4.4 Sikkerhet
Informasjonssikkerhet
Det har ikke vært registrert noen alvorlige IKT-hendelser de siste årene. En økt profesjonalisering av cyberoperasjoner, den raske utviklingen innen kunstig intelligens og den sikkerhetspolitiske forverrede situasjonen globalt, gjør imidlertid det digitale cyberrisikobildet mer usikkert enn noen gang tidligere. Det jobbes kontinuerlig med å styrke sikkerheten ved å iverksette både tekniske og organisatoriske tiltak, og vi fortsetter dette arbeidet.
Vi har gjennomført en modenhetsvurdering i samarbeid med Netsecurity for å kartlegge nåsituasjonen knyttet til informasjonssikkerhetstilstanden.
Vurderingen omhandlet områdene identifisere, beskytte, detektere, respondere og gjenopprette, knyttet til arbeidet med informasjonssikkerhet. Kartleggingsprosessen viste at Mattilsynet har flere ressurser knyttet til IT-drift, utvikling og sikkerhet. Det er igangsatt mye arbeid, men samtidig viser analysen at det er et betydelig arbeid som gjenstår for å heve Mattilsynet til en mer optimalisert løsning. Det ble identifisert svakheter både innenfor de menneskelige, tekniske og organisatoriske områdene.
Med bakgrunn i modenhetsvurderingen ble det gjennomført en overordnet risikovurdering av informasjonssikkerhet. Risikovurderingen definerer topphendelsene som har blitt utarbeidet i samspill mellom Mattilsynet og Netsecurity. Noen av funnene fra prosjektet peker på ulike oppfatninger av hva som er kritiske funksjoner, hvilke understøttende systemer som er kritiske, og hvorfor ledelsen har prioritert Mattilsynets kritiske funksjoner slik det ble gjort gjennom prosjektet. Netsecurity sin hovedanbefaling var å etablere et styringssystem for informasjonssikkerhet for å sikre at arbeidet blir systematisert, og arbeidet med å sikre Mattilsynets verdier forbedres kontinuerlig. Risikovurderingen danner grunnlaget for arbeidet som er påbegynt med å lage en krise- og beredskapsplan. Det er viktig at denne planen blir implementert i Mattilsynet. På sikt vil det være mulig å gjennomføre øvelser for å teste at planverket funger slik Mattilsynet ønsker, i tråd med risikoakseptansekriteriene fra ledelsen. Arbeidet med krise- og beredskapsplanen fortsetter i 2024.
Personellsikkerhet
Vi har etablert nye rutiner for sikkerhetsklarering og autorisasjon. Et tilspisset trusselbilde har medført behov for å øke kunnskapen og bevisstheten til våre medarbeidere. Med bakgrunn i dette ble det utarbeidet en (obligatorisk) sikkerhetsbrief med spesiell vekt på trusselbildet, innsiderisiko og sikkerhetsbestemmelser.
Tidligere gjennomførte leder (autorisasjonsansvarlig) alle autorisasjonssamtaler. Denne rutinen er endret til at sikkerhetsrådgiver gjennomfører alle samtalene med leder til stede. Dette for å sikre konsistens og kompetanse.
Sårbarhetssamtaler er implementert som en del av det forebyggende personellsikkerhets-arbeidet. Samtalene gjennomføres med ansatte som har tilknytning til land som utgjør en høy sikkerhetstrussel for Norge (iht. PSTs årlige trusselvurdering). Intensjonen er å ivareta og beskytte den ansatte mot fremmed etterretning. Dette gjøres gjennom bevisstgjøring om trusselbildet og dialog om individuelle sårbarheter og informasjonstilgang.
Fysisk sikkerhet
I tredje kvartal ble det gjennomført en innstramming av adgangskontrollen ved enkelte kontorer. Det er også etablert ytterligere sikringstiltak for de beskyttede sonene, og lagt til rette for «kontrollert sone med autorisasjonsskille» ved flere av våre lokasjoner.
Styringssystem for sikkerhet
Styringsdokument for sikkerhet ble revidert i siste kvartal. Det er også utarbeidet nye instrukser for personellsikkerhet og fysisk sikkerhet. I desember ble ledelsens årlige gjennomgang av sikkerhetsarbeid gjennomført.
Sikkerhetsgraderte informasjonssystemer
Samtlige sikkerhetsressurser har deltatt i årlig sikkerhetsrevisjon av Nasjonalt BEGRENSET nett (NBN). I desember var vi i sluttfasen med å etablere NBN ved et nytt kontorsted, og samtlige regiondirektører har tilgang til NBN fra februar 2024. Det er også utviklet opplegg for opplæring for alle brukere av NBN.