![Page 1: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/1.jpg)
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner
Avdelingsdirektør Ryno Andersen, mars 2016
![Page 2: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/2.jpg)
2
Plan for innlegget
• Kort presentasjon
• Kort om Riksrevisjonen
• Erfaringer fra sikkerhetsrevisjoner
![Page 3: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/3.jpg)
Om Riksrevisjonen
• Mandat: Riksrevisjonen skal bidra til
at fellesskapets midler og verdier blir
brukt og forvaltet slik Stortinget har
bestemt.
• Visjon: Bedre offentlig ressursbruk.
• Dette gjør vi gjennom revisjon,
kontroll og veiledning.
3
![Page 4: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/4.jpg)
Hvorfor er Riksrevisjonen interessert i informasjonssikkerhet?
• I utøvelse av vårt mandatet vurderer vi• etterlevelse av regelverk
• etterlevelse av vedtak slik Stortinget har
bestemt
• forvaltningen av statens materielle verdier
• ikt og internkontrollens påvirkning på
regnskapet
4
![Page 5: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/5.jpg)
Litt
• NSMs «Helhetlig –IKT- risikobilde 2016»
- Del av virksomhetens langsiktige
strategi – dvs. styring/ledelse
- Ikt- grunnsikring med gode rutiner for
vedlikehold og drift, håndtering av
uønskede hendelser og gjenoppretting
• Riksrevisjonens ønske: Risikodrevet, helhetlig
og effektiv intern kontroll
5
![Page 6: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/6.jpg)
6
Erfaringer fra revisjon av
informasjonssikkerhet
Grunnlag: Revisjon av 60 virksomheter i perioden 2010-2016 direkte
rettet mot ikt-sikkerhet.
I samme periode er ikt-sikkerhet knyttet til regnskapene revidert i 224
virksomheter med større eller mindre grad av intensitet.
Tidligere funn er fortsatt gyldige i 2016.
![Page 7: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/7.jpg)
Risikovurderinger
• Stort sett alle virksomheter
hadde gjennomført
risikoanalyser, men da ofte
knyttet til om virksomhetene
når sine mål.
7
• Halvparten manglet imidlertid risikoanalyser
som omfattet de viktigste verdiene i
virksomheten
• Omtrent halvparten hadde heller ikke rutiner for
jevnlig oppdatering av analysene.
![Page 8: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/8.jpg)
Sikkerhetspolicy og en sikkerhetsorganisasjon
• Stort sett alle hadde en
sikkerhetspolicy eller
tilsvarende dokumenter.
• Stort sett alle hadde
etablert en egen
sikkerhetsorganisasjon.
8
![Page 9: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/9.jpg)
Beskyttelse - tilganger
9
• Stort sett alle virksomheter hadde etablert
rutiner for administrasjon av tilganger for
vanlige ansatte.
• Imidlertid ofte• manglende oversikt over gitte tilganger.
• manglende rutiner for tildeling av tilganger til de
med utvidede rettigheter.
• mange brukerkonti med administratorrettigheter.
• bruk av upersonlige brukere/ fellesbrukere.
• manglende periodiske gjennomganger av tilganger.
![Page 10: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/10.jpg)
Beskyttelse - logging og overvåkning
• Gjennomgående svakheter på
området logging og overvåking.
• Brukere og systemadministrators
aktiviteter har liten grad blitt
logget eller fulgt opp.
10
![Page 11: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/11.jpg)
Beskyttelse – serverrom
11
• Revisjonene våre har vist
at de fleste serverrom er
sikret mot fysiske farer.
![Page 12: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/12.jpg)
Beskyttelse – for øvrig
• Svake krav til passord
• Manglende patching
• Manglende testing av endringer og
systemer før produksjonssetting
• Manglende systemdokumentasjon.
• Manglende oppfølging av
driftsleverandører
12
![Page 13: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/13.jpg)
Rapportering av hendelser og informasjonssikkerhetsbrudd
• Over halvparten av virksomhetene
hadde rutiner for å rapportere og
håndtere hendelser og
informasjonssikkerhetsbrudd.
• Omtrent halvparten av disse hadde
imidlertid ikke konkretisert hvilke typer
hendelser som skal loggføres og
rapporteres som sikkerhetsbrudd.
13
![Page 14: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/14.jpg)
Kontinuitetsplanlegging
• Stort sett alle virksomheter
hadde en kontinuitetsplan
eller prosess for
kontinuitetsplanlegging.
14
• Få virksomheter hadde imidlertid oppdaterte
kontinuitetsplaner for IKT
• Generelt gjennomfører altfor få virksomheter
øvelser i kontinuitetsplanen. Dette ble markert
endret etter 22.juli 2011.
![Page 15: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/15.jpg)
Opplæring og bevisstgjøring
• Over halvparten hadde opplæring
og/eller løpende tiltak for bevisstgjøring
innen informasjonssikkerhet i egen
organisasjon.
• Opplæring og bevisstgjøring av eksterne
brukere er svakere enn for egne ansatte.
15
![Page 16: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/16.jpg)
Erfaring fra sikkerhetsrevisjoner
• JDs brev til departementene jan. 2016
• 4 anbefalte tiltak:• Oppgradere program og maskinvare
• Installer sikkerhetsoppdateringer så raskt som mulig
• Ikke tildel sluttbrukere administratorrettigheter
• Blokker kjøring av ikke av ikke- autoriserte programmer
16
![Page 17: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/17.jpg)
Erfaring fra sikkerhetsrevisjoner
• Et sikkerhetsprosjekt som omfatter revisjon av
styringssystem for ikt-sikkerhet «Tonen på
toppen.»
• Mange har etablert gode styringssystemer for
ikt-sikkerhet, men en gjennomgående svakhet
er at de ikke fungere etter hensikten.
17
![Page 18: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/18.jpg)
Hva er utfordringene?
• Mangelfull ledelsesforankring av
arbeidet med informasjonssikkerhet.
• For lav trussel- og risikoforståelse.
• Mangelfull grunnsikring.
• Mangelfull kompetanse på utvalgte
områder.
18
![Page 19: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/19.jpg)
Anbefalinger
• Erkjenn at dere har eller forvalter verdier og
informasjon som andre er ute etter.
• Virksomheter vil aldri kunne sikre all
informasjon. Det viktige er å identifisere
informasjonen og informasjonssystemer som er
av høyest verdi og sikre disse deretter.
• Husk på å gi opplæring til og kontinuerlig
bevisstgjøre både ledere og ansatte i hvordan
de kan påvirke informasjonssikkerhetsarbeidet.
19
![Page 20: Riksrevisjonens erfaringer fra sikkerhetsrevisjoner · •Kort presentasjon •Kort om Riksrevisjonen • Erfaringer fra sikkerhetsrevisjoner. Om Riksrevisjonen •Mandat: Riksrevisjonen](https://reader033.vdocuments.site/reader033/viewer/2022042415/5f2fb2b57d7a931af7482a8e/html5/thumbnails/20.jpg)
Hva må gjøres
• Toppledelsen/styre må skape en god
sikkerhetskultur.
• Må jevnlig teste at styringssystemet for ikt-
sikkerhet virker i praksis.
• Ledere må måles på arbeidet med ikt-
sikkerhet.
(Det som blir målt, blir gjort! Gammelt jungelord i forvaltningen)
20