Alla inlägg den 10 december 2023
Riksrevisjonen
Undersøkelse av Forsvarets informasjonssystemer til bruk i operasjoner.
Les hele artikkelen
▼
https://www.riksrevisjonen.no/rapporter-mappe/no-2022-2023/undersokelse-av-forsvarets-informasjonssystemer-informasjonssystemer-til-bruk-i-operasjoner/
Forsvarets Cybersikkerhet
"Bare toppen av isfjellet."
Les hele artikkelen
▼
https://www.dagsavisen.no/nyheter/innenriks/2022/10/04/ikt-norge-om-kritikk-mot-forsvaret-bare-toppen-av-isfjellet/
"Sammen for en trygg hverdag"
Statsråd Emilie Enger Mehl åpnet mandag 3. oktober nasjonal sikkerhetsmåned 2022 – en årlig nasjonal dugnad for å øke den digitale sikkerhetsbevisstheten i Norge.
Les hele artikkelen
▼
https://www.regjeringen.no/no/aktuelt/nasjonal-sikkerhetsmaned-er-i-gang/id2930570/
https://www.riksrevisjonen.no/rapporter-mappe/no-2022-2023/undersokelse-av-forsvarets-informasjonssystemer-informasjonssystemer-til-bruk-i-operasjoner/
Undersøkelse av Forsvarets informasjonssystemer til bruk i operasjoner
Kort fortalt
Effektive og sikre informasjonssystemer er avgjørende for Forsvarets operative evne. Informasjon skal deles og kommandoer gis raskt. Sikkerhetstrusler skal oppdages og stanses.
Riksrevisjonen har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner.
Dette er en av de mest alvorlige rapportene Riksrevisjonen har lagt frem. Begrunnelsen er at svakhetene kan få store konsekvenser for rikets sikkerhet
Selve rapporten er gradert etter reglene i sikkerhetsloven, men vi har utarbeidet en ugradert oppsummering.
Vi har hovedsakelig undersøkt perioden fra 2017 til 2020, altså forrige langtidsplan for forsvarssektoren.
Kritikknivå: Svært alvorlig
Det er svært alvorlig at det er mangler ved informasjonssystemene Forsvaret bruker i operasjoner, både når det gjelder samvirke og sikkerhet. Dette kan få store konsekvenser.
Kritikknivå: Alvorlig
Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset i situasjoner med et økt trusselnivå.
Forsvaret bruker informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav.
Kritikknivå: Sterkt kritikkverdig
Forsvaret har ikke god nok oversikt over og kunnskap om informasjonssystemene.
Forsvaret mangler et solid system for sikkerhetsstyring.
Forsvaret har i liten grad begrenset antall informasjonssystemer.
Forsvarsdepartementet, Forsvarsmateriell og Forsvaret møter ikke forventningene Stortinget stilte til IKT-portefølje, styring og organisering i forrige langtidsplan.
https://kommunikasjon.ntb.no/pressemelding/riksrevisor-en-av-de-mest-alvorlige-rapportene-vi-har-lagt-frem?publisherId=17846918&releaseId=17942333&lang=no
Riksrevisor: En av de mest alvorlige rapportene vi har lagt frem
Riksrevisjonen har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner. Det er sårbarheter i sikkerheten, og systemene fungerer for dårlig sammen. Dette er svært alvorlig.
─ Rapporten om Forsvarets informasjonssystemer er en av de mest alvorlige Riksrevisjonen noen gang har lagt frem, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Forsvarets operative evne avhenger av muligheten til å samhandle i operasjoner, både mellom ulike deler av Forsvaret og med Nato og allierte. Riksrevisjonen har undersøkt informasjonssystemene Forsvaret bruker for kommunikasjon og informasjonsutveksling i operasjoner. Militærfaglig kalles dette kommando- og kontrollinformasjonssystemer. Informasjon skal deles og kommandoer gis raskt. Forsvaret må derfor sørge for at systemene er effektive. Sikkerhetstrusler mot informasjonssystemene, som sabotasje, terror og spionasje, må også oppdages og stanses raskt.
─ Det er svært alvorlig at det er mangler ved informasjonssystemene Forsvaret bruker i operasjoner. Forsvaret har kjent til dette i mange år og ikke evnet å gjøre det som trengs, sier Schjøtt-Pedersen.
─ I en rekke undersøkelser, blant annet om objektsikring og kjøp av nye helikoptre, har Riksrevisjonen avdekket alvorlige svakheter i Forsvaret. Hvordan er det mulig at de som har ansvar for å sikre Norges suverenitet og selvstendighet har havnet i denne situasjonen? spør Schjøtt-Pedersen.
Riksrevisjonen har undersøkt perioden 2017 til 2020, som sammenfaller med forrige langtidsplan for forsvarssektoren. Selve rapporten er gradert etter sikkerhetsloven, men vi offentliggjør i dag en ugradert oppsummering.
Les den ugraderte oppsummeringen.
- (PDF, 0,37 MB)
Last ned ugradert oppsummering (pdf)
"Vi kommer til å følge opp denne undersøkelsen allerede om ett til to år for å se om situasjonen har blitt bedre. Årsaken til det er at funnene er så alvorlige. Normalt følger vi opp etter tre år, men her er det helt avgjørende at Forsvarsdepartementet tar tak raskt."
Sårbarheter i sikkerheten kan få store konsekvenser
Riksrevisjonens undersøkelse viser at sårbarheter i Forsvarets informasjonssystemer gir risiko for svekket operativ evne. Det betyr at det kan bli vanskeligere for Forsvaret å håndtere angrep mot norske mål. Riksrevisjonen kritiserer dette, men innholdet i kritikken er gradert.
Ellers mener Riksrevisjonen det er alvorlig at
Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset i situasjoner med et økt trusselnivå
Forsvaret bruker informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav om å beskytte informasjon som skal skjermes
I tillegg mener vi det er sterkt kritikkverdig at Forsvaret
ikke har god nok oversikt over og kunnskap om informasjonssystemene
ikke har et mer solid system for sikkerhetsstyring
─ Svakhetene som Riksrevisjonen avdekker kan få store konsekvenser, både i fred, krise og krig. Vi snakker om grunnleggende sikkerhet i en stadig mer digital verden. Forsvaret må sikre informasjonssystemene sine og det må skje raskt, sier Schjøtt-Pedersen.
Digital sikkerhet er svært viktig og digitale angrep har i økende grad blitt en del av militære operasjoner. De kan få like alvorlige konsekvenser som et tradisjonelt angrep. Derfor er det avgjørende at Forsvaret sikrer informasjonssystemene de bruker i operasjoner.
Informasjonssystemene fungerer ikke godt nok sammen
Undersøkelsen viser også at Forsvarets informasjonssystemer ikke fungerer godt nok sammen. Det gir risiko for redusert effektivitet og kan få betydning i en situasjon der konfliktnivået øker og tid er avgjørende. Riksrevisjonen kritiserer dette, men innholdet i denne kritikken er også gradert.
Forsvaret har svært mange informasjonssystemer med ulike tekniske løsninger. Dette gjør det vanskelig å dele informasjon effektivt mellom systemene. I tillegg er det ressurskrevende.
Forsvaret har lenge hatt et mål om å redusere antallet systemer, men har i liten grad klart å begrense antallet. Det mener Riksrevisjonen er sterkt kritikkverdig.
For at Forsvarets informasjonssystemer skal fungere effektivt i operasjoner må informasjon kunne deles enkelt og sikkert mellom ulike systemer. Riksrevisjonens undersøkelse viser at det ikke er tilfelle.
Gradert rapport, ugradert oppsummering
Rapporten om Forsvarets informasjonssystemer er gradert på nivået «KONFIDENSIELT» etter reglene i sikkerhetsloven. Det betyr at den ikke er offentlig av hensyn til rikets sikkerhet.
─ Riksrevisjonen strekker seg langt for å sikre åpenhet om våre undersøkelser. Samtidig må vi følge sikkerhetsloven. Jeg vil understreke at det vi legger frem i dag gir et relativt fullstendig bilde av saken, selv om vi ikke kan gå ut med alle detaljer. Når Riksrevisjonen finner så alvorlige feil i statsforvaltningen er det svært viktig at innbyggerne får vite om det. Det er ikke mange andre som kan gi offentligheten denne typen informasjon om Forsvaret, understreker Schjøtt-Pedersen.
Den graderte rapporten er levert til Stortinget. I tillegg offentliggjør vi en oppsummering av rapporten - en ugradert versjon av Dokument 3:3 (2022─2023). Den er utarbeidet i god dialog med Forsvarsdepartementet, som er informasjonseier. Graderte opplysninger er fjernet og en del informasjon er skrevet om slik at informasjonen kan offentliggjøres. Dette gjelder også deler av Riksrevisjonens kritikk.
https://www.dagsavisen.no/nyheter/innenriks/2022/10/04/ikt-norge-om-kritikk-mot-forsvaret-bare-toppen-av-isfjellet/
IKT-Norge om kritikk mot Forsvaret: Bare toppen av isfjellet
Riksrevisjonen kritikk av Forsvarets cybersikkerhet er svært alvorlig, men enda mer alvorlig er at dette bare er toppen av isfjellet, uttaler IKT-Norge.
– Manglende kompetanse, situasjonsforståelse, sikkerhetskultur og vilje til cybersikkerhet ser ut til å gjelde store deler av det norske samfunnet, skriver bransjeorganisasjonen i en pressemelding.
– IKT-Norge har det siste året kommet med kraftige advarsler. Vi har pekt på en rekke tilfeller som hver for seg er svært alvorlige, men som sammen utgjør en uholdbar situasjon for Norge, heter det videre.
Selve rapporten fra Riksrevisjonen er hemmelighetstemplet, men ifølge en ugradert oppsummering kommer det fram at svakheter som er avdekket, etter riksrevisjonens syn kan få store konsekvenser for rikets sikkerhet.
Funnene til Riksrevisjonen er svært alvorlige, sier leder Torbjørn Bongo i Norges offisers- og spesialistforbund til VG.
– Svært mange ansatte i Forsvaret er glad for at Riksrevisjonen nå setter et kritisk søkelys på Forsvarets IKT-systemer. Mange har sagt tydelig ifra internt. Men dette er et så sensitivt område for Forsvaret og for rikets sikkerhet at det har vært for krevende for mange å varsle, sier Bongo.
Han mener Forsvarets IKT-systemer levd på sikkerhetsmyndighetenes nåde i lengre tid. Overfor VG bekreftes dette bildet av både Nasjonal sikkerhetsmyndighet og forsvarsledelsen.
https://www.regjeringen.no/no/aktuelt/nasjonal-sikkerhetsmaned-er-i-gang/id2930570/
(fra oktober 2022)
Statsråd Emilie Enger Mehl åpnet mandag 3. oktober nasjonal sikkerhetsmåned 2022 – en årlig nasjonal dugnad for å øke den digitale sikkerhetsbevisstheten i Norge.
Gasslekkasjene i Østersjøen og den pågående krigen i Ukraina har økt både oppmerksomheten og interessen for sikkerhet – og i vårt digitaliserte samfunn er digital sikkerhet noe som angår oss alle. Utfordringen er at mange fortsatt mangler nødvendige ferdigheter og kunnskaper for å møte trusler i det digitale rom.
– Tidligere var digital sikkerhet noe for de spesielt interesserte. Nå er det noe som angår absolutt alle. Jeg ser på årets sikkerhetsmåned, i den tiden vi er inne i, som en verdifull mulighet til å styrke det digitale forsvaret av Norge, sa justis- og beredskapsminister Emilie Enger Mehl, da hun 3. oktober åpnet Nasjonal sikkerhetsmåned 2022 sammen med NorSIS og Nasjonal sikkerhetsmyndighet.
Hun pekte på at regjeringen har bidratt til å bedre beredskapen også innenfor det digitale rom, blant gjennom å styrke Nasjonal sikkerhetsmyndighet (NSM) og PST.
Sammen for en trygg hverdag
Nasjonal sikkerhetsmåned arrangeres hvert år for å øke engasjementet, bevisstheten og kunnskapen om digital sikkerhet, både i befolkningen og i virksomheter. Det er Norsk senter for informasjonssikring (NorSIS) som koordinerer nasjonal sikkerhetsmåned i Norge på oppdrag fra Justis- og beredskapsdepartementet.
I år er temaet for nasjonal sikkerhetsmåned «Sammen for en trygg digital hverdag», med oppmerksomhet på løsepengeangrep og ulike former for sosial manipulering.
Hele denne måneden foregår det en rekke aktiviteter for å styrke den digitale sikkerhetsbevisstheten i Norge. Det arrangeres blant annet foredragsdugnad, seminarer og kampanjer i sosiale medier. Informasjon om aktiviteter under sikkerhetsmåneden – samt gode råd og veiledninger for å øke digital sikkerhet – finner du på nettstedene til NorSIS og Nasjonal sikkerhetsmyndighet.
Cyberangrep har blitt hverdagskost
Under åpningen av sikkerhetsmåneden la Nasjonal sikkerhetsmyndighet (NSM) fram sin årlige rapport Nasjonalt digitalt risikobilde 2022.
Rapporten viser en økning i antallet registrerte angrepsforsøk mot norske virksomheter i første halvdel av 2022. Antallet angrep som har lykkes har imidlertid gått ned sammenliknet med 2021. Særlig er det teknologibedrifter, virksomheter innen forskning og utvikling og offentlige forvaltningsorganer som rammes av cyberangrep.
Ofte utnytter trusselaktørene trivielle feil og svakheter. Det er både unødvendig og kan være kostbart, og NSM ser at en rekke digitale hendelser kunne vært unngått om norske virksomheter hadde iverksatt grunnleggende sikkerhetstiltak.
Gjennom NSM har myndighetene utarbeidet en rekke nasjonale råd og anbefalinger for IKT-sikkerhet for virksomheter. NorSIS har i tillegg råd og veiledninger til privatpersoner.
https://www.regjeringen.no/no/tema/samfunnssikkerhet-og-beredskap/id1120/
Samfunnssikkerhet og beredskap
"Forebygging er vår viktigste oppgave når det gjelder hendelser som truer sentrale samfunnsinstitusjoner, vår felles sikkerhet eller den enkeltes trygghetsfølelse. Kriser må møtes ved bruk av de samlede nasjonale ressurser, basert på klare strukturer, ansvarsforhold og kommandolinjer mellom sivile og militære aktører og tilstrekkelig kompetanse på alle nivå."
https://www.regjeringen.no/no/dokumenter/meld.-st.-22-20202021/id2841118/
Meld. St. 22 (2020–2021)
Data som ressurs — Datadrevet økonomi og innovasjon
Tilråding fra Kommunal- og moderniseringsdepartementet 26. mars 2021, godkjent i statsråd samme dag. (Regjeringen Solberg)
https://nsm.no/aktuelt/digitalt-risikobilde-2022-cyberangrep-har-blitt-hverdagskost
Den sikkerhetspolitiske situasjonen er i endring. Cyberangrep er hverdagskost. Det får konsekvenser også i Norge. Nasjonalt digitalt risikobilde 2022 viser vei videre.
Å holde tritt med det stadig skiftende risikobildet er krevende for de aller fleste norske virksomheter. Gasslekkasjen i Østersjøen har satt sikkerhet øverst på agendaen. Rapporten fra Nasjonal sikkerhetsmyndighet (NSM) gir innsikt i hvilke digitale sikkerhetstiltak virksomheter bør prioritere for å beskytte egen virksomhet og verdier.
Det haster mer enn tidligere å implementere risikoreduserende tiltak. Vi har et utfordrende risikobilde, og det skaper stor usikkerhet. I NSM ser vi at en rekke digitale hendelser kunne vært unngått om norske virksomheter hadde iverksatt grunnleggende sikkerhetstiltak.
Utsatte sektorer
I den første halvdelen av 2022 har NSM registrert en økning i antallet forsøk på kompromitteringer mot norske virksomheter. Antallet faktiske kompromitteringer, hvor trusselaktører har lyktes, er lavere enn i samme periode i 2021.
Særlig tre sektorer har vært utsatt for ulike typer cyberangrep det siste året, viser NSMs statistikk. Det er teknologibedrifter, forskning og utvikling, og offentlige forvaltningsorganer. NSM-direktør Sofie Nystrøm understreker at det er svært viktig at virksomheter i disse sektorene er særlig årvåkne. Samtidig kan vi lære av erfaringene vi har gjort oss, i arbeidet fremover hvor olje og gass, elektronisk kommunikasjon og kraftbransjen er eksempler på utsatte sektorer.
Opprettholde tillit
Bakteppet for årets rapport er et helt enn hva vi hadde for bare et år siden. Da så vi trusler mot usikre hjemmekontorløsninger og forsøk på såkalt korona-svindel og phishing. Nå ser vi forsøk på å kompromittere infrastruktur og politiske hevnaksjoner.
Før sommeren i Norge ble en rekke offentlige nettsider – som politiet, Nav og UDI – utsatt for tjenestenektangrep. Nettsidene opplevdes ustabile og trege. Vår utenriksminister ble hengt ut. Dette er angrep som har som formål å forvirre, skape usikkerhet og misnøye.
- Kritiske tjenester ble ikke rammet, men det som er veldig kritisk – og bekymringsverdig – er at det rokker ved tilliten til viktige funksjoner i samfunnet vårt. Og tilliten i det norske samfunnet er i seg selv et mål for trusselaktører. Den tilliten må vi beskytte og opprettholde, sier Sofie Nystrøm.
Last ned rapporten: «Nasjonalt digitalt risikobilde 2022» (PDF, 4MB)
Risikorapporter fra 2019 og tidligere
Risiko 2019 - Krafttak for et sikrere Norge (PDF, 1MB)
Risiko 2018 - Verdifulle individer, virksomheter og infrastruktur (PDF, 1020KB)
Risiko 2017 - Risiko og sårbarheter i en ny tid (PDF, 1MB)
Rapport om sikkerhetstilstanden 2014 (PDF, 1MB)
Rapport om sikkerhetstilstanden 2012 (PDF, 332KB)
Rapport om sikkerhetstilstanden 2011 (PDF, 488KB)
Rapport om sikkerhetstilstanden 2010 (PDF, 348KB)
Rapport om sikkerhetstilstanden 2009 (PDF, 174KB)
Rapport om sikkerhetstilstanden 2007-08 (PDF, 112KB)
Risikovurdering 2007 (PDF, 121KB)
Risikovurdering 2006 (PDF, 106KB)
Risikovurdering 2005 (PDF, 85KB)
Risikovurdering 2004 (PDF, 160KB)
Risikovurdering 2003 (PDF, 508KB
"Må bli færre muligheter til å gjøre feil"
▼
https://nsm.no/getfile.php/133735-1592917067/NSM/Filer/Dokumenter/Veiledere/nsms-grunnprinsipper
