Desember 15, 2020
Riksrevisjonen har i dag offentliggjort sin rapport “Kontroll med forvaltningen av statlige selskaper 2019” , hvor blant annet Norfunds informasjonssikkerhet er omtalt. Riksrevisjonens funn er i tråd med Norfunds egne funn og den uavhengige gjennomgangen som ble gjort av PwC i sommer.
Vi tar Riksrevisjonens funn alvorlig og vil bruke denne grundige gjennomgangen i vårt videre arbeid med å styrke Norfunds informasjonssikkerhet
Olaug Svarva, styreleder i norfund
Norfunds informasjonssikkerhet belyst av Riksrevisjonen
Norfund ble som kjent utsatt for en alvorlig svindel våren 2020. Vi iverksatte da umiddelbart flere tiltak for å styrke informasjonssikkerhet og risikostyring og fikk gjort en uavhengig gjennomgang av hendelsen fra PwC som ble levert til styret i juli. Norfund har videre arbeidet systematisk med å lukke gap og iverksette ytterligere tiltak.
Riksrevisjonens rapport konkluderer med at Norfund har undervurdert informasjonssikkerhet som risiko, ikke hatt tilstrekkelig oppfølging av tjenesteleverandøren av IKT-tjenester og at innføring av besluttede tiltak for å styrke å styrke informasjonssikkerheten tok for lang tid. Dette er i tråd med Norfunds egen vurdering og funnene i PwC-rapporten og et grunnlag for vårt kontinuerlige arbeid med å styrke informasjonssikkerheten.
Riksrevisjonen viser konkret til at det er flere brukerkontoer som har utvidede tilgangsrettigheter enn det som er beste praksis, spesielt hos tjenesteleverandøren. Rapporten påpeker også at det benyttes noen servere som ikke lengre støttes av leverandøren, og at enkelte programvarer hos noen brukere ikke er oppdatert. Riksrevisjonen skriver videre at flere av svakhetene er knyttet til tjenesteleverandørens oppgaveløsning og at Norfund ikke har hatt tilstrekkelig kompetanse til å følge opp disse svakhetene. Dette er også områder som nå adresseres.
Omfattende tiltak iverksatt
Norfund har, både før og etter Riksrevisjonens gjennomgang, iverksatt flere tiltak for å styrke informasjonssikkerheten, blant annet :
- Styrket systemer, herunder implementering av «SOC» (Security Operations Centre) fra Mnemonic
- Kompetansebygging ved å styrke opplæring og bevissthet rundt IT-sikkerhet hos alle ansatte og rekruttering av ny kompetanse
- Gjennomgang og bedring av prosesser og rutiner
- Styrket arbeid med risiko i ledelse og styre, blant annet gjennom opprettelse av et risiko- og revisjonsutvalg i styret og ansettelse av ekstern internrevisor
Riksrevisjonens hovedfunn er relevante og viktige for oss å ta tak i og vi har allerede gjort mye for å adressere funnene. Dette er kontinuerlig og hardt arbeid for å møte et trusselbilde i stadig endring
Tellef Thorleifsson, administrerende direktør i norfund
Kontakt for mer informasjon: Per Kristian Sbertoli, leder samfunnskontakt, 930 89 103 / per.kristian@norfund.no
