Identifiserte mangler og svakheter gir risiko for at sikkerheten i de anskaffede systemene ikke var i tråd med virksomhetenes og kommunens behov. Mangelfull sikkerhet i et system kan føre til at konfidensielle opplysninger kommer på avveie, eller at virksomhetskritisk informasjon ikke er korrekt, går tapt eller ikke er tilgjengelige ved behov. Flere av de undersøkte anskaffelsene var av systemer som behandlet store mengder sensitiv informasjon, for eksempel barnevernsaker og helseopplysninger. Slik konkluderer Kommunerevisjonen i Oslo i en fersk forvaltningsrevisjonsrapport.
Rapporten «Sikkerhetskrav i IKT-anskaffelser» er et resultat av et forvaltningsrevisjonsprosjekt i Oslo kommune om sikkerhetskrav i IKT-anskaffelser. 15 anskaffelser i seks virksomheter ble undersøkt: Bydel Alna, Bymiljøetaten, Barne- og familieetaten, Helseetaten, Utdanningsetaten og Utviklings- og kompetanseetaten.
Undersøkelsen viser at virksomhetene for de fleste anskaffelsene hadde stilt informasjonssikkerhetskrav til systemene som ble anskaffet. Imidlertid hadde virksomhetene i et fåtall av de undersøkte anskaffelsene gjennomført risikovurderinger av informasjonssikkerhet som kunne gi grunnlag for sikkerhetskravene. Virksomhetene hadde som hovedregel ikke stilt eksplisitte krav til leverandørens modenhet og leveringsevne på informasjonssikkerhet i kvalifiseringen.
Svært begrenset sikkerhetstesting
Etter Kommunerevisjonens vurdering innebærer dette at flere av de undersøkte virksomhetene ikke hadde sørget for tilfredsstillende prosesser som grunnlag for gode og relevante sikkerhetskrav. I tillegg var det svært begrenset sikkerhetstesting før systemene ble satt i drift. Det gir risiko for at informasjonssikkerheten ikke var ivaretatt før systemet ble tatt i bruk. Det var også enkelte andre svakheter, konstaterer revisjonen, som fortsetter:
– Samlet gir identifiserte mangler og svakheter risiko for at sikkerheten i de anskaffede systemene ikke var i tråd med virksomhetenes og kommunens behov. Mangelfull sikkerhet i et system kan føre til at konfidensielle opplysninger kommer på avveie, eller at virksomhetskritisk informasjon ikke er korrekt, går tapt eller ikke er tilgjengelige ved behov. Flere av de undersøkte anskaffelsene var av systemer som behandlet store mengder sensitiv informasjon, for eksempel barnevernsaker og helseopplysninger.
Sentrale funn
Slik oppsummerer Kommunerevisjonen i Oslo de sentrale funnene i undersøkelsen:
- I de fleste tilfellene var det ikke gjennomført risikoanalyser i forkant av kravspesifikasjon. I enkelte tilfeller var det heller ikke foretatt kartlegging og vurdering av beskyttelsesbehov til de dataene som skulle behandles.
- Det varierte om gjennomførte risikovurderinger var tilfredsstillende utført.
- I de fleste anskaffelsene var det foretatt tilfredsstillende evalueringer av leverandørens tilbakemeldinger på sikkerhetskrav. I enkelte tilfeller var slike evalueringer mangelfulle eller ikke gjennomført.
- I de aller fleste anskaffelsene var det gjennomført kontroll av at sikkerhetskrav var overholdt, basert på gjennomgang av dokumentasjon eller vurderinger fra leverandøren. Det var imidlertid i liten grad gjennomført egne sikkerhetstester.
- En bydel hadde ikke gjennomført nødvendige prosesser for å sikre at ITsystemene hadde sikkerhet i tråd med bydelens behov.
Revisjonens anbefalinger
Anbefalinger som gjelder alle de reviderte virksomhetene:
- Virksomhetene bør vurdere tiltak som kan gi større trygghet for at systemer som anskaffes har et sikkerhetsnivå i tråd med virksomhetens behov. Særlig bør det sikres at virksomheten har:
– sørget for tilstrekkelige risikoanalyser som grunnlag for informasjonssikkerhetskrav i kravspesifikasjoner, og
– gjennomført tilstrekkelig kontroll av at systemer som anskaffes ivaretar sikkerhetsbehovene, herunder at det er gjennomført egne sikkerhetstester ved vurdert behov.
Bli den første til å kommentere på "Anskaffelser i Oslo: Risiko for at sensitiv info kunne kommet på avveie"