Riksrevisjonen, her ved riksrevisor Per-Kristian Foss, gir sterk kritikk til oppfølgingen av informasjonssikkerhet i universitetenes økonomisystemer. Foto: Skjalg Bøhmer Vold
Riksrevisjonen, her ved riksrevisor Per-Kristian Foss, gir sterk kritikk til oppfølgingen av informasjonssikkerhet i universitetenes økonomisystemer. Foto: Skjalg Bøhmer Vold

Riksrevisjonen: Sterkt kritikkverdig at departementet ikke har sørget for god sikkerhet i økonomisystemene til universiteter og høgskoler

Revisjon. Kunnskapsdepartementet har ikke fulgt opp svakheter som kan medføre feil i regnskapene til de fleste statlige universiteter og høgskoler, konkluderer Riksrevisjonen.

Publisert   Sist oppdatert

Riksrevisjonen konkluderer med at det finnes svakheter og mangler som svekker det generelle sikkerhetsnivået i økonomisystemene som er i bruk hos universitetene og høgskolene.

Manglene kan medføre feil i regnskapene til de fleste statlige utdanningsinstitusjonene.

Det går fram av rapporten til Riksrevisjonens revisjon og kontroll av budsjettåret 2017, også kalt Dokument 1 (2018-2019).

Sterk kritikk til Kunnskapsdepartementet

Fakta

Riksrevisjonens kritikkformer

Riksrevisjonen benytter følgende begreper for kritikk i alle sine dokumenter til Stortinget, med denne rangeringen etter høyest alvorlighetsgrad:

  • Svært alvorlig brukes ved forhold der konsekvensene for samfunnet eller berørte borgere er svært alvorlige, for eksempel risiko for liv eller helse.
  • Alvorlig benyttes ved forhold som kan ha betydelige konsekvenser for samfunnet eller berørte borgere, eller der summen av feil og mangler er så stor at dette må anses som alvorlig i seg selv.
  • Sterkt kritikkverdig angir forhold som har mindre alvorlige konsekvenser, men gjelder saker med prinsipiell eller stor betydning.
  • Kritikkverdig brukes for å karakterisere mangelfull forvaltning der konsekvensene ikke nødvendigvis er alvorlige. Dette kan gjelde feil og mangler som har økonomiske konsekvenser, overtredelse av regelverk eller saker som er tatt opp tidligere og som fortsatt ikke er rettet opp.

Det statseide aksjeselskapet Uninett og Universitetet i Oslo sin enhet for informasjonsteknologi (USIT), med sine underleverandører, har de siste årene levert økonomisystemer til totalt 19 statlige universiteter og høgskoler, som forvalter rundt 29 milliarder kroner i disse systemene.

Svakheter i tilgangsstyringen kan medføre uautoriserte endringer i økonomisystemene (...)
Riksrevisjonen

Men Kunnskapsdepartementet har ikke godt nok fulgt opp at systemleverandørene tilfredsstiller krav til informasjonssikkerhet, skriver Riksrevisjonen i rapporten, som konkluderer med at situasjonen er «sterkt kritikkverdig», og skriver rett ut:

«Departementet har ikke sikret at Uninett og USIT leverer tilfredsstillende sikkerhet i økonomisystemene.»

Flere av forholdene ble også påpekt allerede for to år siden, og er av en art som kan medføre feil i regnskapene, selv om Riksrevisjonen påpeker at de ikke har avdekket vesentlige feil når de har gått gjennom regnskapene for 2017.

Manglende krav

I rapporten trekker Riksrevisjonen fram at det fra departementets side i liten grad er stilt krav til drifts- og underleverandører, på flere felter:

«(...) blant annet arbeidsdeling, tilgangsstyring, passordoppsett, logging, endringshåndtering og sikkerhetskopiering, og for flere av områdene er det ikke etablert rutiner.»

Og videre:

«Svakheter i tilgangsstyringen kan medføre uautoriserte endringer i økonomisystemene mens manglende sporing, oppfølging og oppbevaring av logger vil gjøre det vanskelig å identifisere og eventuelt ansvarliggjøre enkeltindivider ved slik aktivitet.»

Riksrevisjonen har for øvrig kritisert uh-sektorens iverategalse av informasjonssikkerhet siden 2012.

Frist til nyttår

Statsråd Iselin Nybø ser alvorlig på de påpekte svakhetene, opplyses det i informasjon om oppfølgingen.

Samtidig som vi lukker avvik, ser vi på og forbedrer rutinene for å forhindre nye avvik.
Tor Holmen
Avdelingsdirektør, Unit

Fra 1. januar i år er det et nyopprettet direktorat, Unit, som har tatt over Uninetts oppgaver med å levere økonomisystemer til universitetene og høgskolene, og det er her tiltak for å løse utfordringene nå skal gjennomføres.

Departementet har bedt Unit om statusrapport for arbeidet innen 31. desember i år.

— Kunnskapsdepartementet ser alvorlig på Riksrevisjonens kritikk og vil følge opp alle avvikene revisjonen har avdekket. Departementet har bestilt en rapport fra Unit på status for alle de nødvendige tiltakene, også de som omfatter Usit, sier fungerende ekspedisjonssjef i Kunnskapsdepartementet, Rolf E. Larsen i en kommentar på epost.

— Høy prioritet

Avdelingsdirektør Tor Holmen i Unit forteller til Khrono at tiltakene for tiden har høy prioritet hos dem.

— Det vi konkret gjør nå, er at hvert enkelt moment som er kommet opp, blir adressert og utbedret. Samtidig som vi lukker avvik, ser vi på og forbedrer rutinene for å forhindre nye avvik, sier Holmen.

Han påpeker at det ikke er noe som tyder på at systemsvakhetene har ført til at informasjon har havnet på avveie, men at de kritikkverdige forholdene mer gjelder utydelige rutiner for å dokumentere kontroll og oppfølging av systemene.

— Målsetningen er at det aller meste av dette arbeidet skal være unnagjort til nyttår, sier Holmen.