Nyheter

LA FREM FUNN: Riksrevisor Karl Eirik Schjøtt-Pedersen la i dag frem Riksrevisjonens nyeste undersøkelse av Forsvaret.

Riksrevisjonen: – Kan få store konsekvenser for rikets sikkerhet

Vi har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner. Det er sårbarheter i sikkerheten og systemene fungerer for dårlig sammen, skriver Riksrevisjonen på sine nettsider.

Publisert Sist oppdatert

Denne artikkelen er over to år gammel og kan inneholde utdatert informasjon.

«Dette er en av de mest alvorlige rapportene Riksrevisjonen har lagt frem. Begrunnelsen er at svakhetene kan få store konsekvenser for rikets sikkerhet», skriver Riksrevisjonen.

Tips oss:

Har du tips eller innspill til denne eller andre saker? Send oss en e-post på: tips@fofo.no eller ta direkte kontakt med en av journalistene.

Riksrevisor Karl Eirik Schjøtt-Pedersen la tirsdag frem Riksrevisjonens nyeste undersøkelse av Forsvaret. Der har de sett på Forsvarets informasjonssystemer for kommunikasjon og informasjonsutveksling i operasjoner.

Schjøtt-Pedersen er ikke nådig i sin kritikk.

– Informasjonssystemene har mangler, både når det gjelder samvirke og når det gjelder sikkerhet, sa han på pressekonferansen.

– Det betyr at vi er mer utsatt for angrep mot de IKT-systemene som Forsvaret bruker i operasjoner og at vår evne til å handle sammen er svakere enn den burde vært, sier riksrevisoren til Forsvarets forum.

– Og i praksis, hvordan påvirker dette Norges forsvarsevne?

– Dette er funn som viser sårbarhet, som gjør at vi kan være utsatt for hendelser som vil ha betydning for rikets sikkerhet.

Mangler kompetanse

Selve rapporten er sikkerhetsgradert til «konfidensielt», men det er laget en ugradert versjon av det Riksrevisjonen kaller Dokument 3:3.

Det legges vekt på at systemene Forsvaret og sektoren bruker, må kunne fungere sammen. Det avhenger ogmså av en infrastruktur som gjør det mulig å overføre data mellom systemer. Forsvarets kommunikasjonsinfrastruktur består av kjernenett, aksessnett, radionett og mobile og deployerbare kommunikasjonsløsninger, skriver Riksrevisjonen.

Disse må beskyttes mot tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, sånn som sabotasje, terror eller spionasje.

ALVORLIG: Dette er en av de mest alvorlige rapportene Riksrevisjonen har lagt frem, sa Karl Eirik Schjøtt-Pedersen på pressekonferansen.

I konklusjonen av rapporten står det at:

  • Mangler i samvirket mellom Forsvarets kommando- og kontrollinformasjonssystemer kan påvirke Forsvarets operative evne.
  • Sårbarheter i sikkerheten i Forsvaretss kommando- og kontrollinformasjonssystemer gir risiko for svekket operativ evne.
  • Forsvarsdepartementet har over tid ikke greid å realisere effektive og sikre informasjonssystemer som understøtter Forsvarets operative evne.

– Hvordan forsvaret har endt opp i denne situasjonen?

– Dette er et meget vesentlig spørsmål som jeg må si at jeg også har stilt meg. For det første så kan vi stille spørsmål ved hvordan endte vi opp i denne situasjonen når det gjelder de IKT-systemene vi bruker under operasjoner. Og det vi ser, er at her er det manglende oversikt over egne systemer i Forsvaret. For det andre så er det uklare ansvarsforhold, selv om forsvarsdepartementet mener å ha forsøkt å avklare det, så ser vi at det forholdet med Forsvarsmateriell har uklare ansvarsforhold . Det tredje er at det er svakheter knyttet til styringen på alle nivåer. Og vi ser at det er mangel på kompetanse, også på alle nivåer, sier Schjøtt-Pedersen.

– Når det gjelder ressurser, har man satset for lite på dette?

– Ressurser kan være så mangt, men hvis du spør om økonomi, så er svaret mitt at det er ikke åpenbart at det er økonomi som er viktig her. Men ressurser i betydningen av personell med den kompetansen, det er helt åpenbart at vi ikke har hatt nok av.

Mange systemer

Forsvaret har ikke utfordringer med å løse oppdraget i daglige operasjoner, men manglene som pekes øker risikoen for at effektiviteten blir redusert og de kan få betydning ved økt konfliktnivå dersom tid er av avgjørende betydning, står det i dokumentet.

Forsvaret har dessuten et høyt antall informasjonssystemer med ulike tekniske løsninger. Det bidrar til å gjøre samvirket vanskelig, og er ressurskrevende med tanke på forvaltning og drift, står det i dokumentet. Videre står det at det lenge har vært et mål å kutte ned på antall systemer, men at Forsvaret ikke har lykkes med det i tilstrekkelig grad. Dette begrunnes med at noen av dem ikke kan fjernes uten erstatning og at enkelte fagmiljøer har ønsket å beholde sine løsninger.

Det er etter Riksrevisjonens vurdering sterkt kritikkverdig at Forsvaret i liten grad har greid å begrense antall systemer, når dette i lang tid har vært et mål, står det i dokumentet.

Riksrevisjonens begreper for kritikk:

Rangeringen går etter høyest alvorlighetsgrad.

  • Svært alvorlig brukes ved forhold der konsekvensene for samfunnet eller berørte borgere er svært alvorlige, for eksempel risiko for liv eller helse.
  • Alvorlig benyttes ved forhold som kan ha betydelige konsekvenser for samfunnet eller berørte borgere, eller der summen av feil og mangler er så stor at dette må anses som alvorlig i seg selv.
  • Sterkt kritikkverdig angir forhold som har mindre alvorlige konsekvenser, men gjelder saker med prinsipiell eller stor betydning.
  • Kritikkverdig brukes for å karakterisere mangelfull forvaltning der konsekvensene ikke nødvendigvis er alvorlige. Dette kan gjelde feil og mangler som har økonomiske konsekvenser, overtredelse av regelverk eller saker som er tatt opp tidligere og som fortsatt ikke er rettet opp.

Systemer uten sikkerhetsgodkjenning

I det ugraderte dokumentet gjennomgås en rekke elementer i Forsvarets informasjonssystemer. Ett av elementene beskrives slik:

«Undersøkelsen viser at Forsvaret har tatt i bruk systemer som ikke tilfredsstiller sikkerhetslovens krav til godkjenning. Den viser også at Forsvaret i enkelte tilfeller har latt hensynet til operative behov veie tyngre enn risikoen ved å bruke systemer uten sikkerhetsgodkjenning.»

FØLGER OPP: Riksrevisor Karl Eirik Schjøtt-Pedersen vil følge opp rapporten etter ett til to år, raskere enn hva som er vanlig for Riksrevisjonen.

Sikkerhetslovens krav skal sikre at skjermingsverdig informasjon ikke blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig, står det i dokumentet. Forsvarets manglende etterlevelse av sikkerhetslovens krav vil kunne få store konsekvenser både i fred, krise og krig. Riksrevisjonen mener dette er alvorlig.

Riksrevisjonen mener også at det er alvorlig at Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset ved et forhøyet trusselnivå.

Undersøkte ikke E-tjenesten

Riksrevisjonen har undersøkt informasjonssystemene Forsvaret bruker i operasjoner og spurte i sin undersøkelse; er systemene sikre og fungerer de effektivt? Riksrevisjonen skriver at dette er en viktig undersøkelse fordi disse systemene er avgjørende for Forsvarets operative evne og Norges sikkerhet.

Undersøkelsen har omfattet Forsvaret og Forsvarsmateriell, men ikke Etterretningstjenesten og Forsvarets spesialstyrker.

– Det er alltid det spørsmålet om hvor mye ressurser du har til disposisjon og hva man finner mest naturlig å gå inn på. Vi vurderer det ut fra hvor vi mener risikoen er størst og hvor vi mener de mest vesentlige sakene kan være, sier Schjøtt-Pedersen.

I dokumentet fra Riksrevisjonen har statsråden i Forsvarsdepartementet fått anledning til å komme med sitt svar. Dessuten er det vedlagt et brev fra forsvarsminister Bjørn Arild Gram (Sp).

«Statsråden deler Riksrevisjonens oppfatning av at situasjonen er alvorlig og bemerker at oppfølgingen av tiltakene som er beskrevet i det foregående, vil ha høy prioritet både i Forsvarsdepartementet, Forsvaret og Forsvarsmateriell.»

Vanligvis følger Riksrevisjonen opp sine rapporter etter tre år. Schjøtt-Pedersen sier at situasjonen i Forsvaret er så alvorlig at de vil følge opp dette allerede etter ett til to år.

– Jeg forventer at de da har foretatt de grep som er nødvendig for å komme på rett spor, sier han.

Anbefalinger til Forsvarsdepartementet

  • Følger opp arbeidet med å få en fullstendig oversikt over informasjonssystemer i Forsvaret, og at denne blir brukt som grunnlag for Forsvarets styring og investeringer på IKT-området
  • Sørger for at Forsvaret og Forsvarsmateriell intensiverer arbeidet med variantbegrensning av Forsvarets informasjonssystemer
  • I dialog med Forsvaret og Forsvarsmateriell sikrer løsninger for kommunikasjon og informasjonsutveksling som raskere gir full utnyttelse av kapasiteter ved anskaffelser av nytt materiell
  • Følger opp at sikkerhetsstyringen styrkes og at informasjonssikkerheten ivaretas i nye og eksisterende informasjonssystemer i Forsvaret
  • Styrker Forsvarets evne til oppdage og stanse digitale angrep
  • Sørger for at Forsvarsmateriell og Forsvaret ivaretar nødvendig framdrift og gevinstrealisering i programmene Mime og MAST
  • Følger opp arbeidet med å avklare ansvaret mellom etatene i forsvarssektoren
  • Vurderer ytterligere tiltak for å rekruttere, utvikle og beholde nødvendig fagkompetanse på IKT-området i forsvarssektoren
Powered by Labrador CMS