Datasikkerheten svikter

Datasikkerheten i trygdeetaten er svært mangelfull, og riksrevisor Jørgen Kosmo frykter at sensitive personopplysinger kan være på avveie.

Jørgen Kosmo sier datasikkerheten i trygdeetaten er for dårlig.
Foto: Aas, Erlend / SCANPIX

Det kom fram da Riksrevisjonens rapport ble lagt fram i går.

Kosmo sier at utenforstående kan komme seg inn i datasystemet uten at det blir oppdaget.

Personlig informasjon

- Det jeg er mest bekymret for, er IKT-sikkerheten. Vi kan ha datasystemer som kan gå an å trenge inn i for uvedkommende. Dette kan føre til feilbehandling av data, men også til at personopplysninger slipper ut.

I trygdeetatens datasystem finner vi landets største samling av sensitive opplysninger om deg og meg. Her er det informasjon om grunnlag for trygdeutbetalinger, opplysninger om psyskiske lidelser og sykdomshistorier.

Men denne informasjonen kan være på avveie, slettet og manipulert, for Riksrevisjonens rapport avdekker store mangler og elendige rutiner i datasikkerheten hos trygdeetaten.

Vi ser svært alvorlig på de momentene som er trukket fram.

Lasse Andresen - avdelingsdirektør for IKT i NAV

- Vi mener dette er et så viktig område i den nye tidsalder, der alt legges på data og informasjon om enkeltmennesker spres på mange måter gjennom data. Sikkerheten må derfor være på plass, sier Kosmo.

Umiddelbare tiltak

I sommer ble trygdeetaten en del av NAV, den nye arbeids- og velferdsetaten, og det gamle datasystemet er nå integrert i NAV. Avdelingsdirektør for IKT i NAV, Lasse Andresen, innrømmer at det har vært visse svakheter i datasystemet.

- Vi ser svært alvorlig på de momentene som er trukket fram og vi iverksetter tiltak på så godt som samtlige områder umiddelbart, sier han.

- Vi forsøker å legge sikkertsrutiner på toppen som gjør at vi skal forhindre at manipulering av data foregår. Jeg kan garantere at vi har gjort hva vi kan for at slik manipulasjon ikke skal kunne inntreffe, sier Andresen.

Bakgrunn

Noen av svakhetene som er påvist:

  • mange brukere i etaten har større rettigheter enn de burde
  • manglende skriftlige prosedyrer eller retningslinjer for administrasjon og drift av store maskiner
  • mangelfulle rutiner for gjennomgang av logger og mangler i beskyttelsen av loggfiler som kan gjøre det mulig å manipulere disse
  • svakheter i tilgangskotroller til sensitive datafiler og programmer
  • svakheter i rutiner for å holde oversikt over hvem som har tilgang til systemet
  • mangelfulle krav til blant annet passord i tilgangskontrollsystemet
  • svakheter i konfigurering av systemet som gir muligheter til å manipulere systemet og data som behandles her
  • mangelfull beskyttelse av en del programmer som kan gi muligheter til å overstyre ordinære kontroller
  • Sikkerhetsnivået i trygdeetatens stormaskinmiljø vil bestemmes av de totale bildet av kontroller. Påviste svakheter er ikke kompensert med bedre kontroller på andre måter, skriver Riksrevisjonen i sin rapport.

AKTUELT NÅ

SISTE NYTT

Siste meldinger