Riksrevisjonen med ny rapport: – Situasjonen er fortsatt alvorlig.

I 2022 slo Riksrevisjonen alarm om elendig sikkerhet og manglende samhandling i Forsvarets informasjonssystemer. Mye er blitt bedre, fortsatt bryter mange systemer sikkerhetsloven.

Dette bildet er tatt hos Cyberforsvarets IKT-tjenester (CIKT) på Kolsås i mars 2024. De er sentrale i arbeidet med informasjonssikkerhet i Forsvaret. Foto: Anette Ask / Forsvaret

I en rapport fra Riksrevisjonen torsdag heter det at tilstanden ved Forsvarets informasjonssystemer fortsatt er alvorlig. Undersøkelsen gjelder informasjonssystemer som blir brukt i operasjoner.

– Dette er en av de mest alvorlige rapportene vi har lagt frem noen gang, sa riksrevisor Karl Eirik Schjøtt-Pedersen i 2022 da den første rapporten ble lagt frem.

Fordi funnene var så alvorlige og kunne få store konsekvenser i krig og fredstid, ble det bestemt å gjennomføre en utvidet oppfølging.

Den nye rapporten ble presentert klokken 12 torsdag.

Bedre oversikt, men fortsatt alvorlig

Begge de to rapportene fra Riksrevisjonen er gradert informasjon. Her er noen av funnene i en ugradert kortversjon av den siste rapporten:

• Forsvaret har fått bedre oversikt over sine informasjonssystemer, men det er fortsatt behov for avklaringer.
• Forsvaret har fortsatt skjermingsverdige informasjonssystemer som ikke tilfredsstiller kravene i sikkerhetsloven.
• Forsvarets sikkerhetsstyring har en svak positiv utvikling, men det er fortsatt mangler.
• Forsvarets evne til å oppdage og stanse digitale angrep er blitt bedre, men det er fortsatt kapasitetsutfordringer.

Riksrevisor Karl Eirik Schjøtt Pedersen sier dette om oppfølgingsrapporten:

– Vi fremmer ikke kritikk. Det er satt i gang mange tiltak. Det mener vi er positivt, men det er for tidlig å si noe om omfanget og effekten. Alvoret i den opprinnelige undersøkelsen og at Stortinget og offentligheten blir informert om utviklingen, er årsaken til at vi leverer en løypemelding. Vi kommer til å følge denne saken videre.

Avlyste anbudskonkurranse

Mye har gått på tverke i Forsvarets arbeid med å få kontroll over egne IKT-systemer. Et av hovedproblemene skal være svært mange separate systemer som i liten grad klarer å kommunisere med hverandre. Og lite tyder på at de grunnleggende problemene som Riksrevisjonen pekte på, er blitt fikset.

I 2021 ble det lyst ut en tiårig kontrakt om såkalt militær anvendelse av skytjenester (MAST). Verdien på kontrakten ble anslått til å være på opp mot 16 milliarder kroner.

Men i februar 2023 meldte Forsvarsmateriell at hele anbudsrunden på systemet måtte avlyses.

– Målene med MAST består. Programmet skal levere en ny digital grunnmur for forsvarssektoren og modernisere forvaltningssystemene. I tillegg skal programmet utvikle IKT-virksomheten i sektoren med økt bruk av partnerskap og nye måter å jobbe på. Disse målene er nå viktigere enn noen gang, men vi ser at vi må rigge om planene for hvordan disse skal nås, uttalte daværende sjef for Forsvarsstaben, viseadmiral Elisabeth Natvig.

Inngikk konsulentavtale til 300 mill.

Ett år senere, i mars 2024, meldte Forsvarsmateriell at de hadde inngått en avtale med Capgemini verdt 300 millioner kroner for det de kaller «smidig støtte til programorganisasjonen Mime/MAST».

Men selve prosjektgjennomføringen ser ut til å dra enda mer ut i tid.

I den nye rapporten Riksrevisjonen la frem i dag heter det om dette prosjektet:

«Det er fortsatt betydelig risiko knyttet til IKT-satsingen i programmene Mime og MAST». Og videre:

• Det har tatt tid å få opp leveransekapasiteten i Mime, og det strategiske partnerskapet fungerer ikke etter intensjonen.
• Anskaffelsen av strategisk partner i program MAST er kansellert, og det er usikkerhet knyttet til gjennomføringen av programmet.

Dette bildet er tatt i 2011 og viser alarmsentralen ved Forsvarets senter for beskyttelse av kritisk infrastruktur (FSKI) på Jørstadmoen. Foto: Sindre Sørhus / Forsvaret

– Store konsekvenser for rikets sikkerhet

I 2022 meldte Riksrevisjonen at de fant en rekke mangler i informasjonssystemene Forsvaret bruker i operasjoner. Det ble påpekt sårbarheter i sikkerheten og at systemene fungerer for dårlig sammen i rapporten.

«Dette er en av de mest alvorlige rapportene Riksrevisjonen har lagt frem. Begrunnelsen er at svakhetene kan få store konsekvenser for rikets sikkerhet», het det i en av konklusjonene.

I den første undersøkelsen så Riksrevisjonen hovedsaklig på perioden fra 2017 til 2020. I den oppfølgende rapporten er det sett på forholdene i åren etter det.

- Svakhetene vi har oppdaget kan få svært store konsekvenser i krig og i fredstid, slo riksrevisoren fast i uvanlig sterke ordlag i 2022.