttere, utvikle og beholde nødvendig fagkompetanse på IKT-området i forsvarssektoren.

1.5 Statsrådens svar

Forsvarsministeren bemerker at Riksrevisjonen gjennom sin undersøkelse stadfester problemstillinger og et utfordringsbilde Forsvarsdepartementet erkjenner. Statsråden viser til at den gjeldende IKT-strategien for forsvarssektoren er utformet for å møte disse utfordringene. Det er imidlertid behov for tiltak som kan øke gjennomføringen av strategien. Statsråden ser svært alvorlig på dette og tar Riksrevisjonens anbefalinger med seg i det videre arbeidet.

1.5.1 Evne til å realisere effektive og sikre informasjonssystemer

Statsråden viser til IKT-strategi for forsvarssektoren som ble gitt ut i 2019, og mener at strategiens tiltaksområder står seg som svært relevante i møtet med Riksrevisjonens kritikk, til tross for at implementerte tiltak så langt har hatt begrenset effekt. Statsråden viser til at tiltakene i strategien er omfattende og strekker seg over tid, og at de innebærer gjennomgående endringer i både departementet og etatene.

Statsråden viser videre til at Forsvarsdepartementet i samråd med Forsvaret og Forsvarsmateriell utarbeider en plan for å øke gjennomføringsevnen med utgangspunkt i IKT-strategien. Statsråden mener derfor at det på nåværende tidspunkt er for tidlig å avvikle eller reversere besluttede tiltak. Han opplyser at hans første prioritering er å følge opp at de grunnleggende premissene for realisering av strategien kommer på plass, og at et tydelig, dokumentert og etterlevd styringssystem for IKT-området er sentralt. Forsvaret har gjennom tildelingsbrevet for 2022 fått et oppdrag som blant annet omfatter forutsetninger for å realisere IKT-strategien og å gi anbefalinger om en styringsmodell for IKT. Forsvarsdepartementet følger opp arbeidet gjennom etatsstyringen og i fagmøter.

Statsråden peker på at Forsvarsdepartementet i 2019 styrket den strategiske styringen av investeringsporteføljen, og at endringen fra 1. januar 2020 ga forsvarssjefen et tydeligere ansvar for investering, drift og gevinstrealisering innenfor IKT-området.

Statsråden bemerker at forsvarssektoren står overfor en omfattende omstilling og modernisering, og at det i denne prosessen er nødvendig at forsvarssektoren har tilgang til oppdatert teknologi, løsninger og kompetanse på områder der industrien er ledende. For å oppnå dette vurderes det strategisk samarbeid med én eller flere samarbeidspartnere.

Statsråden viser til at det gjennom virksomhetsprogrammene Mime (kampnær IKT) og MAST (militær anvendelse av skytjenester) etableres en ny operasjonsmodell for IKT i forsvarssektoren. Det er gjennomført en ekstern kvalitetssikring på både program- og leveransebølgenivå for Mime. Forsvarsdepartementet vil følge opp risikoene som Riksrevisjonen har påpekt og tiltakene som ekstern kvalitetssikrer har anbefalt.

Statsråden opplyser også om at Forsvarsdepartementet forsterker oppfølgingen av IKT-området gjennom etatsstyringen. Dette inkluderer regelmessige fag- og styringsmøter mellom Forsvarsdepartementet og etatene og krav til utfyllende rapportering på IKT-området.

1.5.2 Manglende realisering av effektive kommando- og kontrollinformasjonssystemer

Statsråden viser til virksomhetsprogrammet Mime som sentralt i utbedringen av flere av de konkrete kommunikasjonsutfordringene som Riksrevisjonen viser til i sin undersøkelse. Gjennom toårlige leveransebølger fram mot 2030 skal programmet levere kampnær IKT til Forsvaret. Delleveransene som er godkjent av Stortinget, inkluderer en felles, taktisk IKT-plattform, satellitterminaler, bakke-til-luft-radioer, datalinkterminaler og programvare for kommando og kontroll, nye taktiske radioer til landstyrkene og start av fornyelsen av kommando- og kontrollsystem for luftdomenet. Statsråden viser videre til at Forsvarets evne til samvirke på tvers av graderingsnivåer er forbedret gjennom en løsning for sikker informasjonsutveksling mellom sikkerhetsdomener, levert av Forsvarsmateriell i 2021–2022.

1.5.3 Sårbarheter i sikkerheten i Forsvarets kommando- og kontrollinformasjonssystemer

Statsråden peker på at Forsvarsdepartementet har informert Stortinget om at Forsvaret og Forsvarsmateriell har utfordringer med å beskytte informasjonssystemer i samsvar med sikkerhetslovens krav om et forsvarlig sikkerhetsnivå, og opplyser om at departementet vil videreføre sin særskilte oppfølging av Forsvarets og Forsvarsmateriells arbeid med informasjonssikkerhet så lenge det er behov for dette. Statsråden peker videre på at sikkerhetstilstanden i IKT-porteføljen påvirkes av andre utfordringer på IKT-området, og at det derfor er svært viktig også fra et sikkerhetsperspektiv at moderniseringen av Forsvarets IKT lykkes.

Når det gjelder Riksrevisjonens anbefaling om å styrke Forsvarets evne til å oppdage og stanse digitale angrep, viser statsråden til at oppbyggingen av milCERT går i henhold til planen og at full operativ kapasitet nås i 2024. Forsvarsdepartementet vil også se nærmere på ytterligere tiltak for å styrke Forsvarets evne i det digitale rom, jf. Meld. St. 10 (2021–2022) Prioriterte endringer, status og tiltak i forsvarssektoren. Forsvarets kapasitet til å oppdage og håndtere uønskede digitale hendelser ble derfor ifølge statsråden styrket gjennom Prop. 78 S (2021–2022), Endringer i statsbudsjettet 2022.

1.5.4 Personell og kompetanse

Statsråden viser til at etatene i forsvarssektoren har de samme utfordringene med tilgang til kompetanse på IKT-området som samfunnet for øvrig, og at de konkurrerer om de samme kandidatene som andre offentlige virksomheter og privat næringsliv. For å øke tilgangen på relevant kompetanse, herunder et særskilt behov for kompetanse innen teknologi og digitalisering, skal Forsvaret i tråd med gjeldende langtidsplan videreutvikle og øke utnyttelsen av verneplikten, lærlingeordningen, reservistordningen og samarbeidsordninger med allierte, næringslivet, sivile utdanningsinstitusjoner og andre sektorer. Statsråden opplyser videre at Forsvarsdepartementet følger opp kompetanse som en integrert del av styringen av etatene.

1.5.5 Avslutning

Statsråden gir uttrykk for at Riksrevisjonens konklusjoner og anbefalinger er viktige bidrag til forbedring av IKT-området i forsvarssektoren. Statsråden deler Riksrevisjonens oppfatning av at situasjonen er alvorlig, og bemerker at oppfølgingen av tiltakene som er beskrevet i det foregående, vil ha høy prioritet i både Forsvarsdepartementet, Forsvaret og Forsvarsmateriell. Dette er samtidig et område som vil kreve gjennomgående endringer både i Forsvarsdepartementet og i etatene, og som krever at tiltak må få virke over tid.

1.6 Riksrevisjonens uttalelse til statsrådens svar

Riksrevisjonen har ingen ytterligere merknader.