Riksrevisjonen: Sterkt kritikkverdig at departementet ikke har sørget for god sikkerhet i økonomisystemene til universiteter og høgskoler

Riksrevisjonen konkluderer med at det finnes svakheter og mangler som svekker det generelle sikkerhetsnivået i økonomisystemene som er i bruk hos universitetene og høgskolene.

Manglene kan medføre feil i regnskapene til de fleste statlige utdanningsinstitusjonene.

Det går fram av rapporten til Riksrevisjonens revisjon og kontroll av budsjettåret 2017, også kalt Dokument 1 (2018-2019).

• Les også: Foss frykter ulovlig bruk av tilskudd i flere statlige forskningsselskaper

Sterk kritikk til Kunnskapsdepartementet

Det statseide aksjeselskapet Uninett og Universitetet i Oslo sin enhet for informasjonsteknologi (USIT), med sine underleverandører, har de siste årene levert økonomisystemer til totalt 19 statlige universiteter og høgskoler, som forvalter rundt 29 milliarder kroner i disse systemene.

Men Kunnskapsdepartementet har ikke godt nok fulgt opp at systemleverandørene tilfredsstiller krav til informasjonssikkerhet, skriver Riksrevisjonen i rapporten, som konkluderer med at situasjonen er «sterkt kritikkverdig», og skriver rett ut:

«Departementet har ikke sikret at Uninett og USIT leverer tilfredsstillende sikkerhet i økonomisystemene.»

Flere av forholdene ble også påpekt allerede for to år siden, og er av en art som kan medføre feil i regnskapene, selv om Riksrevisjonen påpeker at de ikke har avdekket vesentlige feil når de har gått gjennom regnskapene for 2017.

• Les også: Kritikk av leieavtaler og sikkerhet

Manglende krav

I rapporten trekker Riksrevisjonen fram at det fra departementets side i liten grad er stilt krav til drifts- og underleverandører, på flere felter:

«(...) blant annet arbeidsdeling, tilgangsstyring, passordoppsett, logging, endringshåndtering og sikkerhetskopiering, og for flere av områdene er det ikke etablert rutiner.»

Og videre:

«Svakheter i tilgangsstyringen kan medføre uautoriserte endringer i økonomisystemene mens manglende sporing, oppfølging og oppbevaring av logger vil gjøre det vanskelig å identifisere og eventuelt ansvarliggjøre enkeltindivider ved slik aktivitet.»

Riksrevisjonen har for øvrig kritisert uh-sektorens iverategalse av informasjonssikkerhet siden 2012.

• Les også: Deler ut 196 millioner til forskning på IKT-sikkerhet

Frist til nyttår

Statsråd Iselin Nybø ser alvorlig på de påpekte svakhetene, opplyses det i informasjon om oppfølgingen.

Fra 1. januar i år er det et nyopprettet direktorat, Unit, som har tatt over Uninetts oppgaver med å levere økonomisystemer til universitetene og høgskolene, og det er her tiltak for å løse utfordringene nå skal gjennomføres.

Departementet har bedt Unit om statusrapport for arbeidet innen 31. desember i år.

• Les også: Nytt direktorat har omsider fått navn

— Kunnskapsdepartementet ser alvorlig på Riksrevisjonens kritikk og vil følge opp alle avvikene revisjonen har avdekket. Departementet har bestilt en rapport fra Unit på status for alle de nødvendige tiltakene, også de som omfatter Usit, sier fungerende ekspedisjonssjef i Kunnskapsdepartementet, Rolf E. Larsen i en kommentar på epost.

— Høy prioritet

Avdelingsdirektør Tor Holmen i Unit forteller til Khrono at tiltakene for tiden har høy prioritet hos dem.

— Det vi konkret gjør nå, er at hvert enkelt moment som er kommet opp, blir adressert og utbedret. Samtidig som vi lukker avvik, ser vi på og forbedrer rutinene for å forhindre nye avvik, sier Holmen.

Han påpeker at det ikke er noe som tyder på at systemsvakhetene har ført til at informasjon har havnet på avveie, men at de kritikkverdige forholdene mer gjelder utydelige rutiner for å dokumentere kontroll og oppfølging av systemene.

— Målsetningen er at det aller meste av dette arbeidet skal være unnagjort til nyttår, sier Holmen.