Revisors bidrag til bedre digital sikkerhet

Offentlig forvaltning er stadig mer avhengig av digitale systemer for å levere viktige tjenester til alle landets innbyggere, næringsliv og frivillig sektor.

Det bør være trygt å bruke digitale tjenester i Norge slik at brukerne kan ha tillit til at den nasjonale sikkerheten, den enkeltes velferd og demokratiske rettigheter blir ivaretatt i et digitalisert samfunn [1]. Hvordan kan så revisor bidra i dette viktige sikkerhetsarbeidet?

Digital sikkerhet - en forutsetning for digitalisering

KS – Kommunesektorens organisasjon har skrevet en artikkel om sikker digital transformasjon i kommunene (Er en trygg digital hverdag mulig i kommunene?) I artikkelen drøfter KS hvordan kommunene skal få til dette og foreslår at internkontroll og revisjon om mulig bør ha en annen tilnærming, f.eks. mindre dokumentkontroll og mer kontroll mot operasjonell funksjon og utførelse.

Riksrevisjonen har gjennom mange år gjennomført revisjoner av digital sikkerhet på viktige samfunnsområder for å undersøke om etatene sikrer informasjonen og beskytter IKT-systemene godt nok. En viktig utvikling i bruk av metoder er nettopp dreiningen bort fra ren dokumentkontroll mot mer dyptgående undersøkelser av om internkontrollen fungerer og analyser av det faktiske sikkerhetsnivået.

En viktig utvikling i bruk av metoder er nettopp dreiningen bort fra ren dokumentkontroll mot mer dyptgående undersøkelser av om internkontrollen fungerer og analyser av det faktiske sikkerhetsnivået.

Denne artikkelen gir en overordnet beskrivelse av hvordan vi planlegger og gjennomfører revisjoner av digital sikkerhet og noen eksempler på revisjoner med ulik revisjonstilnærming. Vi håper den kan inspirere andre revisorer til å se nærmere på dette viktige området.

Relevant og nyttig revisjon

Riksrevisjonen gjør løpende vurderinger av risikoen i de ulike sektorene i statsforvaltningen. Valg av revisjonstema for de revisjonene som gjennomføres er basert på vurderinger av risiko, vesentlighet, aktualitet og relevans. Betydning for samfunnet, befolkningen eller økonomi, om temaet er relevant for Stortinget og forvaltningen og om tidspunktet er riktig er også momenter i vurderingen. I tillegg er det viktig for oss at revisjonene kan bidra til å forbedre forvaltningen.

Offentlig revisjon beskrives som en systematisk prosess der revisor objektivt innhenter og evaluerer bevis for å avgjøre om et saksforhold samsvarer med etablerte kriterier [2]. Vi starter med å definere et mål som angir rammene for undersøkelsen, og problemstillinger som må besvares for å konkludere på målet.

Revisjonskriterier gir grunnlaget og målestokken for målet og problemstillingene. I tillegg må revisor planlegge hvilke metoder som skal benyttes for å innhente tilstrekkelig og hensiktsmessig revisjonsbevis for å gi svar på det vi ønsker å belyse gjennom revisjonen. Selv om tema er digital sikkerhet kan målet, problemstillinger, omfang, kriterier og metodevalg variere mye.

Kriterier

Det finnes mange gode kilder til kriterier for virksomhetenes arbeid med digital sikkerhet. For Riksrevisjonen er «Stortingets vedtak og forutsetninger» utgangspunktet for utledningen av revisjonskriteriene [3]. Dette kan være lovvedtak eller Stortingsvedtak.

Det finnes flere ulike regelverk som angir krav til sikring av informasjon og informasjonssystemer/IKT-systemer, avhengig av sektor eller hvilken type informasjon eller system som forvaltes. Kriteriene kan utledes fra sektorovergripende regelverk som personopplysningsloven og personvernforordningen, forvaltningsloven med eForvaltningsforskriften, sikkerhetsloven med forskrifter og Bestemmelser om økonomistyring i staten. Alternativt etter sektorspesifikt regelverk som politiregisterloven, helseregisterloven, energiloven mv.

Regelverkene gir føringer om styring, risikovurderinger og andre elementer i sikkerhetsarbeidet, men i liten grad krav til innretningen av sikkerhetstiltak. Enkelte regelverk eller veiledere til regelverk inneholder henvisninger til anerkjente standarder og anbefalinger som NS-ISO 27000-serien eller NSMs Grunnprinsipper for IKT-sikkerhet. Dette er uansett nyttige kilder for operasjonalisering av revisjonskriterier fra aktuelt regelverk.

Når sikringen av spesifikke IKT-systemer skal vurderes er det i tillegg nyttig å benytte sikkerhetsanbefalinger fra leverandøren av teknologien eller andre anerkjente anbefalinger av beste praksis for å sikre aktuelt system. Det finnes mange standarder, anbefalinger og veiledninger som omhandler sikkerhetsstyring og design av sikkerhetstiltak. For revisor er det viktig å bygge på de kriteriene som er mest relevante for undersøkelsen. Eksempelet under viser hvordan revisjonskriterier kan utledes fra personopplysningsloven slik at de blir detaljerte nok til å brukes i vurderingen av virksomhetens sikkerhetstiltak.

Figur 1 Eksempel på utledning av kriterier

Kilde: Riksrevisjonen

Metoder for revisjon

Å sammenligne revisjonsbevis fra ulike kilder ved bruk av forskjellige metoder/teknikker for å belyse ett tema kalles metodetriangulering [4]. Trianguleringen skal bidra til at revisor kan konkludere med betryggende sikkerhet. Grundig undersøkelse av et område gir revisor mulighet til å gi tydelige konklusjoner og nyttige anbefalinger til den reviderte virksomheten.

Riksrevisjonen har utviklet metodebruken i sikkerhetsrevisjoner fra mye bruk av dokumentanalyse og intervju til å forsterke grunnlaget for konklusjonen med revisjonsbevis fra dataanalyser og sikkerhetstesting. Hensikten er å kunne vurdere om virksomhetens sikkerhetsarbeid har gitt god nok digital sikkerhet. Det er avgjørende med god kommunikasjon med den reviderte virksomheten gjennom hele revisjonsprosessen slik at rapporten blir aktuell og relevant, og gjengir status på en korrekt måte. Resultatene fra revisjonen vil gi virksomheten innsikt i konkrete forbedringsområder samtidig som revisor får solide bevis for sine konklusjoner.

Riksrevisjonen har utviklet metodebruken i sikkerhetsrevisjoner fra mye bruk av dokumentanalyse og intervju til å forsterke grunnlaget for konklusjonen med revisjonsbevis fra dataanalyser og sikkerhetstesting.

Metodene som brukes mest for å belyse dette er:

  • Dokumentanalyse: analysere virksomhetens dokumentasjon av styringssystem for sikkerhet, risikostyring, interne føringer i standarder, retningslinjer og rutiner, dokumentasjon av digitale systemer, egne sikkerhetsrevisjoner eller gjennomganger mv.
  • Intervju: en strukturert samtale mellom revisor og ett eller flere intervjuobjekter. Intervju gjennomføres som regel som et møte og intervjuobjekt kan være virksomhetens toppledelse, IKT-ledelse, vanlige brukere og ikke minst de fagfolkene som arbeider med drift og vedlikehold av IKT-systemene og implementering av sikkerhetstiltak.
  • Spørreundersøkelse: benyttes dersom det er aktuelt å samle inn data fra et stort antall respondenter.
  • Dataanalyse: analyse av datauttrekk fra systemene, for eksempel alle brukerkontoer og rettigheter i systemene, konfigurasjonsdata fra operativsystem, databaser og applikasjoner, uttrekk som viser installert programvare med versjon, mv.
  • Sikkerhetstesting: etter avtale med virksomheten bruke ulike verktøy og teknikker som benyttes av etiske hackere for å simulere et digitalt angrep, for eksempel skanne tjenester som er tilgjengelig fra internett, forsøke å høste brukernavn og passord for å oppnå urettmessige rettigheter i systemene, utnytte sårbarheter i systemer eller teste sikkerhetsbevisstheten gjennom å simulere et phishingangrep.

I hvilket omfang vi benytter de ulike metodene avhenger av hva som skal belyses i undersøkelsen, jf. figur 2 under. Dersom revisor ønsker å vite noe om det faktiske sikkerhetsnivået for IKT-systemene må det inkluderes metoder for analyse av sikkerhetsoppsett og teknikker for å teste om det er mulig å omgå implementerte sikkerhetstiltak. Er revisjonen kun rettet mot aktiviteter i styring av sikkerhet vil det ikke være mulig finne ut om styringen har gitt virksomheten ønsket sikkerhetsnivå.


Figur 2 Modellen illustrerer hvordan revisjonen kan gjennomføres avhengig av hva som skal belyses i undersøkelsen

Kilde: Riksrevisjonen

Erfaringer og eksempler fra revisjonene

Status i sikkerhetsarbeidet

NSM påpeker at både private bedrifter og offentlige virksomheter som understøtter viktige verdier, må ha oppdaterte vurderinger av risiko og en gjennomgående risikostyringsprosess. Dette arbeidet må være kunnskaps- og risikobasert, noe som innebærer at styring og oppfølging må ledes av ansatte som kjenner virksomheten godt og som også har god og oppdatert forståelse for trussel- og risikobildet. NSM fremhever at de også må ha den øverste ledelsen i ryggen [5].

Våre revisjoner av digital sikkerhet viser at dette er råd som flere bør følge. Revisjonene viser at det er i de virksomhetene hvor det er interesse og engasjement for digital sikkerhet i toppledelsen, og god kompetanse og bevissthet ellers, som lykkes best. Sikkerhetsarbeidet må være tilpasset virksomheten og gjennomføres systematisk. Det er viktig at dette inkluderer jevnlige evalueringer av både styringssystem og sikkerhetstiltak.

Revisjonene viser at det er i de virksomhetene hvor det er interesse og engasjement for digital sikkerhet i toppledelsen, og god kompetanse og bevissthet ellers, som lykkes best.

For de fleste virksomheter er dette krevende å få til, og lav/moderat modenhet i styringen kan være årsaken til at sikkerhetsnivået er for lavt. Vi finner ofte vesentlige svakheter i flere av de anbefalt prioriterte tiltakene i Grunnprinsipper for IKT-sikkerhet. Svak sikring i kombinasjon med mangelfull evne til å oppdage sikkerhetshendelser og angrep gjennom logging og overvåking øker risikoen for at en virksomhet kan bli rammet av et digitalt angrep eller andre digitale hendelser. Dette kan igjen gi betydelige konsekvenser for virksomhetens evne til å levere tjenester og/eller medføre at sensitiv informasjon kommer på avveie, ofte uten at det oppdages.

Mange virksomheter jobber godt med planleggingen av sikkerhetsarbeidet. De fleste utarbeider policyer, retningslinjer mv. basert på anerkjente standarder eller anbefalinger. Både regelverk og anbefalinger legger i stor grad opp til at sikringen skal være basert på risikovurderinger. Det er imidlertid få virksomheter som får risikostyringen til å fungere som tiltenkt, og implementerte tiltak er dermed ikke risikobasert. Gjennom analyser av tekniske data og simulerte dataangrep avdekker vi svakheter i implementeringen av tiltak som virksomhetene burde ha oppdaget gjennom egen oppfølging og kontroll. I den grad virksomhetene gjennomfører egne kontroller blir avvik i varierende grad fulgt opp.

Figur 3 Oppsummering av status i de ulike fasene i sikkerhetsarbeidet

Kilde: Figuren illustrerer Riksrevisjonens generelle inntrykk av statusen i sikkerhetsarbeidet i statsforvaltningen basert på revisjoner av store og små virksomheter over flere år.

Eksempel på ulike innfallsvinkler i revisjoner av digital sikkerhet

Riksrevisjonen har gjennomført en rekke undersøkelser som omfatter digital sikkerhet. Vi vil trekke frem tre av dem for å vise hvilke resultater ulik bruk av innfallsvinkel og metoder kan gi.

Undersøkelse av informasjonssikkerhet i Norfund

Statens investeringsfond for næringsvirksomhet i utviklingsland (Norfund) har som mandat «å medvirke med egenkapital og annen risikokapital, samt yte lån og stille garantier til utvikling av bærekraftig næringsvirksomhet i utviklingsland». Fondet ble svindlet for 100 millioner kroner våren 2020 etter et målrettet dataangrep. Svindleren tok kontroll over en av de ansattes e-postkonto etter et phishing-angrep og lurte Norfund til å utbetale til en bankkonto som ble kontrollert av svindleren.

For å undersøke hvordan Norfund hadde ivaretatt arbeidet med risikostyring på informasjonssikkerhetsområdet ble det gjennomført intervju og dokumentanalyse. Det ble også gjennomført dataanalyse av uttrekk fra Norfunds IKT-systemer for å kontrollere et utvalg tekniske sikkerhetstiltak.

Undersøkelsen viste at selskapets risikovurderinger i hovedsak var rettet mot finansiell risiko. Informasjonssikkerhet som en risiko var undervurdert til tross for en tilsvarende hendelse hos en av Norfunds kunder i 2018. Norfund hadde satt ut IKT-infrastrukturen til en ekstern leverandør uten å sørge for tilstrekkelig intern kompetanse til å stille spørsmål og krav til leverandøren når det gjelder IKT-sikkerhet, og hadde i for stor grad basert seg på at leverandøren ivaretok dette. Norfund hadde vedtatt å iverksette tiltak som ville vanskeliggjort svindelen etter hendelsen i 2018, men hadde ikke gjennomført disse. Rapporten er tilgjengelig på: riksrevisjonen.no »»

Undersøkelse av helseforetakenes forebygging av angrep mot sine IKT-systemer

Helseforetakene drifter IKT-systemene ved alle offentlige sykehus og kan være interessante mål for både datakriminalitet, industrispionasje og statlig etterretning. I vår undersøkelse av helseforetakenes forebygging av angrep mot sine IKT-systemer ble det benyttet en rekke metoder for å belyse ulike sider av foretakenes sikkerhetsarbeid og IKT-systemenes sikkerhetsnivå. Denne revisjonen skiller seg fra tidligere revisjoner ved at revisorene på en systematisk måte brukte metoder for etisk hacking.

Ved å utnytte svakheter som ble avdekket underveis i revisjonen kunne vi undersøke hvilke konsekvenser et reelt dataangrep kunne ha fått. Gjennom de simulerte dataangrepene fikk vi høy grad av kontroll over IKT-infrastrukturen som sykehusene benytter i tre av fire helseregioner, og i tillegg tilgang til store mengder sensitive helseopplysninger i alle regionene. Analyser av data fra IKT-systemene viste også at alle fire helseregionene hadde vesentlige svakheter i grunnleggende tekniske sikkerhetstiltak. Svakhetene hang sammen med utfordringer i helseregionenes sikkerhetsorganisering og -styring, og sikkerhetsatferden blant helse- og IKT-personell.

Helseregionene manglet oversikt over sikkerheten i IKT-infrastrukturen og var på etterskudd i informasjonssikkerhetsarbeidet. En reell angriper ville kunne gjort stor skade på sykehusenes IKT-systemer, enten ved å gjøre systemene utilgjengelige eller ved å slette, manipulere eller stjele opplysninger om pasienter. Rapporten er tilgjengelig på: riksrevisjonen.no »»

Undersøkelse av NVEs arbeid med IKT-sikkerhet i kraftforsyningen

Kraftforsyningen er en sentral del av Norges kritiske infrastruktur. NVE skal påse at kraftselskapene gjør det de skal for å sikre beredskapen. Riksrevisjonen har undersøkt hvordan NVEs virkemiddelbruk bidrar til å styre IKT-sikkerheten i kraftforsyningen. For å belyse IKT-sikkerheten i kraftforsyningen og hvilke krav selskapene har størst utfordringer med å etterleve ble det blant annet gjennomført en caseundersøkelse i tre utvalgte selskaper av ulik størrelse. Resultatene fra caseundersøkelsen ble sammenstilt med andre kilder.

I caseundersøkelsen ble det sett nærmere på selskapenes rammeverk for arbeidet med IKT-sikkerhet, klassifisering av verdier, risikoanalyser, etterkontroller og sikkerhetsrevisjoner. I tillegg ble det gjennomført analyser og tester av den tekniske sikringen av IKT-systemene i samarbeid med selskapene og deres IKT-leverandører.

NVE hadde ført tilsyn med IKT-sikkerhet i alle de tre selskapene i 2019 eller 2020. I case-undersøkelsen fant vi flere svakheter og mangler som ikke ble avdekket i NVEs tilsyn. Disse gjaldt både gjennomføringen av risikoanalyser, evalueringer og sikkerhetsrevisjoner og grunnleggende sikkerhetstiltak. Vi avdekket flere svakheter og mangler som selskapene selv ikke var klar over, og som selskapenes internkontrollsystemer ikke hadde fanget opp. Rapporten er tilgjengelig på riksrevisjonen.no »»

Holde tritt med truslene

I en stadig mer utfordrende sikkerhetssituasjon hvor cyberangrep øker både i omfang og intensitet må offentlige virksomheter sørge for at sikkerhetstiltak blir implementert og at de fungerer som tiltenkt. For å få til dette må det arbeides systematisk med planlegging, evaluering og forbedring på alle nivåer i virksomheten slik at sikkerhetsarbeidet holder tritt med truslene. Intern eller ekstern revisor kan gjennom sine undersøkelser og revisjon gi nyttige bidrag til virksomhetenes sikkerhetsarbeid og fungere som pådrivere på området.

Intern eller ekstern revisor kan gjennom sine undersøkelser og revisjon gi nyttige bidrag til virksomhetenes sikkerhetsarbeid og fungere som pådrivere på området.

I Digitaliseringsstrategi for offentlig sektor 2019–2025 fremheves det at «Digital sikkerhet er en grunnleggende forutsetning for å opprettholde tillit til offentlig sektors IKT-systemer og offentlige digitale tjenester». Våre revisjoner viser at forvaltningen har utfordringer både i gjennomføringen av sikkerhetsarbeidet og risikostyringen, og at det kan være vesentlige svakheter i implementeringen av grunnleggende sikkerhetstiltak. Dette gjelder både tiltak som skal forebygge mot digitale angrep, men også de som skal bidra til å avdekke og håndtere digitale hendelser.

For å lykkes best mulig i sikkerhetsarbeidet er det etter Riksrevisjonens erfaring viktig at virksomhetene har en toppledelse som er interessert og engasjert i temaet, sørger for å ha kunnskap og bevissthet om IKT-sikkerhet og har et styringssystem som er tilpasset virksomhetens størrelse og kompleksitet. Konsekvensen av lav modenhet i sikkerhetsarbeidet er ofte lavt sikkerhetsnivå og økt risiko for at en angriper kan lykkes med enkle cyberangrep med potensiell stor skade.

Aktuelle revisjoner (tilgjengelig på riksrevisjon.no):

  • Undersøkelse av NVEs arbeid med IKT-sikkerhet i kraftforsyningen (Dokument 3:7 (2020-2021))
  • Undersøkelse av helseforetakenes forebygging av angrep mot sine IKT-systemer (Rapportvedlegg til Dokument 3:2 (2020-2021))
  • Undersøkelse av informasjonssikkerhet i Norfund (Rapportvedlegg til Dokument 3:2 (2020–2021))
  • Undersøkelser av informasjonssikkerhet i Dokument 1 (2019-2020):
  • - IKT-systemer i politiet
    - Utenriksdepartementet
    - Oljedirektoratet (rapport offentlig)
  • Undersøkelser av informasjonssikkerhet i Dokument 1 (2018-2019):
  • - Arbeids- og velferdsetaten
    - Direktoratet for økonomistyring (DFØ)
    - Arbeidstilsynet
    - Fylkesnemndene for barnevern og sosiale saker
    - Statens Kartverk

Noter:

  1. Regjeringen - Nasjonal strategi for digital sikkerhet
  2. Riksrevisjonen - Riksrevisjonens overordnede retningslinjer for revisjons- og kontrolloppgaver, versjon 5.3
  3. Se lov om Riksrevisjonen § 1
  4. Riksrevisjonen - Faglige retningslinjer for etterlevelsesrevisjon i regnskapsrevisjon versjon 7.0
  5. NSM - Risiko 2022 - Økt risiko krever økt årvåkenhet
Kristin Olsen arbeider i Metodeseksjonen for IKT-revisjon i Riksrevisjonen og har erfaring fra etterlevelse- og forvaltningsrevisjoner om sikkerhetsstyring og digital sikkerhet og utvikling av metodebruk.

Lenke til kontroll & revisjon nr. 3/2022:

https://www.nkrf.no/kontroll-og-revisjon/2022/3

Denne artikkelen ble publisert i kontroll & revisjon nr. 3/2022