– Ja, det er det grunn til å frykte. Vi vet at dette er ganske utbredt, de norske systemene er ikke spesielt gode, og det tar tid å rette opp feil. Det gis ikke tilstrekkelig politisk oppmerksomhet og dermed budsjettmessig dekning for å sikre seg mot angrep, sier Per-Kristian Foss.
– Vi vet at det skjer angrep mot norske selskaper som offentligheten ikke blir kjent med, så dette er mer utbredt enn det pressen kan rapportere om, forteller han.
Riksrevisjonen har i flere rapporter påpekt at samfunnskritiske institusjoner i det norske samfunnet har for dårlig datasikkerhet, selv om revisjonen ikke gransker selve Stortinget.
I sin siste rapport om forsvar, sikkerhet og beredskap i 2019 retter revisjonen hard kritikk mot datasikkerheten i både politiet, Utenriksdepartementet og Oljedirektoratet.
«Sterkt kritikkverdige»
Politiets datasikkerhet får gjennomgå i rapporten. Revisjonen omtaler blant annet forholdene som «sterkt kritikkverdige».
«Politiet har ikke sikret sine sentrale IKT-systemer tilstrekkelig mot etterretning og angrep. De er et attraktivt mål for datakriminalitet, noe som kan ramme politiets operative evne og føre til at sensitiv informasjon om enkeltmennesker kommer på avveie», skriver revisjonen.
Etaten har jobbet for å bedre IT-sikkerheten, men fremdeles er det mangler, påpekes det i rapporten.
Riksrevisjonen feller også en hard dom over datasikkerheten i Oljedirektoratet.
I rapporten fremhever blant annet revisjonen at IKT-systemene hadde svakheter som uvedkommende kunne utnytte i forbindelse med dataangrep.
Utenriksdepartementet får også kritikk for dårlig datasikkerhet.
– Mangelen på IKT-sikkerhet i statlige institusjoner, og til dels samfunnskritiske institusjoner, har vært en gjenganger i Riksrevisjonens rapporter i flere år, sier Foss.
– Vi undersøker jo ikke alt, men der vi har undersøkt, har vi funnet betydelige mangler, forteller han.
– Mangler politisk backing
Tirsdag ble det kjent at Stortinget har vært utsatt for et omfattende IT-angrep.
IT-angrepet på Stortinget er nå anmeldt til PST, som undersøker om en statlig aktør kan stå bak.
– Det er mulig det ikke bare er et digitalt angrep, men at det kan være en del av en etterretningsoperasjon mot Norge, sier seniorrådgiver Annett Aamodt i PST til NRK.
Også 10.000 ansatte i sju kommuner i Innlandet er blitt utsatt for et alvorlig e-postangrep.
Per-Kristian Foss kan ikke uttale seg om IT-sikkerheten på Stortinget, men er sterkt kritisk til den politiske viljen til å prioritere databeredskap.
– Det mest alvorlige er at det tar år før dette rettes opp. Stortinget gir vanligvis full tilslutning til våre undersøkelser, men det går år og dag før departementene retter opp, påpeker han.
– Det som ofte mangler, er politisk backing fra den aktuelle statsråd til å gi dette prioritet.
Teknologidirektør i konsulentselskapet Bouvet, Simen Sommerfeldt, har tidligere bistått et politisk parti med IT-sikkerhet. Den gang jobbet han også opp mot Stortingets datasystemer.
– Etter det jeg erfarer fra den gang, så er Stortinget veldig gode på IT-sikkerhet. De har to-faktor-autentisering som standard. Jeg var ganske imponert over hvor god sikkerhet de hadde, mener Sommerfeldt.
Les også: