Informasjonssikkerhet – fagregnskap

Digdir jobber for å styrke forvaltningens evne til å arbeide systematisk med informasjonssikkerhet. I 2021 publiserte vi, sammen med andre, ny veiledning til forvaltningen. Vi avsluttet med dette oppfølgingen av kartleggingen vi gjorde av informasjonssikkerhet i 2018, samt tiltakene Digitaliseringsdirektoratet hadde ansvar for i kartleggingen fra 2020 av arbeidet med informasjonssikkerhet i kommuner og fylkeskommuner. Kommunal sektor henger fortsatt etter statlig sektor i arbeidet med informasjonssikkerhet, og vi vil i 2022 fokusere spesielt på tiltak som kan styrke sikkerheten i kommunene.

På denne siden

    Samfunnet digitaliseres, og stadig mer data deles mellom virksomheter. Sikker og god forvaltning av informasjon er avgjørende for tilliten til forvaltningen. eForvaltningsforskriften pålegger virksomhetene å arbeide systematisk og målrettet med styring og kontroll av informasjonssikkerheten. Uten tilstrekkelig informasjonssikkerhet lykkes ikke offentlig sektor med digital transformasjon.

    Digdir er statens kompetansemiljø for informasjonssikkerhet, for stat og kommune. Vi gir anbefalinger til forvaltningen om styring og kontroll på informasjonssikkerhetsområdet, jf. eForvaltningsforskriften § 15 annet ledd. Vi jobber for å styrke og gjøre arbeidet med informasjonssikkerhet i forvaltningen helhetlig og mer systematisk gjennom å gi råd, veiledning og anbefalinger til virksomhetene. Vår oppgave er primært å være en pådriver og premissgiver for å sikre tilstrekkelig informasjonssikkerhet i forvaltningen.

    Mål

    Den overordnede visjonen for fagområdet er «styrket informasjonssikkerhet i offentlig sektor». For å nå denne visjonen arbeidet Digdir mot følgende mål i 2021:

    1. Virksomhetene i offentlig sektor får et samordnet og helhetlig tilbud om veiledning innen digital sikkerhet, og forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet og mottar nødvendig veiledning.
    2. Vi styrker arbeidet med veiledning til kommunal sektor.

    Resultater: "Status for informasjonssikkerheten i forvaltningen"

    SSBs statistikk, "Bruk av IKT i offentlig sektor", viser utviklingen av informasjonssikkerhet i statlige, fylkeskommunale og kommunale virksomheter. SSBs tabell 12042 tar spesifikt for seg tiltak knyttet til internkontroll av informasjonssikkerhet.

    På de fleste områder ser vi en svak forbedring av internkontrollen fra 2020 til 2021, men en negativ utvikling innen enkelte parametere. Vi har ikke konkrete målinger som forklarer denne utviklingen. Den tydeligste økningen ser vi innen kategorien sikkerhetstiltak. Dette kan mulig forklares av økt fokus i media og hendelser som viser betydningen av konkrete sikkerhetstiltak. Kommunene skårer likevel vesentlig lavere enn statsforvaltningen på alle spørsmålene.

    SSB-tabell 12042: Tiltak som del av internkontroll for informasjonssikkerhet, etter forvaltningsnivå, statistikkvariabel og år

    Evaluert, forbedret eller fornyet styringssystemet for informasjonssikkerhet
    2018 2019 2020 2021
    Statlige virksomheter 81,7 % 86,3 % 82,2 % 81,1 %
    Fylkeskommuner 87,5 % 75,0 % - 70,0 %
    Kommuner 52,3 % 64,4 % 61,2 % 62,4 %
    Etablert nye sikkerhetstiltak
    2018 2019 2020 2021
    Statlige virksomheter 85,1 % 86,3 % 84,9 % 90,3 %
    Fylkeskommuner 81,3 % 93,8 % - 100,0 %
    Kommuner 63,9 % 75,2 % 74,5 % 80,9 %
    Forbedret eller fjernet sikkerhetstiltak
    2018 2019 2020 2021
    Statlige virksomheter 83,2 % 89,6 % 86,8 % 88,9 %
    Fylkeskommuner 87,5 % 87,5 % - 90,0 %
    Kommuner 64,2 % 76,2 % 72,9 % 80,1 %
    Rapportert erfaringer fra håndtering av uønskede hendelser til bruk i risikovurderinger og/eller forbedring av informasjonssikkerheten
    2018 2019 2020 2021
    Statlige virksomheter 66,8 % 75,4 % 68,5 % 72,8 %
    Fylkeskommuner 68,8 % 75,0 % - 80,0 %
    Kommuner 49,6 % 53,6 % 54,8 % 59,5 %
    Rapportert erfaringer fra øvelser til bruk i risikovurderinger og/eller forbedring av informasjonssikkerheten
    2018 2019 2020 2021
    Statlige virksomheter 49,5 % 60,7 % 58,0 % 55,3 %
    Fylkeskommuner 37,5 % 31,3 % - 20,0 %
    Kommuner 22,5 % 26,8 % 25,8 % 28,5 %

    Mål 1: Virksomhetene i offentlig sektor får et samordnet og helhetlig tilbud om veiledning innen digital sikkerhet, og forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet og mottar nødvendig veiledning

    Vi samarbeidet med DFØ, DSB, NorSIS og NSM om å utvikle veiledning som skaper et mer samordnet og helhetlig tilbud til virksomhetene i offentlig sektor. I delprosjektet "Styring og kontroll" har vi særlig arbeidet med å vise sammenhenger gjennom ny veiledning i helhetlig styring og kontroll og skape samarbeidsforum for veiledningsaktørene. I dette samarbeidsforumet utarbeidet vi også retningslinjer for samordning av veiledning i 2021.

    Det ble i løpet av 2021 avholdt 2 møter i "Nettverk for veiledningsaktører innen styring og kontroll". Formålet med nettverket er å bidra til helhetlig styring og kontroll til de virksomhetene vi veileder.

    Mål 2: Vi styrker arbeidet med veiledning til kommunal sektor

    "Nasjonal strategi for digital sikkerhet" medførte at ansvarsområdet til Digdir ble utvidet slik at vi også skal være en pådriver mot kommunene. I 2021 utarbeidet vi kurs som særlig rettet seg mot kommuner, om hjelp til innføring av styringssystem i virksomhetene. Dette arbeidet fortsetter i 2022.

    Utfordringer

    Forvaltningen deler mer data og informasjonsbehandlingen blir stadig viktigere for at virksomhetene skal nå sine mål. Informasjonssikkerheten blir derfor enda viktigere fremover. Konkrete hendelser viser også hvor viktig arbeidet med informasjonssikkerhet er. I 2021 har vi opplevd flere informasjonssikkerhetshendelser i forvaltningen. Blant annet viser flere tilfeller av digital utpressing (løsepengeangrep) at brudd på informasjonssikkerhet kan ha direkte konsekvenser for forvaltningens mulighet til å løse sitt samfunnsoppdrag.

    Prioriteringer og tiltak

    I 2022 vil vi videreføre arbeidet med å sikre helhetlig veiledning og godt samarbeid mellom aktørene på informasjonssikkerhetsområdet. Digdir, Datatilsynet, DFØ, DSB, NorSIS og NSM fortsetter samarbeidet for å oppnå mer systematisk arbeid med informasjonssikkerhet i forvaltningen.

    Vi vil også rette mer oppmerksomhet mot kommunal sektor i 2022, i tett samarbeid med KS og KINS. Blant annet vil vi fortsette arbeidet med å lage kurs til forvaltningen.

    Vi søker å skape engasjement omkring et potensielt tiltak for å sikre felles sikkerhet i forvaltningen. Dette skal gjøres gjennom bred forankring og felles enighet omkring mulige tiltak.