Svikten er avdekkja både i Finansdepartementet, i Senter for statleg økonomistyring, i Statistisk sentralbyrå, i Kredittilsynet, i Skattedirektoratet, i Toll— og avgiftsdirektoratet og Statens innkrevingssentral.

Det er også avdekkja svikt ved Noregs Bank si forvaltning av Statens pensjonsfond - utland, det tidlegare petroleumsfondet.

Misbruk

Konsekvensen kan vere auka risiko for misbruk av datasystema i desse verksemdene, fastslår Riksrevisjonen. Riksrevisjonen finn det «kritikkverdig at departementet ikke betre har ivaretatt det overordnede ansvar for å sikre at informasjonssikkerhet blir følgt opp på en tilfredsstillande måte» skriv Riksrevisjonen i rapport til Stortinget.

Det er svikt ved autorisasjonsprosessen som regulerer kven som får tilgang til datasystema. Det gjer at det er vanskeleg å kontrollere kven som har tilgang. Det er også avdekkja at det ikkje er samsvar mellom autorisering og faktisk tilgang.

Sagt med andre ord inneber det at folk har fått tilgang til sensitive data utan å vere autorisert for det.

Tilgang utan «spor»

Riksrevisjonen har også avdekkja at verksemdene ikkje gjennomfører periodisk kontroll av kva tilgangar brukarane har.

Kontrollen har avdekkja at fleire av verksemdene har brukarkonti som skulle ha vore sperra. Det har også vist seg at fleire av verksemdene har brukarkonti som ikkje er knytt til ein bestemt person.

Dette inneber at brukarar kan få tilgang til sensitive data utan å bli identifisert eller etterlate «fingeravtrykk».

«Opne brukerkonti kan vere gjenstand for misbruk, og upersonlege brukerkonti reduserer i tillegg moglegheita for sprbarhet» skriv Riksrevisjonen.

Granskinga har vidare avdekkja at ei av verksemdene ikkje hadde fastsett skriftlege krav til passord. I fleire av verksemdene vart det konstatert manglande samsvar mellom krava som er fastsett for passord og praksisen som vart følgd. Det var også andre feil eller manglar som kunne resultere i at uvedkomande får urettmessig tilgang til datasystema i verksemdene.

Sterkt motstridande

— Vi er samd at vi har hatt svikt i rutinane, men det har vi no fått rydda opp i, seier ekspedisjonssjef Heidi Heggenes i Finansdepartementet.

— Riksrevisjonen stemplar forholdet som «kritikkverdig» og at ein her kunne ha opplevd misbruk?

— Ja, men det er ikkje påvist noko tilfelle der det har skjedd misbruk, seier Heggenes.

«Oppryddinga» ho viser til, gjeld internt i Finansdepartementet. Men ho legg til at departementet har bede etatane følgje opp og rette seg etter tilvisingane frå Riksrevisjonen. Sjølv vil departementet følgje dette opp i den årlege styringsdialogen med etatane.

Ekspedisjonssjef Thor Kristian Svendsen i Riksrevisjonen påpeikar at Riksrevisjonen sin kontroll ikkje har gått ut på å finne tilfelle av misbruk, men å avdekkje svikt i rutinane.

— Vi har påvist at det er gjennomgåande og omfattande svikt i både departementet og i nesten alle underliggjande etatar. Dette er alvorleg og det er ikkje utan grunn at revisorkollegiet uttalar at dette er kritikkverdig, seier Svendsen.