FR 2025: Data- og informasjonssikkerhet i Grue kommune

Formålet med forvaltningsrevisjonen har vært å kontrollere for om Grue kommune har tilfredsstillende rutiner og praksis for å sikre kommunens digital informasjonsverdier.
Formålet er belyst gjennom å besvare følgende problemstillinger:

  1. Ivaretar Indigo IKT sine tekniske sikkerhetsløsninger betryggende sikkerhet for Grue kommunes digitale informasjonsverdier?
  2. Har Grue kommune rutiner og praksis ved anskaffelse av IKT-tjenester som sørger for betryggende sikkerhet for kommunens digitale informasjonsverdier?
  3. Har Grue kommune etablert en tilfredsstillende sikkerhetskultur i organisasjonen, herunder internkontroll og avvikshåndtering?

I forbindelse med forvaltningsrevisjonen ble det gjennomført dokumentanalyse, intervjuer med ledere og nøkkelpersonell i kommunen, samt en spørreundersøkelse blant alle ansatte. Datainnsamlingen ble gjennomført i perioden januar til juni 2025.

Tekniske løsninger

Undersøkelsen viser at Indigo IKT sine tekniske sikkerhetsløsninger og prosedyrer i tilfredsstillende grad sikrer at Grue kommunes digitale informasjonsverdier er trygge. Selskapet oppfyller nesten alle relevante anbefalinger i Nasjonal sikkerhetsmyndighets (NSM) grunnprinsipper for IKT-sikkerhet. Herunder anbefalingen om å ivareta en forsvarlig sikring av IKT-systemet og opprettholde dette over tid, oppdage og fjerne kjente sårbarheter og trusler, etablere sikkerhetsovervåkning, samt anbefalingen om å håndtere sikkerhetshendelser effektivt. Det eneste forbedringspunktet er knyttet til at selskapet ikke gjennomfører årlige inntrengingstester i henhold til NSM sine anbefalinger.

Revisjonen konkluderer med at Indigo IKT sine tekniske sikkerhetsløsninger i tilstrekkelig grad skaper betryggende sikkerhet for sine eierkommuners digitale informasjonsverdier.

IKT-anskaffelser

Undersøkelsen viser at Grue kommune har gode rutiner for anskaffelse av IKT-tjenester. Samtidig viser undersøkelsen at praksisen ikke alltid samsvarer med rutinene, og at kompetansen på området som kommunen har tilgang til ikke benyttes i utstrakt grad i forbindelse med anskaffelsene. Kommunen har etter det revisjonen har sett fastsatt akseptable grenser for risiko med tilhørende risikoreduserende tiltak knyttet til IKT. Kommunen har videre kartlagt alle klienter og all programvare i sitt nettverk, samt kartlagt ansvar og roller for IKT-sikkerhet. Kommunen har også sikkerhetsprosedyrer for anskaffelser av IKT-tjenester gjennom Indigo-samarbeidet.

Undersøkelsen viser samtidig at Grue kommunes gjennomførte anskaffelser av IKT-tjenester i perioden 2020-2025 på flere områder ikke er tilfredsstillende. Sikkerhetskravene som stilles til potensielle leverandører i mange av anskaffelsesprosessene er lite systematiske og kommunens oversikt over egne avtaler er mangelfull. Revisjonen vurderer at Grue kommune i større grad bør benytte seg av kompetansen til Indigo IKT på området.

Revisjonen konkluderer med at Grue kommune ikke på alle områder i tilstrekkelig grad har rutiner og praksis ved anskaffelse av IKT-tjenester som sørger for betryggende sikkerhet for kommunens digitale informasjonsverdier.

Sikkerhetskultur

Kommunen har en sikkerhetsorganisasjon med klare beskrivelser av roller og ansvar i informasjonssikkerhetsarbeidet, og internkontrollsystemet for informasjonssikkerhet er forankret i ledelsen og gjennomgås en gang i året. Kommunens har videre et tilfredsstillende avvikssystem og prosedyrer for håndtering og oppfølging av avvik på informasjonssikkerhetsområdet. Kommunen har også tilgang på riktig kompetanse på personvernområdet og ivaretar lovpålagte personvernombudstjenester, samt involverer personvernombudet når det er relevant.

Undersøkelsen viser at kommunen ikke har nådd sikkerhetsmålene de har satt, og at enkelte av aktørene i informasjonssikkerhetsarbeidet ikke ivaretar alle sine ansvarsoppgaver.

Undersøkelsen viser også at kommunen ikke har oversikt over sentrale informasjonsverdier og hvor kritiske disse er for drift og tjenesteproduksjon. Videre har resultatene fra spørreundersøkelsen vist at kommunen har et forbedringspotensial når det gjelder gjennomføringen av opplæringstiltak på informasjonssikkerhetsområdet, samt å tydeliggjøre hvilke forventninger de har til sine ansatte med hensyn til digital sikkerhetsatferd. Alt i alt er revisjonens vurdering og konklusjon at Grue kommune ikke i tilstrekkelig grad har etablert en god nok sikkerhetskultur i organisasjonen.

Anbefalinger

På bakgrunn av den gjennomførte undersøkelsen har revisjonen følgende anbefalinger:

  • Daglig leder i Indigo IKT bør vurdere om reelle hendelser godt nok erstatter årlige inntrengingstester.
  • Kommunedirektøren bør sikre at kommunen overholder rutiner og prosedyrer for anskaffelser utarbeidet i Indigo-samarbeidet.
  • Kommunedirektøren bør sørge for at kommunen i større grad involverer Indigo IKT i IKT-anskaffelser, jamfør § 11 i selskapsavtalen
  • Kommunedirektøren må sikre at kommunen i større grad følger sin egen sikkerhetsstrategi for å nå sine sikkerhetsmål.
  • Kommunedirektøren må sørge for at kommunen har oversikt over sine sentrale informasjonsverdier og hvor kritiske disse er for kommunens drift og tjenesteproduksjon.
  • Kommunedirektøren må sørge for at alle aktørene i informasjonssikkerhetsarbeidet ivaretar sine funksjoner.
  • Kommunedirektøren må sikre at ansatte i større grad gjennomfører kommunens opplæringstiltak på informasjonssikkerhetsområdet.