Dokument 3:3 (2022−2023) / Offentliggjort 04.10.2022 Forsvarets informasjonssystemer til bruk i operasjoner

Vi har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner. Det er sårbarheter i sikkerheten og systemene fungerer for dårlig sammen. Dette er svært alvorlig.

(PDF, 0,37 MB) Last ned ugradert oppsummering (pdf)

Kort fortalt

Effektive og sikre informasjonssystemer er avgjørende for Forsvarets operative evne. Informasjon skal deles og kommandoer gis raskt. Sikkerhetstrusler skal oppdages og stanses.
Riksrevisjonen har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner.
Dette er en av de mest alvorlige rapportene Riksrevisjonen har lagt frem. Begrunnelsen er at svakhetene kan få store konsekvenser for rikets sikkerhet
Selve rapporten er gradert etter reglene i sikkerhetsloven, men vi har utarbeidet en ugradert oppsummering.
Vi har hovedsakelig undersøkt perioden fra 2017 til 2020, altså forrige langtidsplan for forsvarssektoren.

Kritikknivå:

Svært alvorlig

Det er svært alvorlig at det er mangler ved informasjonssystemene Forsvaret bruker i operasjoner, både når det gjelder samvirke og sikkerhet. Dette kan få store konsekvenser.

Kritikknivå:

Alvorlig

Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset i situasjoner med et økt trusselnivå.
Forsvaret bruker informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav.

Kritikknivå:

Sterkt kritikkverdig

Forsvaret har ikke god nok oversikt over og kunnskap om informasjonssystemene.
Forsvaret mangler et solid system for sikkerhetsstyring.
Forsvaret har i liten grad begrenset antall informasjonssystemer.
Forsvarsdepartementet, Forsvarsmateriell og Forsvaret møter ikke forventningene Stortinget stilte til IKT-portefølje, styring og organisering i forrige langtidsplan.

Gradert kritikk

Deler av Riksrevisjonens kritikk er gradert, inkludert kritikknivået. Det gjelder disse punktene:

Sårbarheter i sikkerheten gir risiko for svekket operativ evne.
Mangler i samvirket mellom ulike informasjonssystemer gir risiko for redusert effektivitet. Kan få betydning ved økt konfliktnivå hvis tid er avgjørende.

Les pressemeldingen: Riksrevisor: En av de mest alvorlige rapportene vi har lagt frem

Konklusjoner

Mangler i samvirket mellom informasjonssystemene Forsvaret bruker i operasjoner, kan påvirke Forsvarets operative evne

Informasjonssystemer med ulik teknologi påvirker mulighetene for samhandling.
Ulike sikkerhetsdomener påvirker informasjonsutvekslingen mellom systemer.
Mangler ved taktisk datalink reduserer mulighetene for å utveksle data.

Sårbarheter i sikkerheten i informasjonssystemene Forsvaret bruker i operasjoner, gir risiko for svekket operativ evne

Forsvaret har mangler i oversikten over og kunnskapen om informasjonssystemene. Det påvirker muligheten til å ivareta sikkerheten.
Forsvaret har skjermingsverdige informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav.
Forsvaret har mangler i evnen til å oppdage og stanse digitale angrep.
Svakheter i sikkerhetsstyringen forsterker utfordringene.

Forsvarsdepartementet har ikke greid å realisere effektive og sikre informasjonssystemer som understøtter Forsvarets operative evne selv om de har vært klar over utfordringene

Svak styring har medvirket til utfordringene på IKT-området og svekket verdien av investeringer.
Overlappende og uklare ansvarsforhold mellom etatene i forsvarssektoren har påvirket gjennomføringsevnen på IKT-området.
Mangel på kompetanse har medvirket til at forsvarssektoren ikke har klart å løse mange av utfordringene på IKT-området.
Det er vesentlig risiko knyttet til den pågående IKT-satsingen i Mime og MAST.

Anbefalinger

Riksrevisjonen anbefaler at Forsvarsdepartementet

følger opp at Forsvaret får en fullstendig oversikt over informasjonssystemene de bruker i operasjoner, og bruker oversikten til å styre og investere på IKT-området
sørger for at Forsvaret og Forsvarsmateriell begrenser antallet informasjonssystemer
legger til rette for at Forsvaret kan utnytte kapasiteten i nytt forsvarsmateriell raskere
følger opp at Forsvaret styrker sikkerhetsstyringen og ivaretar informasjonssikkerheten

Vi anbefaler også at Forsvarsdepartementet

styrker Forsvarets evne til å oppdage og stanse digitale angrep
sørger for nødvendig fremdrift og gevinstrealisering i IKT-programmene Mime og MAST
avklarer ansvaret mellom etatene i forsvarssektoren
sikrer nødvendig IKT-kompetanse i sektoren

Gradert rapport, ugradert oppsummering

Rapporten om Forsvarets informasjonssystemer er gradert på nivået «KONFIDENSIELT» etter reglene i sikkerhetsloven. Det betyr at rapporten ikke er offentlig av hensyn til rikets sikkerhet. I dialog med Forsvarsdepartementet, som er informasjonseier, har vi utarbeidet en ugradert versjon av Dokument 3:3 (2022─2023) ─ en oppsummering av rapporten. Graderte opplysninger er fjernet og en del informasjon er skrevet om slik at informasjonen kan offentliggjøres. Dette gjelder også deler av Riksrevisjonens kritikk. Oppsummeringen gir et relativt fullstendig bilde av saken, selv om vi ikke kan gå ut med alle detaljer.

Stortinget har behandlet undersøkelsen

Vi overleverte undersøkelsen til Stortinget 4. oktober 2022. De behandlet den 18. april 2023.

Les mer på stortinget.no

Kategorier: Forsvar/sikkerhet/beredskap Digitalisering/ikt

Spørsmål?

Siri Bentserud Wingerei

Kommunikasjonssjef

990 39 479 sbw@riksrevisjonen.no

Aleksander Åsheim

Ekspedisjonssjef

945 07 619 aas@riksrevisjonen.no