Offentlig sektor i Norge er i høy grad avhengig av informasjons- og kommunikasjonsteknologi. Bruken av teknologi byr på nye muligheter, men skaper også en del sårbarheter, bl.a. knyttet til digital sikkerhet. Årets undersøkelse Digitalisering og IKT i offentlig sektor inneholder flere spørsmål om tiltak og aktiviteter knyttet til informasjons- og IKT-sikkerhet. Denne artikkelen oppsummerer de viktigste funnene.
Figur 1 viser at omtrent alle statlige virksomheter har systematiske risikovurderinger og setter inn nødvendig risikohåndtering etter risikovurderinger. Ni av ti av statlige virksomheter gir sine ansatte opplæring og/eller bevisstgjøring i informasjonssikkerhet minst én gang i året. Like mange svarer at lederne får opplæring i styring og kontroll av informasjonssikkerhet tilpasset ledelsesnivået.
At ledelsen øver på uønskede IKT-hendelser minst én gang i året, oppgir omtrent seks av ti statlige virksomheter. Ser vi på virksomheter av ulik størrelse, varierer andelen i ulike grupper. Den er lavest blant de minste virksomhetene som omfatter de med under 100 ansatte. Her gjennomfører halvparten slike øvelser. Store virksomheter med 500-999 ansatte og minst 1 000 ansatte har den høyeste andelen, hele åtte av ti virksomheter.
Samtlige fylkeskommuner og de fleste kommunene gjennomfører risikovurderinger systematisk, som det kommer frem av figur 2. Det holder også for det å sette inn nødvendig risikohåndtering. Alle fylkeskommuner tilbyr opplæring i informasjonssikkerhet til sine ansatte minst én gang i året. Blant kommuner utgjør andelen sju av ti. Ledere får opplæring i styring og kontroll av informasjonssikkerhet i åtte av ti kommuner og tretten av de fjorten fylkeskommunene. Som i stat, er det relativt få som oppgir at ledelsen øver på uønskede IKT-hendelser minst én gang i året, bare halvparten av fylkeskommunene og fire av ti kommuner.
De fleste i offentlig sektor har innført nye sikkerhetstiltak i løpet av det siste året
Figur 3 viser at både statlige virksomheter, kommuner og fylkeskommuner har vært aktive på å innføre nye sikkerhetstiltak i løpet av det siste året. Det svarer samtlige fylkeskommuner, omtrent ni av ti statlige virksomheter og like mange blant kommuner. Det er også mange som har evaluert Styringssystemet for informasjonssikkerhet er de kontinuerlige prosessene og aktivitetene som skal sikre oversikt, samt et systematisk og helhetlig arbeid med informasjonssikkerheten.. Andelen utgjør ni av ti statlige virksomheter og tolv av de fjorten fylkeskommunene, mens blant kommuner er den lavere, bare sju av ti.
Ser vi på aktiviteter med lave andeler, er det relativt få som oppgir å ha brukt erfaringer fra øvelser til å forbedre informasjonssikkerheten. Det gjør seks av ti kommuner og halvparten av fylkeskommunene. Færre statlige virksomheter og kommuner har endret eller fjernet innførte sikkerhetstiltak, sammenliknet med fylkeskommuner. I de førstnevnte gruppene er andelen seks av ti, mot elleve av de fjorten fylkeskommunene.
