Søk

Innhold

3. Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Kari Henriksen, Lubna Boby Jaffery og Bente Irene Aaland, fra Høyre, lederen Peter Frølich og Svein Harberg, fra Senterpartiet, Nils T. Bjørke, fra Fremskrittspartiet, Carl I. Hagen, fra Sosialistisk Venstreparti, Audun Lysbakken, fra Rødt, Seher Aydar, og fra Venstre, Grunde Almeland, viser til Riksrevisjonens undersøkelse av Forsvarets informasjonssystemer for kommunikasjon og informasjonsutveksling i operasjoner.

Komiteen viser til at selve undersøkelsen er gradert etter sikkerhetsloven, men at Riksrevisjonen har utarbeidet en ugradert versjon av Dokument 3:3 (2022–2023). Komiteen viser videre til sin merknad i behandlingen av Harberg-utvalgets rapport, jf. Innst. 143 S (2021–2022):

«Komiteen stiller seg bak utvalet si vurdering om at sjølv om informasjonseigar avgjer graderinga, har informasjonseigar like fullt ein skyldnad overfor offentlegheita som må takast omsyn til. Komiteen legg til grunn, i tråd med konklusjonen frå utvalet, at i den grad ein rapport inneheld graderte opplysningar som inneber at rapporten ikkje kan offentleggjerast i sin heilskap, forventar me at Riksrevisjonen utarbeider ein versjon av rapporten kor graderte opplysningar er unnatekne, og som elles er så fullstendig som mogeleg.»

Komiteen er fornøyd med at Riksrevisjonen i dialog med Forsvarsdepartementet har fulgt opp Stortingets forventning. Den ugraderte oppsummeringen muliggjør offentlig innsyn og åpen debatt, uten at graderte opplysninger kommer på avveie.

Komiteen viser videre til riksrevisors uttalelse i forbindelse med framleggingen av den ugraderte oppsummeringen:

«Rapporten om Forsvarets informasjonssystemer er en av de mest alvorlige Riksrevisjonen noen gang har lagt frem.»

Komiteen deler riksrevisors vurdering av sakens alvor og viser til at denne også deles av forsvarsministeren i hans svar til Riksrevisjonen.

Komiteen har avholdt en lukket høring om rapportens funn.

Komiteen viser til Riksrevisjonens konklusjoner:

  • Mangler i samvirket mellom Forsvarets kommando- og kontrollinformasjonssystemer kan påvirke Forsvarets operative evne.

    • Kommando- og kontrollinformasjonssystemer med ulik teknologi påvirker mulighetene for samhandling.

    • Ulike sikkerhetsdomener påvirker informasjonsutvekslingen mellom systemer.

    • Mangler ved taktisk datalink reduserer mulighetene for utveksling av data.

  • Sårbarheter i sikkerheten i Forsvarets kommando- og kontrollinformasjonssystemer gir risiko for svekket operativ evne.

    • Mangler i oversikt og dokumentasjon på IKT-området påvirker muligheten for ivaretakelsen av sikkerheten i informasjonssystemene.

    • Forsvaret har skjermingsverdige informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav.

    • Forsvaret har mangler i evnen til å oppdage og stanse digitale angrep.

    • Svakheter i sikkerhetsstyringen forsterker utfordringene.

  • Forsvarsdepartementet har over tid ikke greid å realisere effektive og sikre informasjonssystemer som understøtter Forsvarets operative evne.

    • Svak styring har medvirket til utfordringene på IKT-området og svekket verdien av investeringer.

    • Overlappende og uklare ansvarsforhold mellom etatene i forsvarssektoren har påvirket gjennomføringsevnen på IKT-området.

    • Mangel på kompetanse har medvirket til at forsvarssektoren ikke har klart å løse mange av utfordringene på IKT-området.

    • Det er vesentlig risiko knyttet til den pågående IKT-satsingen i Mime og MAST.

Komiteen viser til at Riksrevisjonen har uttalt at denne rapporten, som undersøker perioden 2017–2020, er en av de mest alvorlige de har lagt fram. Den sikkerhetspolitiske situasjonen er vesentlig forverret for Norge og våre allierte siden 2020, med forhøyet konfliktnivå og økende ustabilitet. Samtidig foregår det et teknologikappløp mellom verdens maktsentra. Komiteen mener at disse forhold danner et svært alvorspreget bakteppe for rapportens funn, konklusjoner og anbefalinger som er verdt å understreke.

Mangler i samvirket mellom Forsvarets kommando- og kontrollinformasjons-systemer kan påvirke Forsvarets operative evne

Komiteen viser til at Riksrevisjonen finner at mangler i samvirket mellom Forsvarets kommando- og kontrollsystemer kan påvirke Forsvarets operative evne. Komiteen understreker at Forsvarets oppdrag er å trygge rikets sikkerhet, og at det ikke er tilfredsstillende at Forsvarets kommandosystemer samvirker godt nok til å løse daglige behov i fredstid. Komiteen mener at denne mangelen er desto mer alvorlig i lys av den gjeldende sikkerhetspolitiske situasjonen.

Komiteen registrerer at Forsvaret ikke har lyktes med å redusere antall informasjonssystemer i drift, til tross for at dette i lang tid har vært et mål. Komiteen deler Forsvarets vurdering av at utfasing av informasjonssystemer må prioriteres, og vil understreke at ansvaret for at dette blir gjort, i siste instans ligger hos Forsvarsdepartementet.

Komiteen viser til at samhandlingsproblemene i forsvarssektoren ikke bare knytter seg til eldre systemer som ennå ikke er faset ut, men også at det anskaffes nye våpenplattformer til Forsvaret som ikke er interoperatible med systemene som allerede er i bruk. Komiteen forutsetter at anskaffelsesrutinene i forsvarssektoren ikke legger til rette for ytterligere samhandlingsproblemer.

Komiteen viser til at Riksrevisjonen finner mangler ved taktisk datalink som reduserer mulighetene for utveksling av data mellom Forsvarets enheter. Komiteen registrerer at det er flere planlagte og pågående prosjekter knyttet til å oppgradere taktisk datalink, men også at Riksrevisjonens undersøkelse påviser forsinkelser og risiko for mangelfull koordinering også mellom disse prosjektene, samt risiko for at kapasiteten ikke vil kunne utnyttes fullt ut. Komiteen forventer at regjeringen sørger for at oppgraderingene får den forutsatte gevinst.

Sårbarheter i sikkerheten i Forsvarets kommando- og kontrollinformasjons-systemer gir risiko for svekket operativ evne

Komiteen viser til at Riksrevisjonen finner flere sårbarheter i Forsvarets informasjonssystemer og konkluderer med at disse gir risiko for at Forsvarets operative evne svekkes. Komiteen viser til Nasjonal sikkerhetsmyndighets (NSM) trusselvurdering «Risiko» for 2022, som allerede før Russlands invasjon av Ukraina fant en tredobling i antall alvorlige hendelser og cyberoperasjoner i perioden 2019 til 2021 og anførte:

«Risiko for alvorlige cyberoperasjoner er høy og øker for virksomheter som arbeider med utenriks-, forsvars- og sikkerhetspolitikk.»

Komiteen viser til sikkerhetslovens krav om at skjermingsverdig informasjon, informasjonssystemer og infrastruktur skal beskyttes, og at det er Forsvarsdepartementets ansvar å sørge for forebyggende sikkerhetsarbeid innenfor sitt ansvarsområde, herunder Forsvarets informasjonssystemer.

Komiteen viser til at Forsvaret på undersøkelsestidspunktet ikke hadde tilfredsstillende oversikt over informasjonssystemene som er i bruk, og ei heller hadde kartlagt skjermingsverdige systemer, og at det som en konsekvens ikke kunne fastsettes et forsvarlig sikkerhetsnivå for alle informasjonssystemene.

Komiteen finner det kritikkverdig at Forsvarsmateriell i liten grad har brukt sin myndighet til å føre kontroll med forsvarssektorens materiellforvaltning på IKT-området. Komiteen forventer at regjeringen etablerer rammene som trengs for at denne kontrollen utføres.

Komiteen deler Riksrevisjonens vurdering av at det er alvorlig at Forsvaret har tatt i bruk skjermingsverdige informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav, og slutter seg til at Forsvarets manglende etterlevelse av sikkerhetslovens krav vil kunne få store konsekvenser i fred, krise og krig.

Komiteen viser til at Forsvaret ifølge sine egne vurderinger ikke har god nok evne til å oppdage og stanse digitale angrep, og deler Riksrevisjonens vurdering av at det er alvorlig at denne evnen er begrenset ved et forhøyet trusselnivå. Komiteenforventer at regjeringen sikrer bemanningsøkningen til Cyberforsvaret som Stortinget har forutsatt i behandlingen av Langtidsplan for forsvarssektoren 2021–2024, jf. Innst. 87 S (2020–2021). Komiteen registrerer at forsvarsministeren svarer at full operativ kapasitet i responsmiljøet Cyberforsvarets cybersikkerhetssenter (milCERT) vil bli nådd i 2024.

Komiteen slutter seg til Riksrevisjonens vurdering av at det er sterkt kritikkverdig at Forsvaret mangler et solid system for sikkerhetsstyring. Komiteen viser til at ansvaret for å forvalte informasjonssystemene er fordelt på flere aktører, herunder Forsvaret og Forsvarsmateriell, og at Riksrevisjonens vurdering er at disse aktørenes forståelse og praktisering av ansvars- og rollefordelingen seg imellom har bidratt til svakhetene i sikkerhetsstyringen.

Forsvarsdepartementet har over tid ikke greid å realisere effektive og sikre informasjonssystemer som understøtter Forsvarets operative evne

Komiteen viser til at IKT ble pekt på som et satsingsområde i langtidsplanen for forsvarssektoren for 2017–2020, hvor IKT blant annet skulle benyttes for å bedre samhandlingen i Forsvarets operasjoner. Komiteen deler Riksrevisjonens vurdering av at det er sterkt kritikkverdig at Forsvarsdepartementet, Forsvarsmateriell og Forsvaret ikke har møtt forventningene Stortinget stilte til IKT-portefølje, styring og organisering i forrige langtidsplan.

Komiteen vil understreke viktigheten av at Forsvaret får etablert en virksomhetsarkitektur som muliggjør helhetlig styring og prioritering på IKT-området.

Komiteen viser til Riksrevisjonens funn om at overlappende og uklare ansvarsforhold mellom Forsvaret og Forsvarsmateriell har påvirket gjennomføringsevnen på IKT-området og bidratt til at IKT-investeringer ikke har blitt utnyttet til fulle. Forsvarsdepartementet erkjenner overfor Riksrevisjonen at etatene ikke har klart å etterleve de opprinnelige retningslinjene for rolle- og ansvarsfordeling, og at det har resultert i noe overlappende oppgaveutførelse og lav gjennomføringsevne.

Komiteen registrerer at Riksrevisjonen identifiserer forsvarssektorens mangel på kompetanse helt opp til øverste nivå som en medvirkende årsak til at sektoren ikke har klart å løse mange av utfordringene på IKT-området. Komiteen deler Riksrevisjonens vurdering av at det er avgjørende at Forsvaret og Forsvarsmateriell klarer å rekruttere, utvikle og beholde nødvendig kompetanse i egne virksomheter, også ved bruk av strategisk samarbeid.

Komiteen viser til at Riksrevisjonen har pekt på svak styring, overlappende og uklare ansvarsforhold og mangel på kompetanse som viktige årsaker til at Forsvarsdepartementet over tid ikke har realisert effektive og sikre informasjonssystemer som understøtter Forsvarets operative evne.

Komiteen viser til at IKT ble pekt på som et satsingsområde i langtidsplanen for forsvarssektoren for 2017–2020, jf. Prop. 151 S (2015–2016) Kampkraft og bærekraft – Langtidsplan for forsvarssektoren. IKT-satsingen skulle tilrettelegge for at Forsvaret skulle kunne løse sine viktigste oppgaver, og bidra til god utnyttelse av sektorens ressurser. IKT skulle også benyttes som et virkemiddel for å bedre samhandlingen i Forsvarets operasjoner og for å effektivisere styrkeproduksjon og forvaltning i forsvarssektoren. Målet var å utvikle en IKT-infrastruktur som skulle gi Forsvaret nødvendig evne til å lede og samvirke i et fellesoperativt perspektiv.

Komiteen viser til Forsvarets forskningsinstitutt, som uttalte følgende i høringen:

«FFI har siden 2004 forsket på modernisering og effektivisering av Forsvarets virksomhet, herunder operativ virksomhet. Vår forskning viser at evnen til å modernisere har vært for svak, og at ledelsen av Forsvaret har manglet kompetanse og kapasitet til å drive slike prosesser framover. Forsvaret og forsvarssektoren for øvrig er preget av mange tunge fagmiljøer med sine egne faglige identiteter. Kompetansen er utpreget militær av karakter, og agendaer og kulturen er rettet mot å bevare heller enn å endre. Summen av dette bidrar til at modernisering og effektivisering, gjerne tenkt støttet av nye IKT-systemer, mister retning og kraft i møte med personell lenger ned i organisasjonen. FFI har også vist at forsvarssektoren bruker lang tid på å utfase materiell, herunder IKT-systemer, noe som reduserer evnen til å modernisere virksomheten.

[...]For det første ser vi at dette vi kan kalle fellesprosjekter, altså IKT, logistikk og lignende, har i liten grad hatt en tydelig eier i forsvarssektoren, og de har blitt prioritert ned over tid sammenlignet ned prosjekter knyttet til grenene, som kampvogner, kampfly, overflatefartøy f.eks.»

«Så mener vi også å se en utydelig styring av IKT-virksomheten knyttet til investeringer. Det er flere ulike oppfatninger av roller og ansvar og myndighet i sektoren, som også gjør det utydelig for oss hvem som av og til er mottaker av våre råd knyttet til både utvikling av IKT-virksomheten og materiellanskaffelser.»

Komiteen merker seg hvordan FFIs beskrivelse av situasjonen samsvarer med Riksrevisjonens funn. FFIs beskrivelse av utfordringer knyttet til avklaring av roller og ansvar, sammen med kompetanseutfordringer, ble støttet både av tillitsvalgte, av NSM og av nåværende og tidligere forsvarssjefer i høringen.

Forbundsleder Torbjørn Bongo fra Norges offisers- og spesialistforbund uttalte følgende i høringen:

«Vi mener dette er de bakenforliggende årsakene som det må ryddes opp i: Den første er RAM, roller, ansvar og myndighet og da roller, ansvar og myndighet mellom Forsvaret og FMA på sektornivå. Etter vår vurdering ligger det betydelige utfordringer og problemer her.»

Leder Jens Bernhard Jahren fra Befalets Fellesorganisasjon uttalte følgende i høringen:

«Enhetlig styring er en veldig avgjørende faktor. Vi var veldig skeptisk til den oppsplittingen som ble gjort med etableringen av Forsvarsmateriell, hvor man altså splittet opp deler av IKT-miljøene, men også andre elementer. Vi mener at vi i dag ser de svakhetene som ble påpekt allerede da denne oppsplittingen kom. Det er viktig at dette området ledes fra ett sted, og at det er veldig godt avklart. Vi ser at de svakhetene kommer veldig klart til uttrykk.»

Direktør Sofie Nystrøm i Nasjonal sikkerhetsmyndighet (NSM) sa følgende i høringen:

«Det er tre områder som helt åpenbart er viktig for forsvarssektoren å styrke framover, og vi har vært inne på det: Sikkerheten må tydeliggjøres i styringsmodellen, roller, ansvar og myndighet må gås opp på sikkerhetstemaer slik at det er tydeligere mellom etatene, eller man må få en annen styringsmodell for hvordan sikkerhet og risiko skal helhetlig integreres, for sikkerhet må være integrert i prosessene i større grad.

Det andre punktet er teknisk gjeld, som jeg har vært inne på, gamle systemer – sterkere styring på dette området og variantbegrensning som vil gjøre at det er mye enklere for Forsvaret og partnere og leverandører å ha oversikt og kontroll.

Det siste er arkitektur. Virksomhetsarkitektur – en solid. helhetlig arkitektur – må være målbildet framover for å kunne styre dette på en god måte. Å styrke det med både kompetanse, styring og ressurser blir et avgjørende punkt for forsvarssektoren.»

Tidligere forsvarssjef admiral (P) Haakon Bruun-Hanssen sa følgende i høringen:

«De utfordringene innenfor operativ IKT som Riksrevisjonen peker på, er etter min vurdering et resultat av at Forsvaret ikke evnet å følge med i utviklingen innenfor IKT. Investeringsprosessene i Forsvaret gikk ikke raskt nok til å følge utviklingen innenfor datateknologi, og gapet i kompetansebehov bare økte som følge av manglende evne til å konkurrere om den arbeidskraften i et tøft marked. Opprettelsen av FMA i 2016 skapte uklare roller og ansvarsforhold i forsvarssektoren og bidro til at man ikke kom i gang raskt nok med å finne løsninger på de IKT-utfordringene som var avdekket.»

På spørsmål fra saksordfører Seher Aydar om hvorvidt forsvarssjefen i dag opplever å ha forutsetningene og myndigheten til å sikre Forsvaret effektive og sikre kommando- og kontrollinformasjonssystemer, svarte forsvarssjef general Eirik Kristoffersen:

«Det er et veldig godt spørsmål. Jeg har opplagt ansvaret, men myndigheten er ikke der ennå. Det snakkes om rolle, ansvar og myndighet. Jeg er ikke så opptatt av rolle. Jeg er opptatt av ansvar og myndighet. Jeg har fått ansvaret for dette i sektoren, men fortsatt rapporterer f.eks. Forsvarsmateriell i en annen kommandokjede enn det jeg gjør. Vi rapporterer begge som likeverdige etater, som også tidligere forsvarssjef påpekte, men der jobbes det med å finne løsninger som gjør at vi skal avklare dette.»

Komiteen viser til at tidligere forsvarsminister Ine Eriksen Søreide hadde den samme oppfatningen:

«Området har også vært gjenstand for uklare både rolle- og ansvarsforhold. Til dels har det vært gjennomført en god del omkamper oppigjennom, og det har vært liten evne til å fase ut gamle systemer når det har vært nødvendig, samtidig som man da har mange ulike systemer i bruk på samme tid. Ikke minst har investeringsprosessene vært for lange. Jeg syns egentlig tidligere forsvarssjef Bruun-Hanssen illustrerte det på en ganske god måte, hvordan overgangen i de operative miljøene har vært, fra teleks – litt billedlig forklart – og over til bilde og data.»

Eriksen Søreide uttalte følgende om hvilke tiltak som ble iverksatt:

«Man kan si at langtidsplanen 2017–2020 egentlig var det aller viktigste samledokumentet. Som Riksrevisjonen også påpeker i sin rapport, var IKT utpekt som et satsingsområde i LTP’en. Det handlet om penger, selvfølgelig, og om oppmerksomhet, men også om en erkjennelse av at det området ikke hadde vært godt nok håndtert gjennom lang tid. […]

Jeg tenker at det også kan være nyttig å bruke litt tid på etableringen av FMA, for det har vært et tilbakevendende tema her. Da tror jeg det er nyttig å ha med seg historien. FLO ble opprettet i 2002. FLO løste egentlig aldri de problemene FLO var ment å løse, til tross for gjentatte både omorganiseringer og endringer. […]

Noe av hovedutfordringen var at ansvars- og styringslinjene var for lange. […] Det var en veldig stor utfordring. som man så for seg å løse gjennom opprettelsen av FMA. Det betyr ikke at vi nødvendigvis hadde alt klart da FMA ble opprettet, i den forstand at alle grensesnitt var gått opp. Men det lå også i forutsetningene at det skulle gjøres.»

Komiteen viser til at daværende forsvarsminister Frank Bakke-Jensen den 27. mars 2019 godkjente hoveddokumentet «IKT-strategi for forsvarssektoren». I strategien gir departementet en analyse av nåsituasjonen og utfordringene og etablerer et målbilde med tilhørende tiltaksområder. Komiteen viser til at strategien er utformet for å møte utfordringsbildet som er erkjent i sektoren.

Komiteen viser til at det på IKT-området er mindre tydelige skiller mellom investering og drift enn det som er alminnelig innenfor tradisjonelle anskaffelser i forsvarssektoren. Forsvarsdepartementet skriver i IKT-strategien for forsvarssektoren under punkt 8.4 følgende:

«Det vil være viktig å forstå hvordan dagens prosesser, organisering og kultur knyttet til investeringer påvirker, og i noen tilfeller hindrer, innføring av ny teknologi. Dagens inndeling i drifts- og investeringsbudsjett, og hvordan IKT-prosjekter plasseres i de ulike kategoriene, er ikke hensiktsmessig. Inndelingen er ikke tilpasset den teknologiske endringstakten. Det er også lang ledetid ved gjennomføring av IKT-prosjekter. Dette forårsakes blant annet av lite smidig bruk av sektorens investeringsprosess, PRINSIX. Utprøvning av ny teknologi i forkant av investeringer blir viktigere fremover.»

Komiteen viser til at forsvarsministeren i sitt svar til Riksrevisjonen mener at strategien står seg som svært relevant i møte med Riksrevisjonens kritikk. Komiteen legger til grunn at Forsvarsdepartementet og forsvarssektoren sørger for at prosesser, organisering og kultur rundt investeringer og drift bidrar til at Forsvaret følger den teknologiske utviklingen på en måte som underbygger operativ evne.

Komiteen viser også til at IKT-strategiens strategiske mål om å være fremtidsrettet og nytenkende løfter frem kompetanse, kultur og styring. Riksrevisjonen har pekt på at mangel på kompetanse har medvirket til at forsvarssektoren ikke har klart å løse mange av utfordringene, og har anbefalt departementet å vurdere å rekruttere, utvikle og beholde nødvendig fagkompetanse på IKT-området. Komiteen understreker behovet for at Forsvaret, inkludert Forsvarets ledelse, er organisert på en måte som bygger kompetanse og kultur for å nå målsettingene fastsatt av Stortinget.

Komiteen viser til at forsvarsminister Bjørn Arild Gram i høringen pekte på at sektoren sliter med for utydelig ansvarsdeling og manglende gjennomføringsevne:

«Først til styringsutfordringene i sektoren. Jeg mener at dette går til kjernen også av det som Riksrevisjonen belyser i sin rapport. Etter en tid i Forsvarsdepartementet må jeg konstatere at sektoren sliter med for utydelig ansvarsdeling og manglende gjennomføringsevne. Dette har også konsekvenser for IKT-området. Innenfor rammen av regjeringens tillitsreform ønsker jeg å etablere en styringsmodell for forsvarssektoren som tydeligere plasserer ansvar og rydder opp i ansvarsdeling og grensesnitt mellom de ulike aktørene i sektoren.

Jeg registrerer at det i 2021 ble gitt et større ansvar til forsvarssjefen for den strategiske styringen av IKT-området. Hensikten var å forbedre integreringen av IKT-utviklingen i Forsvarets egen virksomhetsstyring. Gjennom nye retningslinjer for investeringer i forsvarssektoren fikk forsvarssjefen også en rolle som programeier for investeringstiltakene innenfor IKT. Jeg mener at det var en utvikling i riktig retning å gi forsvarssjefen rollen som premissgiver på IKT-området, men ikke tilstrekkelig. Det er behov for å gå enda mer grunnleggende til verks – derfor initiativet til å etablere en ny styringsmodell og rydde i grensesnitt. På IKT-området har ansvaret siden 2016 vært delt mellom Forsvaret ved Cyberforsvaret og Forsvarsmateriell. Det er mye som taler for at Forsvaret igjen skal få et mer helhetlig ansvar.»

Komiteen understreker behovet for å etablere en styringsmodell for forsvarssektoren med tydeligere ansvar og myndighet og at Forsvaret og forsvarssjefen gis et mer helhetlig ansvar.

Komiteen viser til at det innenfor IKT er særlig tette bånd mellom investering, drift og vedlikehold, noe som det også pekes på i IKT-strategien for forsvarssektoren av 27. mars 2019. Komiteen viser til at forsvarssjef general Eirik Kristoffersen uttalte følgende i høringen:

«Forsvarsmateriell har en tydelig rolle innenfor anskaffelse og avhending av materiell. Det som er utfordringen, er mellomfasen der vi skal drifte, forvalte og utvikle materiellet og IKT-en. Der mener jeg det er potensial for at Forsvaret får en tydeligere rolle.»

Sjef Cyberforsvaret Halvor Johansen sa følgende til komiteen i høringen:

«Det har blitt berørt av både tidligere og nåværende forsvarssjef, så jeg skal ikke gjenta det, men det jeg kanskje vil trekke fram, er den kompleksiteten innenfor IKT-områder som gjør at prosessene må være veldig tett koordinert og godt samordnet for at det skal fungere.

Utviklingen innenfor IKT går veldig fort, og vi er svært avhengig av at utvikling, drift og vedlikehold samordnes og koordineres på en veldig god måte.»

Komiteen merker seg at Forsvarsdepartementet i Meld. St. 10 (2021–2022) Prioriterte endringer, status og tiltak i forsvarssektoren har understreket at risikoen for forsinkelser i IKT-investeringene fremdeles er høy:

«IKT-området i sektoren er preget av utvikling og omfattende satsinger. Regjeringen vurderer at risikoen for forsinkelser i IKT-investeringene fremdeles er høy. Eventuelle forsinkelser vil kunne ha vesentlig negativ effekt på operativ evne, herunder kommando- og kontrollsystemer.»

Det er vesentlig risiko knyttet til den pågående IKT-satsingen i Mime og MAST

Komiteen viser til at statsråden i sitt svar til Riksrevisjonen fremhever virksomhetsprogrammene Mime, som skal modernisere Forsvarets kampnære IKT, og MAST, som skal modernisere Forsvarets IKT-plattformer og gi dem tilgang på skytjenester, som løsningen på flere av manglene som Riksrevisjonen påpeker. Begge programmene hviler på strategiske samarbeid, hvor oppgaver innen drift, forvaltning og vedlikehold overdras til sivile leverandører.

Komiteen viser til at sentrale spørsmål rundt programmene ikke er avklart, og at dette utgjør en risiko for ytterligere forsinkelser og manglende gevinstrealisering i programmene. Komiteen viser videre til følgende uttalelse i Riksrevisjonens oppsummering:

«Beslutningen om å gå i dialog om strategisk partnerskap med sivile leverandører før de folkerettslige konsekvensene av det planlagte samarbeidet er avklart medfører risiko for at forhandlinger og eventuelle avtaler ikke reflekterer det reelle handlingsrommet og behovet i sektoren.»

Komiteen deler Riksrevisjonens vurdering av at en folkerettslig avklaring er nødvendig for å kunne fastsette de sivile leverandørenes forpliktelser overfor Forsvaret ved krise og krig og dermed Forsvarets tilgang på nødvendig IKT-støtte. Komiteen imøteser en slik avklaring fra regjeringen.

Komiteen viser til at programorganisasjonen for Mime og MAST så sent som ett år etter den formelle oppstarten av Mime ga uttrykk til Riksrevisjonen for at den mangler verktøyene som trengs for å gjennomføre programmet som forutsatt.

Komiteen viser videre til at Forsvaret har besluttet å avlyse konkurransen om strategisk partnerskap sett i lys av nye vurderinger, som opplyst om i forsvarsministerens brev til komiteen av 24. februar 2023.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Senterpartiet, Sosialistisk Venstreparti, Rødt og Venstre viser til at forsvarsministeren fastslår at målsettingene knyttet til MAST ligger fast. Forsvarsministeren skriver:

«Dialogen med leverandørene og nye vurderinger har ført til flere justeringer av både innhold og omfang. Nye risikovurderinger også i lys av den sikkerhetspolitiske situasjonen gjør at Forsvarets vurdering nå er at det ikke skal gjennomføres en driftsoverføring av dagens systemer og tjenester. Forsvaret har opplyst at samlet er endringene så store at de går ut over de rammene som er satt for konkurransen og at anskaffelsen derfor nå er avlyst.»

Et annet flertall, medlemmene fra Arbeiderpartiet, Senterpartiet, Sosialistisk Venstreparti og Rødt, har tillit til at Forsvaret her har gjort en klok vurdering, og understreker viktigheten av forsvarsministerens siste setning:

«Ambisjonene knyttet til MAST ligger fast og jeg forventer at Forsvaret leverer på målene i programmet.»

Komiteen noterer seg at Riksrevisjonen mener at funnene i undersøkelsen er av en slik alvorlighetsgrad at Riksrevisjonen vil følge opp undersøkelsen, herunder Mime og MAST, ett til to år etter Stortingets behandling.

Riksrevisjonen anbefaler at Forsvarsdepartementet

  • følger opp arbeidet med å få en fullstendig oversikt over informasjonssystemer i Forsvaret, og at denne blir brukt som grunnlag for Forsvarets styring og investeringer på IKT-området

  • sørger for at Forsvaret og Forsvarsmateriell intensiverer arbeidet med variantbegrensning av Forsvarets informasjonssystemer

  • i dialog med Forsvaret og Forsvarsmateriell sikrer løsninger for kommunikasjon og informasjonsutveksling som raskere gir full utnyttelse av kapasiteter ved anskaffelser av nytt materiell

  • følger opp at sikkerhetsstyringen styrkes og at informasjonssikkerheten ivaretas i nye og eksisterende informasjonssystemer i Forsvaret

  • styrker Forsvarets evne til å oppdage og stanse digitale angrep

  • sørger for at Forsvarsmateriell og Forsvaret ivaretar nødvendig framdrift og gevinstrealisering i programmene Mime og MAST

  • følger opp arbeidet med å avklare ansvaret mellom etatene i forsvarssektoren

  • vurderer ytterligere tiltak for å rekruttere, utvikle og beholde nødvendig fagkompetanse på IKT-området i forsvarssektoren

Komiteen slutter seg til Riksrevisjonens anbefalinger, men registrerer at spørsmålet om framdrift og gevinstrealisering i Mime og MAST berører politiske spørsmål om hvordan disse programmene er organisert, som partigruppene har delte meninger om.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Senterpartiet, Fremskrittspartiet og Venstre, viser til at Svendsen-utvalget la frem sin rapport «Økt evne til å kombinere menneske og teknologi – Veier mot et høyteknologisk forsvar» 24. juni 2020. Utvalget peker på utfordringer ved dagens system og kommer med en nåtidsbeskrivelse. I tillegg kommer de med en rekke anbefalinger om hvordan Forsvaret, Forsvarsmateriell og resten av forsvarsorganisasjonen bør utvikles. Flertallet viser til at en del av utvalgets observasjoner og anbefalinger er relevante for den videre oppfølgingen av Riksrevisjonens rapport og for Forsvarets informasjonssystemer for kommunikasjon og informasjonsutveksling i operasjoner.

På lik linje med Riksrevisjonen anbefaler utvalget å øke tilgangen på relevant kompetanse og styrke insentiver for å beholde kompetansen. Stortinget har, som påpekt av Riksrevisjonen, sluttet seg til at personellet er en avgjørende innsatsfaktor for forsvarssektoren, og at sektoren må ha evne til å rekruttere, anvende, beholde og utvikle den kompetansen den trenger. Riksrevisjonen merket seg at Svendsen-utvalget påpekte at Forsvaret ikke hadde klart å henge med i utviklingen eller evnet å omstille seg i takt med behovet for ny kompetanse for å utnytte teknologien og møte den økende trusselen i det digitale rom. Riksrevisjonen omtalte dette som bekymringsfullt.

Komiteens medlemmer fra Sosialistisk Venstreparti og Rødt viser til at både forbundsleder Torbjørn Bongo fra Norges offisers- og spesialistforbund og leder Jens Bernhard Jahren fra Befalets Fellesorganisasjon i omtalen av programmet MAST i høringen understreket at driftsansvaret ikke bør overlates til strategiske samarbeidspartnere.

I høringen uttalte Bongo følgende:

«Det jeg er mest kritisk til, er at vi eventuelt skal outsource driftsansvaret fra Forsvaret og over til en privat aktør. Det mener jeg vi ikke skal gjøre. De må gjerne støtte oss i å utvikle, ta i bruk og videreutvikle teknologien, men selve driftsansvaret bør forbli hos Forsvaret […] Det som er viktigst med MAST nå, er at vi sørger for at driftsansvaret forblir i forsvarssektoren.»

Jahren uttalte følgende i høringen:

«Vi mener det er viktig at det forblir et strategisk partnerskap, og at man ikke f. eks. overtar driftsoppgaver. For idet man begynner å overta for mange driftsoppgaver, får man veldig lett bindinger hvor det etter hvert er nesten umulig å komme seg ut, og da blir det noe annet enn det som var tenkt.»

Disse medlemmer forventer at forsvarsministeren sørger for at de tillitsvalgtes oppfordring blir tatt til følge i programmene MAST og Mime.

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Venstre har den bestemte mening at Forsvaret ikke vil evne å realisere effektive og sikre informasjonssystemer som understøtter Forsvarets operative evne uten å benytte seg av strategisk partnerskap med privat næringsliv. Det er hverken realistisk eller ønskelig at Forsvaret skal bygge kompetanse på et høyt nok nivå – kvalitativt eller kvantitativt – internt i egen organisasjon. Det er derimot både en ønskelig og realistisk forventning at Forsvaret skal evne å forvalte samarbeid med privat næringsliv på en forutsigbar, effektiv og tillitvekkende måte.

Komiteens medlem fra Venstre mener at både Riksrevisjonens rapport og informasjonen om Forsvaret og Forsvarsmateriells avlysing av MAST-programmet vitner om at forsvarssektoren ikke lever opp til disse forventningene.

Dette medlem registrerer at det i Riksrevisjonens rapport benyttes en noe uklar ordlyd i omtalen av Forsvarets evne til å oppdage og håndtere digitale angrep. Det skrives at «Riksrevisjonen mener det er alvorlig at Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset ved et forhøyet trusselnivå». Basert på Riksrevisjonens øvrige redegjørelse legger dette medlem til grunn at Riksrevisjonen i hovedsak refererer til Forsvarets evne til å oppdage og håndtere digitale angrep mot egne datasystemer og egen infrastruktur. Dette medlem mener like fullt at påstanden kan leses som at Forsvaret har begrenset evne til å håndtere digitale angrep mot norske mål som sådan, enten de befinner seg på sivile eller militære datasystemer og infrastruktur. Dette er imidlertid et arbeid som både privat næringsliv, sivile offentlige aktører og deler av Forsvaret som ikke er vurdert i Riksrevisjonens rapport, har sentrale roller i. Dette medlem vil understreke at dette medlem i alle tilfeller deler Riksrevisjonens kritikk på dette punkt.