2.3 Om Riksrevisjonens anbefalinger
Komiteen viser videre til
Riksrevisjonens anbefalinger:
«Riksrevisjonen
anbefaler at Justis- og beredskapsdepartementet
-
tar en tydeligere
samordnings- og pådriverrolle for nasjonal digital sikkerhet i sivil
sektor
-
sørger for at Nasjonal
sikkerhetsmyndighet i samarbeid med de andre veiledningsaktørene
gjør veiledningen på det digitale sikkerhetsområdet mer samordnet
og tilgjengelig
-
sørger for bedre
utnyttelse og koordinering av de etablerte arenaene for samordning
-
gjennom pådriverrollen
bidrar til at alle departementer har tilstrekkelig framdrift i arbeidet
som følger av ny sikkerhetslov
-
sikrer et bedre
kildegrunnlag for å holde oversikt over den nasjonale digitale sikkerhetstilstanden
-
sørger for bedre
informasjon om resultater av iverksatte tiltak for å kunne vurdere
behovet for endringer og nye tiltak på det digitale sikkerhetsområdet
-
styrker arbeidet
med å avdekke, håndtere og koordinere innsatsen mot alvorlige digitale
hendelser»
Komiteen slutter seg til Riksrevisjonens
anbefalinger.
Komiteen viser videre til,
og tar til etterretning, statsrådens svar om at anbefalingene vil
bli fulgt opp i samhandling med andre departementer.
Komiteens medlemmer
fra Arbeiderpartiet og Senterpartiet viser til at Riksrevisjonen
i over 15 år har rapportert om utfordringer med digital sikkerhet
i sivil sektor, både i den årlige kontrollen med forvaltningen av
statlige selskaper, i den årlige revisjon og kontroll og i egne
rapporter. Sårbarheter i samfunnskritiske systemer og svakheter
i virksomheters og foretaks styring av digital sikkerhet har vært løftet
fram. Disse medlemmer påpeker
at i oppfølgingen av Riksrevisjonens anbefalinger om samordning av
digital sikkerhet bør en helhetlig tilnærming til bedret sikkerhet
og samordning av arbeidet legges til grunn. Disse medlemmer ser, i henhold
til statsrådens svarbrev til Riksrevisjonen, at viktige grep er
gjort etter avslutningen av undersøkelsesperioden, men at arbeidet
vil ta tid.
Komiteens medlemmer
fra Rødt og Venstre er kjent med at det digitale sikkerhetsarbeidet over
tid ikke har vært tilstrekkelig i Norge. Disse medlemmer mener like
fullt det er nødvendig å understreke at vi nå befinner oss i en
svært usikker sikkerhetspolitisk situasjon med et forhøyet konfliktnivå
og økende ustabilitet. Samtidig foregår det et teknologikappløp
mellom verdens maktsentra. På denne bakgrunn mener disse medlemmer at rapportens
funn, konklusjoner og anbefalinger må tas på største alvor og føre
til umiddelbare tiltak for forbedring. Disse medlemmer mener man må
legge til grunn at sivil norsk infrastruktur og tjenester også vil
bli utsatt for digitale angrep i en krise- eller krigssituasjon,
og Riksrevisjonens rapport beskriver for alle praktiske formål en
vesentlig komponent av Norges totalforsvar. I den forbindelse imøteser disse medlemmer de
rapportene som denne våren kommer fra Forsvarskommisjonen og Totalberedskapskommisjonen, og
påfølgende offentlig debatt om hvordan vi best skaper digital sikkerhet
i sivil sektor.
Disse medlemmer viser til
at ansvarsprinsippet, som sier at «den organisasjon som har ansvar
for et fagområde i en normalsituasjon, også har ansvaret for nødvendige
beredskapsforberedelser og for å håndtere ekstraordinære hendelser
på området», er ett av fire prinsipper som ligger til grunn for
sikkerhets- og beredskapsarbeid. Dette er et prinsipp som disse medlemmer støtter.
Men disse medlemmer mener
at ansvarsprinsippet må være uløselig knyttet sammen med samordningsansvaret
til Justis- og beredskapsdepartementet for at det nasjonale sikkerhets-
og beredskapsarbeidet skal fungere. Den enkelte virksomhet settes
bare i stand til å håndtere egen sikkerhet hvis den får tilstrekkelig
informasjon om de til enhver tid gjeldende truslene den skal beskytte
seg mot, fra sentrale myndigheter. Av naturlige årsaker er mye av
informasjonen om trusselbildet for Norge ikke offentlig tilgjengelig.
Men all den tid det daglige sikkerhetsarbeidet er, og må være, delegert
til den enkelte virksomhet etter ansvarsprinsippet, er disse medlemmer av
den bestemte oppfatning at sentrale myndigheter må tilstrebe løpende, rettidig
og åpen informasjonsdeling i henhold til etablerte sikkerhetsprotokoller
og andre rutiner. Åpenhet er også beredskap. For det andre mener disse medlemmer at
nasjonal sikkerhet bare kan ivaretas dersom den enkelte virksomhets
sikkerhetsarbeid ses i sammenheng av et samordningsorgan, en rolle
som Justis- og beredskapsdepartementet er utpekt til å ha. Av den grunn
er disse medlemmer skuffet
over at det kommer fram av Riksrevisjonens rapport at Justis- og
beredskapsdepartementet ikke har ivaretatt samordnings- og pådriveransvaret
godt nok. Samtidig vil disse
medlemmer understreke at det er positivt at Riksrevisjonen
finner at Nasjonalt cybersikkerhetssenter (NSCS) er en velfungerende
samordningsarena innen forebyggende sikkerhetsarbeid.
Disse medlemmer registrerer
like fullt at representanter for kommunesektoren opplever det vanskelig å
komme i kontakt med Nasjonalt cybersikkerhetssenter. Kommunesektoren
understøtter flere kritiske samfunnsfunksjoner, og tjenestebortfall
vil ramme offentlig tjenesteyting og enkeltmennesker i sårbare situasjoner. Løsepengevirusangrepet
mot Østre Toten i 2021 førte for eksempel til at sosialhjelpsmottakere
har vært nødt til å søke på nytt, og kommunen var uten datasystemer
i en måned etter hendelsen. I tillegg kom personsensitiv informasjon
på avveie. Totalt kostet angrepet kommunen minst 32 mill. kroner,
i tillegg til bot fra Datatilsynet på 4 mill. kroner. Av dette har
igjen staten kompensert Østre Toten med 16 mill. kroner. Disse medlemmer hadde
forventet at man etter denne hendelsen hadde sørget for at det eksisterte
forutsigbare og robuste kommunikasjonslinjer til kommunesektoren.