Komiteen, medlemmene fra
Arbeiderpartiet, Kari Henriksen, Frode Jacobsen og Kirsti Leirtrø,
fra Høyre, lederen Peter Frølich og Svein Harberg, fra Senterpartiet,
Nils T. Bjørke, fra Fremskrittspartiet, Carl I. Hagen, fra Sosialistisk
Venstreparti, Audun Lysbakken, fra Rødt, Seher Aydar, fra Venstre,
Grunde Almeland, og fra Miljøpartiet De Grønne, Lan Marie Nguyen Berg,
viser til Dokument 3:11 (2023–2024) Informasjonssikkerhet i forskning
innenfor kunnskapssektoren.
Komiteen viser til
Riksrevisjonens konklusjoner:
«Forskningsdata i forskningsinstitusjonene
under Kunnskapsdepartementet er ikke i tilstrekkelig grad sikret
mot dataangrep.[...]
Virksomhetene har i stor grad lagt rammene for informasjonssikkerhetsarbeidet,
men oppnår ikke ønsket sikkerhetsnivå på grunn av mangler i gjennomføringen
Kunnskapsdepartementet har justert virkemiddelbruken
de siste årene, men det er en del utfordringer i sektoren som dagens
virkemidler ikke treffer.[...]
Kunnskapsdepartementet får lite informasjon
om den reelle sikkerhetstilstanden i sektoren og risikoreduserende
tiltak som er besluttet på sektornivå, blir ikke fulgt opp»
Komiteen slutter
seg til Riksrevisjonens konklusjoner.
Komiteen viser til
Riksrevisjonens overordnede vurdering:
«Det er kritikkverdig at forskningsdata
i virksomheter under Kunnskapsdepartementet ikke er i tilstrekkelig
sikret mot dataangrep, gitt kravene i lovverket og de mulige konsekvensene
av at sensitive data kommer på avveier.
Virksomhetene har ikke god nok oversikt over forskningsdata
som trenger beskyttelse. Dette er ikke tilfredsstillende.
Tross forbedringer i undersøkelsesperioden,
arbeider mange virksomheter i for liten grad systematisk med informasjonssikkerhet,
og styrene i virksomhetene fyller ikke i stor nok grad rollen de
skal ha. Dette er ikke tilfredsstillende
Kunnskapsdepartementet har gjennomført flere tiltak
i perioden 2019–2022 som blant annet har ført til økt oppmerksomhet
om informasjonssikkerhet i virksomhetene. Samtidig er det ikke tilfredsstillende
at virkemidlene i for liten grad treffer virksomhetene som har størst
behov for støtte.
Det er ikke tilfredsstillende at departementet
får lite informasjon om den reelle sikkerhetstilstanden i sektoren,
og at risikoreduserende tiltak ikke blir fulgt opp.»
Komiteen slutter
seg til Riksrevisjonens kritikk.
Komiteen viser videre
til Riksrevisjonens anbefalinger:
«Riksrevisjonen anbefaler at Kunnskapsdepartementet
-
avklarer samarbeidet
mellom departementet, HK-dir og Sikt om informasjonssikkerhet, og
avklarer hva NOKUTs rolle skal være.
-
gjennomgår virkemiddelbruken og vurderer
tiltak som i større grad treffer forskningsvirksomhetene som har
størst behov for støtte.
-
sikrer et godt informasjonsgrunnlag om
sikkerhetstilstanden og verdiene i sektoren, og følger opp at risikoreduserende
tiltak på sektornivå blir gjennomført.
-
påser at forskningsvirksomhetene
-
sørger for at ledelsessystem
for informasjonssikkerhet blir implementert fullt ut slik at styret og
toppledelse har oversikt over sikkerhetstilstanden, kan sikre at
besluttede tiltak gjennomføres og at tiltakene faktisk forbedrer
sikkerheten slik som forutsatt.
-
sørger for bedre oversikt over forskningsdata som
skal beskyttes
-
iverksetter tekniske og organisatoriske
sikkerhetstiltak som de anser nødvendige, for å redusere risikoen
for at dataangrep lykkes.»
Komiteen slutter
seg til Riksrevisjonens anbefalinger.
Komiteen registrerer
videre at statsråden mener Riksrevisjonens rapport vil være nyttig
for departementets og sektorens videre arbeid på dette feltet.