Denne nettsiden er arkivert og vil ikke bli oppdatert.

Sikkerhet og beredskap

Sikkerhets- og beredskapsarbeidet er sentralt for at Digdir skal kunne løse sitt samfunnsoppdrag. I 2022 gjorde internasjonale hendelser at sikkerhetssituasjonen ble skjerpet også for Digdir gjennom flere cyberangrep og et økende trusselbilde. Gjennom året styrket vi sikkerheten og beredskapen ved å etablerte et styringssystem for sikkerhet.

Bilde person med PC

Mål

Hovedmålet for arbeidet med sikkerhet og beredskap i Digdir er å sikre at virksomheten har tilstrekkelig sikkerhet i sine tjenester og leveranser. Det viktigste målet i 2022 har vært å etablere styringssystemet for sikkerhet, som inkluderer nasjonal sikkerhet, informasjonssikkerhet, beredskap og krisehåndtering.

Resultat

Den viktigste leveransen i 2022 var at Digdir etablerte et styringssystem for sikkerhet som dekker samfunnssikkerhet og de mer operative funksjonene knyttet til informasjonssikkerhet og beredskap. Vi er i full gang med å implementere oppdaterte retningslinjer på våre fagområder, i tett samarbeid mellom virksomhetsstyring, leverandøravdelingene, HR og kommunikasjon.

Videreutvikling av policy, rutiner og retningslinjer har vært viktig for å sikre ett helhetlig styringssystem for sikkerhet, og i løpet av 2022 ble flere retningslinjer og rutiner revidert og implementert som ledd i arbeidet med å styrke sikkerhetsarbeidet. Vi har innarbeidet NSMs grunnprinsipper for sikkerhetsstyring og styrket det generelle internkontrollarbeidet knyttet til sikkerhet og beredskap.

Den sentrale sikkerhetsfunksjonen har en virksomhetsovergripende og koordinerende rolle for sikkerhets- og beredskapsarbeidet i Digdir, og samarbeider tett med fagavdelingene. I 2022 styrket vi den sentrale sikkerhetsfunksjonen med én ny stilling.

Gjennom året videreutviklet og oppdaterte vi den årlige risiko- og sårbarhetsanalysen for arbeidet med samfunnssikkerhet, også kalt RoS-analysen - i tråd med samfunnssikkerhetsinstruksen. I dokumentet vurderer vi tilsiktede og utilsiktede hendelser som kan true vår kritiske funksjonsevne og sette grunnleggende samfunnsverdier i fare.

Vi gjennomførte et større arbeid med å kartlegge status for sikkerhetsområdet i direktoratet. Vi etablerte et Statement of applicability (anvendelighetserklæring) som viser hvilke sikringstiltak som er relevante for virksomheten basert på ISO 27001/02. Anvendelighetserklæringen dannet grunnlag for å utarbeide en Gap-analyse for sikkerhetsområdet. Gap-analysen viser flere forbedringspunkter for Digdirs arbeid med sikkerhet. Derfor utarbeidet vi en rapport om «Kartlegging (informasjons-)sikkerhet» som har resultert i et porteføljeprosjekt som skal følge opp identifiserte forbedringstiltak. Vi ser forbedringstiltakene og prioriteringen i lys av det skjerpede trusselbildet Digdir opererer i, virksomhetens rolle som leverandør av nasjonale fellesløsninger og kritiske samfunnsfunksjoner, samt den tilliten virksomheten har som premissgiver for informasjonssikkerhet. Dette arbeidet fortsetter i 2023.

For å styrke beredskapen utarbeidet vi en ny overordnet beredskapsplan for Digdir. Vi anskaffet beredskaps- og krisestøtteverktøy CIM, og utarbeidet et flerårig opplærings- og øvingsprogram som skal sikre et kompetanseløft for alle ansatte med ansvar for beredskap og krisehåndtering.

Vi har prioritert systematisk opplæring i informasjonssikkerhet for alle nye medarbeidere, gitt regelmessig informasjon om sikkerhet og digitale hendelser til medarbeidere, og gjennomført øvelser der virksomheten fant det nødvendig. Digdir deltok også i den årlige nasjonale sikkerhetsdugnaden, Sikkerhetsmåneden.

2022 ble avsluttet med ledelsens årlige gjennomgang og evaluering av sikkerhets- og beredskapsarbeidet. Sentralt i denne gjennomgangen var en evaluering av Digdirs styringssystem for sikkerhet, sikkerhetsmål og utviklingsbehov.

Utfordringer

RoS-analysen for 2022 trekker fram følgende risikoområder:

  • (R1) Digitale angrep
  • (R2) Drift av nasjonale fellesløsninger
  • (R3) Sikkerhetsstyring
  • (R4) Beredskap og kriseledelse
  • (R5) Tilgang til sikkerhetsressurser

Risikoområdene er inndelt i fem risikoscenarioer og presenterer et aggregert risikobilde for Digdirs rolle i arbeidet med samfunnssikkerhet. I RoS-analysen redegjør vi videre for pågående, gjennomførte og anbefalte risiko- sårbarhetsreduserende tiltak knyttet til de fem risikoområdene.

Digitale angrep mot nasjonale fellesløsninger er en alvorlig sikkerhetsrisiko. I 2022 så vi en ytterligere skjerping av det digitale trusselbildet. Den 29. juni 2022 ble Altinn og ID-porten utsatt for målrettede tjenestenektangrep (DDoS-angrep). Den pro-russiske hackergruppen Killnet påtok seg ansvaret for angrepene.

Prioriteringer og tiltak

En hovedaktivitet i 2023 er å videreutvikle og ta i bruk det nye styringssystemet for sikkerhet.

I 2023 vil vi følge opp identifiserte forbedringstiltak gjennom porteføljeprosjektet "Oppfølging av gap-analyse for sikkerhet".

Opplærings- og øvingsprogrammet for beredskap og krisehåndtering skisserer flere tiltak som vi vil følge opp i 2023. Tiltakene vil styke kompetansen til ansatte som har arbeidsoppgaver knyttet til beredskap og krisehåndtering.

Prioriterte tiltak fra ledelsens gjennomgang er tatt inn som utviklingsoppgaver i virksomhetsplanen for 2023.

Digdir har ansvar for samfunnskritiske fellesløsninger. Det stiller høye krav til arbeidet med sikkerhet og beredskap.

Les videre

Kapittel 5: Vurdering av framtidsutsikter