Riksrevisjonen med sterk kritikk av universitet og høgskoler

Publisert:5. november 2018Oppdatert:5. november 2018, 08:40
Riksrevisjonen, her ved riksrevisor Per-Kristian Foss, gir sterk kritikk til oppfølgingen av informasjonssikkerhet i universitetenes økonomisystemer. Foto: Skjalg Bøhmer Vold

Kunnskapsdepartementet har ikke fulgt opp svakheter som kan medføre feil i regnskapene til de fleste statlige universiteter og høgskoler, konkluderer Riksrevisjonen.

Riksrevisjonen konkluderer med at det finnes svakheter og mangler som svekker det generelle sikkerhetsnivået i økonomisystemene som er i bruk hos universitetene og høgskolene.

Manglene kan medføre feil i regnskapene til de fleste statlige utdanningsinstitusjonene.

Det går fram av rapporten til Riksrevisjonens revisjon og kontroll av budsjettåret 2017, også kalt Dokument 1 (2018-2019).

Sterk kritikk av KD

Det statseide aksjeselskapet Uninett og Universitetet i Oslo sin enhet for informasjonsteknologi (USIT), med sine underleverandører, har de siste årene levert økonomisystemer til totalt 19 statlige universiteter og høgskoler, som forvalter rundt 29 milliarder kroner i disse systemene.

Men Kunnskapsdepartementet har ikke godt nok fulgt opp at systemleverandørene tilfredsstiller krav til informasjonssikkerhet, skriver Riksrevisjonen i rapporten, som konkluderer med at situasjonen er «sterkt kritikkverdig», og skriver rett ut:

«Departementet har ikke sikret at Uninett og USIT leverer tilfredsstillende sikkerhet i økonomisystemene.»

Flere av forholdene ble også påpekt allerede for to år siden, og er av en art som kan medføre feil i regnskapene, selv om Riksrevisjonen påpeker at de ikke har avdekket vesentlige feil når de har gått gjennom regnskapene for 2017.

Manglende krav

I rapporten trekker Riksrevisjonen fram at det fra departementets side i liten grad er stilt krav til drifts- og underleverandører, på flere felter:

«(…) blant annet arbeidsdeling, tilgangsstyring, passordoppsett, logging, endringshåndtering og sikkerhetskopiering, og for flere av områdene er det ikke etablert rutiner.»

Og videre:

«Svakheter i tilgangsstyringen kan medføre uautoriserte endringer i økonomisystemene mens manglende sporing, oppfølging og oppbevaring av logger vil gjøre det vanskelig å identifisere og eventuelt ansvarliggjøre enkeltindivider ved slik aktivitet.»

Riksrevisjonen har for øvrig kritisert uh-sektorens iverategalse av informasjonssikkerhet siden 2012.

Frist til nyttår

Statsråd Iselin Nybø ser alvorlig på de påpekte svakhetene, opplyses det i informasjon om oppfølgingen.

Fra 1. januar i år er det et nyopprettet direktorat, Unit, som har tatt over Uninetts oppgaver med å levere økonomisystemer til universitetene og høgskolene, og det er her tiltak for å løse utfordringene nå skal gjennomføres.

Departementet har bedt Unit om statusrapport for arbeidet innen 31. desember i år.

— Kunnskapsdepartementet ser alvorlig på Riksrevisjonens kritikk og vil følge opp alle avvikene revisjonen har avdekket. Departementet har bestilt en rapport fra Unit på status for alle de nødvendige tiltakene, også de som omfatter Usit, sier fungerende ekspedisjonssjef i Kunnskapsdepartementet, Rolf E. Larsen i en kommentar på epost.

— Høy prioritet

Avdelingsdirektør Tor Holmen i Unit forteller til Khrono at tiltakene for tiden har høy prioritet hos dem.

— Det vi konkret gjør nå, er at hvert enkelt moment som er kommet opp, blir adressert og utbedret. Samtidig som vi lukker avvik, ser vi på og forbedrer rutinene for å forhindre nye avvik, sier Holmen.

Han påpeker at det ikke er noe som tyder på at systemsvakhetene har ført til at informasjon har havnet på avveie, men at de kritikkverdige forholdene mer gjelder utydelige rutiner for å dokumentere kontroll og oppfølging av systemene.

— Målsetningen er at det aller meste av dette arbeidet skal være unnagjort til nyttår, sier Holmen.

Meld deg på vårt nyhetsbrev og få oppdateringer rett til din e-post!

Abonner på På Høyden nyhetsbrev feed