Bakgrunn

Komiteen legger til grunn at det under regjeringen Solberg i 2017 ble gjennomført en konseptvalgutredning for IKT-løsning for departementsfellesskapet, samt at det våren 2021 ble startet et forprosjekt.

Komiteen legger også til grunn at dette ledet frem til et program for felles IKT-tjenester i departementsfellesskapet, som så ble kvalitetssikret i en KS2-prosess høsten 2021 og våren 2022.

I høringen uttalte statsråd Karianne O. Tung:

«Så endret man jo det målbildet. Man gikk fra FDs tonivåplattform mot høsten 2021 og tok en beslutning om å gå til privat lukket sky. Man arbeidet så med forprosjektet og gjorde det klart for ekstern kvalitetssikring våren 2022.»

Komiteen legger videre til grunn at planen i en periode var å bruke FDs tonivåplattform. Komiteen oppfatter også at det på dette stadiet var noe Nasjonal sikkerhetsmyndighet (NSM) ut fra sikkerhetshensyn vurderte var en mulig løsning.

Komiteens medlemmer fra Høyre og Venstre understreker at FDs tonivåplattform fortsatt er i daglig bruk av Forsvarsdepartementet og Statsministerens kontor, samt at den er sikkerhetssertifisert av Nasjonal sikkerhetsmyndighet (NSM).

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet viser til at tidligere forsvarsminister Gram sa følgende i høringen:

«Målbildet ved oppstart av programmet var å etablere en ny felles IKT-plattform gjennom anskaffelse i markedet. Den nye plattformen skulle i hovedsak være basert på en privat skyløsning levert av en tredjepart. De tidligere IKT-miljøene skulle samles i et nytt forvaltningsorgan underlagt det daværende Kommunal- og distriktsdepartementet. Ekstern kvalitetssikrer ga tilbakemelding om at valgt målbilde kunne være hensiktsmessig, men de ba oss om å vurdere å etablere en ny plattform med gjenbruk av komponenter fra Depnet/U.»

Videre viser disse medlemmer til det statsråd Tung sa:

«Så endret man jo det målbildet. Man gikk fra FDs tonivåplattform mot høsten 2021 og tok en beslutning om å gå til privat lukket sky. Man arbeidet så med forprosjektet og gjorde det klart for ekstern kvalitetssikring våren 2022.»

Slik det framstår for disse medlemmer, ble en kvalitetssikring påbegynt av regjeringen Solberg våren 2021. Den ble imidlertid stoppet da ekstern kvalitetssikrer mente at styringsdokumentene som forelå, ikke tilfredsstilte kravene for KS2, og at det dermed ikke var grunnlag for videre kvalitetssikring. Disse medlemmer viser til det departementsråd i Forsvarsdepartementet sa i høringen for å belyse hvordan dette ble oppfattet:

«Den eksterne kvalitetssikringen og starten på den, som egentlig ble anbefalt stoppet av en ekstern leverandør, var egentlig startskuddet for å begynne å vurdere om dette var en riktig vei videre. Så det var der vridningen mot en privat sky istedenfor FDs tonivåplattform egentlig startet.»

Disse medlemmer ser det slik at det departementsråd Hermansen svarte i høringen, illustrerer hvorfor man ikke gikk videre med FDs tonivåløsning:

«Det vi så da vi begynte å jobbe med å realisere den prinsippbeslutningen som var tatt tidligere, var at med en gang man skal ha med andre departementer som har helt andre grensesnitt – utenrikstjenesten med hundre utenriksstasjoner, Finansdepartementet med tunge makromodeller, osv. – ville det være ekstremt vanskelig og kostnadskrevende og innebære enormt mye ‘one-off’, altså særløsninger, for å kunne få det til å fungere. Det var nok også det som preget litt den første runden med ekstern kvalitetssikring, hvor ekstern kvalitetssikrer sa at grunnlaget ikke var godt nok for å gå videre. Dette var i 2020–2021. Da så vi at skal vi lage en plattform som møter de målsettingene – altså både sikker, effektiv og kostnadsforsvarlig drift – kunne ikke det bygges på FDs opprinnelige tonivåplattform. Derfor gikk man til Stortinget med endringsproposisjonen i 2022 og anbefalte at man brukte FDs plattform mot det graderte, men lagde en ny, ugradert plattform som skulle sikkerhetsgodkjennes, basert på en kommersiell leveranse fra leverandører. Så det er årsaken til at man gikk vekk fra det opprinnelige.»

Disse medlemmer viser til Prop. 18 S (2022–2023), hvor det står:

«Programmet legg til rette for ei felles løysing som handterer ugradert, ugradert skjermingsverdig og begrensa informasjon. Begrensa informasjon vil bli levert frå Forsvarsdepartementet si plattform. Ugradert og skjermingsverdig ugradert vil bli levert frå den nye verksemda sin plattform. Den nye plattforma vil bli basert på sky-teknologi, i hovudsak som ei privat, lukka løysning. Ein såkalla to-nivåklient for sikker og effektiv behandling av gradert og ugradert informasjon er under utvikling.»

Slik disse medlemmer ser det, er dette en klargjøring av at målbildet er endret fra en strategi som utelukkende baserer seg på FDs tonivåløsning. Det kommer klart fram at FDs løsning skal brukes mot det graderte, og at det lages en ny, ugradert plattform (sikkerhetsgodkjent) basert på kommersielle leveranser, slik det kommer fram av sitatet av departementsråd Hermansen over.

Komiteen merker seg at vurderingen så sent som i 2023 tilsa at det tekniske målbildet kunne nås gjennom delvis gjenbruk av eksisterende plattformer. Komiteen forstår videre at denne vurderingen senere ble endret som følge av IKT-angrepet sommeren 2023, og at beslutningen ble omgjort til at man måtte etablere en helt ny plattform for å sikre en felles, sikker og effektiv infrastruktur basert på én plattform.

Komiteen forstår svarene som ble gitt i høringen, slik at denne plattformen skal være felles for de ulike løsningene, som så skal tilpasses ulike behov for sikkerhet og gradering for forskjellige departementer og virksomheter.

Komiteen merker seg digitaliserings- og forvaltningsminister Karianne O. Tungs overordnede beskrivelse av arbeidet med ny felles IKT-plattform i kontrollhøringen 12. mai 2025:

«Programmet har eksistert over flere år, men fram til 2021 var arbeidet preget av interne uenigheter og lite framgang. Etter 2021 har vi hatt stram styring, og det har blitt oppnådd to viktige milepæler i prosjektet. Det første er at vi har etablert en ny virksomhet som samler de tidligere IKT-miljøene. […] Vi jobber nå med å ferdigstille den andre delen, nemlig å etablere en ny, felles IKT-plattform.»

Informasjon til Stortinget

Komiteen forstår det dithen at det har vært et omforent mål på tvers av de politiske skillelinjer å legge til rette for en felles digital plattform til bruk for alle departementer.

Komiteen oppfatter det som avklart at arbeidet med å utvikle en ny, felles IKT-plattform for departementsfellesskapet endret mål underveis i prosessen.

Slik digitaliserings- og forvaltningsministeren beskriver det, skjedde dette på to stadier: Hhv. som følge av KS2-prosessen vinteren 2022 og etter det alvorlige dataangrepet sommeren 2023.

I brev fra digitaliserings- og forvaltningsministeren 1. april 2025 står det:

«I forprosjektet som forelå på dette tidspunktet, var det lagt til grunn at departementene skulle ta i bruk FDs IKT-plattform. Kvalitetssikringen som ble påbegynt under forrige regjering våren 2021 ble stoppet. Ekstern kvalitetssikrer mente at styringsdokumentene som forelå ikke tilfredsstilte kravene for KS2, og at det derfor ikke var grunnlag for videre kvalitetssikring. I stedet ble det planlagt et tidsløp med sikte på å ha utarbeidet et ferdig forprosjekt innen utgangen av 2021. Det var i forbindelse med sluttføringen av dette reviderte forprosjektet – vinteren 2021–2022 – at FD og daværende Kommunal- og distriktsdepartementet (KDD) la til grunn at departementenes framtidige IKT-plattform skulle basere seg på en privat lukket skyløsning levert fra en tredjepart. Utviklingen på IKT-området og kartlegginger av departementenes behov for digitale tjenester og applikasjoner, gjorde det nødvendig å se på alternativer til plattformer som ikke ville legge like store begrensninger på brukerne som FDs plattform ville gjøre. Vurderingene var at FDs plattform måtte ha et høyt sikkerhetsnivå og -løsninger, siden den også skulle behandle lavgradert (BEGRENSET) informasjon. Dette ville kreve at man måtte være meget restriktiv med hvilke applikasjoner og tjenester som kunne legges på FDs plattform. Mesteparten av informasjonen som departementene håndterer, og applikasjonene de bruker for å behandle den, krever ikke et like høyt sikkerhetsnivå som FDs plattform har.»

Komiteen legger til grunn at regjeringen på dette stadiet, altså fra våren 2022 og frem til sommeren 2023, ikke lenger baserte seg på FDs tonivåløsning, men en kombinasjon hvor også DSS’ løsninger skulle inngå.

Komiteens medlemmer fra Høyre, Fremskrittspartiet, Rødt og Venstre kan ikke se at Stortinget på noe tidspunkt ble tydelig informert om denne nye vurderingen, hvor DSS’ plattform ble lagt til grunn som felles plattform.

Komiteen merker seg at digitaliserings- og forvaltningsministeren viser til informasjon i Prop. 18 S (2022–2023) fra Forsvarsdepartementet, hvor regjeringen beskriver arbeidet med den nye felles IKT-plattformen. Komiteen kan imidlertid ikke se at informasjonen som gis her, gjør det klart for Stortinget at arbeidet har endret karakter, og at premissene om å bygge på FDs tonivåløsning fra da arbeidet ble igangsatt, er blitt endret fra regjeringens side.

Komiteens medlemmer fra Høyre og Fremskrittspartiet finner det kritikkverdig at Stortinget ikke ble gjort uttrykkelig oppmerksom på at premissene for arbeidet var nye.

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet viser til at målbildet for oppstart av programmet var å etablere en ny felles IKT-plattform gjennom anskaffelser i markedet. Videre ble Stortinget informert i Prop. 18 S (2022–2023), som er sitert ovenfor, om at plattformen skulle baseres på en privat lukket skyløsning. Utenriks- og forsvarskomiteen hadde under behandlingen av Prop. 18 S (2022–2023) ingen merknader.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Senterpartiet, Sosialistisk Venstreparti, Rødt og Venstre, mener det er for tidlig å konkludere med om regjeringens valg av privat skyløsning framfor bruk av egne systemer var godt nok utredet, og om informasjonen til Stortinget var tilstrekkelig. Flertallet viser til at Riksrevisjonen har varslet en undersøkelse av det ureglementerte merforbruket av privat konsulenthjelp knyttet til IKT-prosjektet. Flertallet mener dette er kjernen i saken, og antar at undersøkelsen også vil kunne gi innsikt i om prosess og beslutninger i forkant av de økonomiske overskridelsene har vært forsvarlige. Flertallet understreker at komiteens høring har belyst saken på en nyttig måte, men mener grunnlaget for å konkludere er for tynt før Riksrevisjonens undersøkelse er gjennomført.

Komiteen legger til grunn at det omfattende dataangrepet i juli 2023 fikk store følger også for vurderinger knyttet til ny felles IKT-plattform for departementsfellesskapet. Det vises til svar fra digitaliserings- og forvaltningsministeren 18. februar 2025:

«Programmets tekniske målbilde var å videreutvikle IKT-plattformen som ble driftet av DSS. Etter dataangrepet mot IKT-plattformen til DSS sommeren 2023, var ikke dette målbildet lenger mulig å gjennomføre. Programmet ble derfor nødt til å utrede en ny løsning som var gjenstand for ekstern kvalitetssikring sommeren 2024. Stortinget fastsatte høsten 2024 ny kostnadsramme på 2,24 mrd. kroner inkl. mva., jf. behandlingen av FDs Prop. 1. S (2024–2025). Endringen i kostnadsrammen skyldtes i hovedsak dataangrepet 2023.»

I høringen 12. mai 2025 uttalte tidligere kommunal- og distriktsminister Sigbjørn Gjelsvik:

«Planen var å informere Stortinget om desse endringane i målbildet hausten 2023. Så langt kom vi aldri, på grunn av angrepet mot IKT-plattforma Depnet/U sommaren 2023. I juli 2023 oppdaga vi at ein avansert og ressurssterk trusselaktør hadde kome seg inn på e-postserverar på Depnet/U via den dåverande løysinga for synkronisering av e-post til tilsette sine mobile einingar.»

Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Senterpartiet, Fremskrittspartiet og Venstre, viser til at tidligere kommunal- og distriktsminister Gjelsvik i fortsettelsen av ovenstående sitat sa følgende:

«Denne løysinga er ein kommersiell programvare som vert brukt av mange verksemder globalt. Sikkerheitshòlet trusselaktøren utnytta, var ei såkalla nulldagssårbarheit. Utan å gå inn på tekniske forhold betyr ei nulldagssårbarheit at ein trusselaktør har identifisert og utnytta eit svakt punkt før leverandøren er kjend med det. Sårbarheiter av denne typen er nærmast umogleg å beskytte seg mot. Sikkerheitshòlet som vart oppdaga av oss, og som ramma fleire andre verksemder i verda, vart raskt tetta av programvareleverandøren. Som følgje av at trusselaktøren hadde kome seg inn på e-postserverane på Depnet/U, vart serverane kompromitterte. Før eg gjer nærmare greie for handteringa og oppfølginga av dataangrepet, vil eg understreke at eg ved to anledningar sommaren 2023 informerte Stortinget om dette på eigna måte.»

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet vil tilføye at Stortinget ble informert på egnet vis sommeren 2023 og i Prop. 1 S (2023–2024) fra både FD og KDD.

Digitaliserings- og forvaltningsministeren uttalte i høringen følgende om dette:

«Det gjorde at man igjen endret målbildet: først fra FDs tonivåplattform til privat lukket sky, og deretter til å ha privat lukket sky, men også med gjenbruk av komponenter fra Depnet/U. Det skulle man jo informere Stortinget om i Prop. 1 S for 2022–2023, etter et eksternt kontrollpunkt, som også hadde gått gjennom ekstern kvalitetssikrer, men da kom dataangrepet, som gjorde at Depnet/Us plattform ble kompromittert.»

På spørsmål fra representanten Carl I. Hagen om hvem som tok beslutningene, om å endre løsninger, svarte tidligere statsråd Bjørn Arild Gram:

«Det er jo den enkelte statsråd som på sine områder er konstitusjonelt ansvarlig, men du forankrer ting i regjering. I denne saken er det to statsråder som har vært ansvarlige for saksfeltet. Det er forsvarsministeren hele veien, og det er kommunal- og distriktsministeren, senere digitaliserings- og forvaltningsministeren, etter at departementet ble delt.»

På spørsmål fra representanten Audun Lysbakken om hvem som tok beslutningene og hvilket beslutningsgrunnlag som lå til grunn, svarte tidligere kommunal- og distriktsminister Sigbjørn Gjelsvik:

«Før dataangrepet kom det ein rapport frå ekstern kvalitetssikrar, som skulle vere grunnlag for dei vurderingane som skulle gjerast vidare i programmet, med forankring i regjeringa. Når det gjeld vurderingane som vart gjorde etter dataangrepet, har eg vist til nokre av dei prosessane som vart sette i gang mens eg var statsråd.»

Komiteens medlemmer fra Høyre og Fremskrittspartiet kan ikke se at høringen brakte på det rene når, hvordan og av hvem beslutningen om bytte av plattformløsning ble fattet. Disse medlemmer fastslår imidlertid at både skriftlige svar fra digitaliserings- og forvaltningsministeren og høringen brakte på det rene at beslutningen er blitt fattet på regjeringsnivå.

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet viser til tidligere forsvarsminister Gram for klargjøring av hvordan beslutning om bytte av plattformløsning ble fattet:

«Det er departementene som er konstitusjonelt ansvarlige, og statsrådene som tar beslutningene, men alle viktige beslutninger, milepæler og veivalg i programmet er forankret i regjering.»

Videre viser disse medlemmer til tidligere forsvarsminister Grams utdyping av hvem som hadde ansvar og tok beslutninger i prosjektet, på et spørsmål fra Carl I. Hagen om hvilken statsråd som la saken fram for regjeringen. Gram sa:

«I denne saken er det to statsråder som har vært ansvarlige for saksfeltet. Det er forsvarsministeren hele veien, og det er kommunal- og distrikts ministeren, senere digitaliserings- og forvaltningsministeren, etter at departementet ble delt.»

I brev til komiteen 1. april 2025 skriver statsråd Tung også:

«Før FD og KDD rakk å informere Stortinget om det endrede målbildet ved å delvis gjenbruke enkeltkomponenter fra Depnet/U, istedenfor å anskaffe en helt ny plattform, ble Depnet/U utsatt for et dataangrep. Dataangrepet skjedde sommeren 2023 ved at en avansert og ressurssterk trusselaktør utnyttet en såkalt nulldagssårbarhet i den gamle løsningen for synkronisering av e-post på mobile enheter.»

Komiteens medlemmer fra Høyre og Fremskrittspartiet kan ikke se at denne endringen tilsier at det ble mindre viktig å informere Stortinget om de nye vurderingene regjeringen hadde gjort seg. Disse medlemmer kan heller ikke se at en så vidt omfattende endring er blitt tydelig kommunisert til Stortinget. Disse medlemmer finner dette kritikkverdig.

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet mener det er godtgjort at vurderinger som er gjort underveis i prosjektet, har blitt kommunisert til Stortinget, jf. Forsvarsdepartementets Prop. 1 S (2023–2024) s. 70–71:

«Stortinget har ved behandlingen av Innst. 110 S (2022–2023) til Prop. 18 S (2022–2023) vedtatt at FD og KDD kan iverksette Program for Felles IKT-tjenester med en kostnadsramme på 1 392 mill. 2023-kroner inkl. mva (1 141 mill. 2023- kroner eks. mva) for programmets Endringstrinn 1 og 2 (1. januar 2021–30. mars 2025). Programmet er planlagt ferdigstilt i slutten av 2025. I programmet er det blant annet lagt til grunn at DSS’ plattform delvis skal kunne gjenbrukes. Som følge av dataangrepet mot DSS’ plattform sommeren 2023 vil programmet også vurdere alternative handlingsalternativer som innebærer etablering av helt ny plattform og mulig forsering av etablering av plattformen til første halvår 2024. På grunn av dette kan det være aktuelt å re-planlegge deler av programmet. Den foreslåtte rammen for 2024 er derfor noe usikker.»

Økonomi

Komiteen mener det er klarlagt at DSS ikke har hatt tilstrekkelig kontroll med bruken av konsulenter i arbeidet med ny IKT-plattform, og viser til svar fra digitaliserings- og forvaltningsministeren 18. februar 2025:

«Departementene ble 21. oktober 2024 varslet av DSS, om at samlet forbruk av rammeavtale for konsulentbruk på IKT-området hadde oversteget maksimal økonomisk ramme på 600 mill. kroner. For denne rammeavtalen mottok DSS statusrapporter fra leverandøren hver 6. måned. Som følge av høyt uttak på avtalen mellom rapporteringstidspunktene ble det ikke tidsnok oppdaget at avtalen ville bli oversteget i løpet av høsten 2024. DSS hadde på dette tidspunktet allerede satt i gang et arbeid for å få på plass en ny rammeavtale med forventet signering innen mars 2025. Arbeidet med inngåelse av ny rammeavtale ble intensivert så langt det var praktisk mulig. Ny avtale ble signert av DIO 25. januar 2025. […] Umiddelbart etter at DSS og departementene som brukte avtalen fikk kjennskap til overforbruk av avtalen, ble det iverksatt tiltak for å redusere bruken av avtalen til et absolutt minimum. Departementene og DSS så seg imidlertid nødt til å videreføre konsulentoppgaver som var helt nødvendig for å opprettholde driften og sikkerheten på IKT-plattformene til departementene. Det ble også vurdert som nødvendig å opprettholde et minimumsnivå av aktivitet i utviklingsprosjektene slik at disse ikke skulle stoppe opp.»

Komiteens medlemmer fra Høyre, Fremskrittspartiet, Rødt og Venstre mener det er tydelig at DSS ikke hadde oversikt og kontroll med bruken av konsulenter. Disse medlemmer mener det også er tydelig at endringen i programmet ikke førte til økt årvåkenhet og oppfølging av konsulentbruken. Disse medlemmer mener det også er tydelig at kontrollmekanismene i oppfølgingen ikke var tilstrekkelig gode.

Komiteens medlemmer fra Høyre og Fremskrittspartiet finner dette kritikkverdig.

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet viser til digitaliserings- og forvaltningsministerens svar i høringen:

«Jeg tror det er viktig at vi her skiller mellom arbeidet med IKT-plattformen og det som er kjent som emagine-avtalen, som Lysbakken er inne på.

Emagine-avtalen er en felles rammeavtale for bruk av konsulenttjenester innenfor IKT-området, altså en rammeavtale for IKT-tjenester som alle departementene kan benytte seg av. Utenriksdepartementet, Justisdepartementet – mange departementer har benyttet seg av denne avtalen. Den hadde en maksimal ramme på 600 mill. kr., og i høst ble det oppdaget at grensen for denne rammeavtalen var nådd. Man hadde også samlet sett gått over 600 mill. kr.

Med en gang vi fikk kjennskap til den overskridelsen, reduserte vi bruken til et absolutt minimum, så langt vi fikk det til uten at det skulle gå ut over sikkerheten til de IKT-tjenestene vi skulle utføre. Man startet umiddelbart arbeidet med å lage en ny rammeavtale for å ha den ut på anbud. Konkurransen ble kunngjort i starten av november 2024, og vi fikk en ny kontrakt i slutten av januar 2025.

Det er uheldig at det skjedde, og vi har gjort en rekke tiltak etter at vi oppdaget at denne rammeavtalen ble overgått, for å unngå at det skjer igjen. For det første har vi overført ansvaret for rammeavtalen på IKT-konsulentformidling fra DSS til DIO, siden DIO ble opprettet fra 1. januar. Vi har stilt krav til bedre internkontroll for å oppdage, for at dette ikke skal skje, og for å følge opp. Tidligere i denne rammeavtalen hadde man rapportering fra leverandør hver sjette måned. Vi har stilt krav om at man skal ha månedlige rapporteringer, nettopp for å unngå at dette skjer igjen.»

Komiteens flertall, medlemmene fra Arbeiderpartiet, Senterpartiet, Sosialistisk Venstreparti, Rødt og Venstre, viser til at kontroll med konsulentbruken etter alt å dømme vil være et helt sentralt spørsmål i den undersøkelsen som Riksrevisjonen har varslet. Flertallet mener derfor det er naturlig å vente med å ta stilling til spørsmålet om kritikk og graden av eventuell kritikk til undersøkelsen foreligger.

Sikkerhet

Digitaliserings- og forvaltningsminister Karianne O. Tung begrunnet i høringen programmet for felles IKT-tjenester i departementsfellesskapet slik:

«Programmet skal sørge for å oppnå to overordnede ting, for det første en ny, sikker og moderne IKT-plattform for Statsministerens kontor, alle departementene, Norges utenriksstasjoner, Departementenes digitaliseringsorganisjon, DIO, og Departementenes sikkerhets- og serviceorganisasjon, DSS. For det andre skal man etablere en ny, felles organisasjon som samler IKT-kompetansen i departementene.»

Komiteen registrerer at det tross stor ressursbruk og forsinkelser ennå ikke er lyktes med å få på plass en ny, felles IKT-plattform for departementsfellesskapet. Komiteen registrerer videre at det per 2025 ikke er en felles organisasjon for arbeidet med IKT-plattform, men to nye etater, nemlig Statens graderte plattformtjenester underlagt Forsvarsdepartementet og Departementenes digitaliseringsorganisasjon (DIO) underlagt Digitaliserings- og forvaltningsdepartementet.

I brev fra digitaliserings- og forvaltningsministeren 1. april 2025 skriver statsråden følgende om endringen bort fra FDs tonivåplattform:

«FD og DFD vurderte at det ikke var behov for å gjennomføre en egen sikkerhetsvurdering av Depnet/U, som følge av endret målbilde til å gjenbruke enkeltkomponenter fra denne plattformen. Dette fordi vi hadde et godt nok informasjonsgrunnlag om Depnet/U. Nasjonal sikkerhetsmyndighet (NSM) gjennomførte en penetrasjonstest1 av Depnet/U i 2022. Penetrasjonstesten ga gode tilbakemeldinger, og på bakgrunn av dette vurderte FD og DFD at det ikke var behov for en ny sikkerhetsvurdering av Depnet/U.»

I høringen uttalte tidligere statsråd Bjørn Arild Gram:

«La meg si noen ord om sikkerhetsvurderingene som ble foretatt i denne perioden. Nasjonal sikkerhetsmyndighet gjennomførte i 2022 en inntrengningstest av Depnet/U. Dette var en test av sikkerheten og sårbarheten til datasystemet gjennom planlagte og forhåndsbestilte angrep. Testen ga gode tilbakemeldinger på sikkerhetstilstanden til Depnet/U. Den bekreftet at det var mulig og sikkert å gjenbruke komponenter fra plattformen i den nye felles IKT-plattformen. Mot slutten av 2022 startet vi også et nødvendig oppgraderingsarbeid på komponenter i Depnet/U. Oppgraderingsarbeidet på Depnet/U, som startet opp i slutten av 2022, økte sikkerhetsnivået ytterligere og sørget for økt levetid på komponentene som ble vurdert å gjenbruke. Som følge av dette var det ikke behov for å gjennomføre en ny sikkerhetsvurdering av Depnet/U våren 2023. Det var uansett en forutsetning at ny felles IKT-plattform skulle godkjennes av Nasjonal sikkerhetsmyndighet. En annen viktig forutsetning for sikkerheten var at informasjon som er gradert i henhold til sikkerhetsloven, skulle lagres og behandles gjennom Forsvarsdepartementets IKT-plattformer. På grunn av dataangrepet mot Depnet/U sommeren 2023 måtte vi replanlegge målbildet for ny felles IKT-plattform. Vi gjennomførte sikkerhetsvurderinger av Depnet/U og vurderinger av handlingsalternativer på kort sikt. Tidligere kommunal- og distriktsminister vil redegjøre nærmere for håndtering og oppfølging av selve dataangrepet. Sikkerhetsvurderingene som ble gjennomført av tilstanden til Depnet/U etter dataangrepet, resulterte i at vi ikke lenger hadde tillit til komponentene som var tenkt gjenbrukt i ny felles IKT-plattform.»

Tidligere kommunalminister Sigbjørn Gjelsvik bekrefter det samme bildet og sa i høringen følgende:

«Våren 2023 gjennomførte vi det fyrste kontrollpunktet av programmet med ekstern kvalitetssikring. Målbildet som då vart kvalitetssikra, var ein ny felles IKT-plattform med gjenbruk av enkelte komponentar frå plattforma Depnet/U. Som Gram var inne på i sitt innlegg, vurderte både departementa og ekstern kvalitetssikrar våren 2023 at ei ny felles IKT-plattform med gjenbruk av nokre komponentar frå Depnet/U ville vere ein farbar veg, med tanke på både sikkerheit og økonomi.»

Representanten Frode Jacobsen stilte spørsmål ved hvilke sikkerhetsvurderinger som ble gjort da man gikk bort fra FDs tonivåløsning, og spurte bl.a. om følgende:

«Ved å gå bort fra FD II la man ikke sikkerheten bort, men ut fra hva Hermansen sa tidligere, var det ikke like hensiktsmessig å legge seg på samme sikkerhetsnivå på hele linja her som man ville gjort på FD II. Var det en vurdering man også fikk faglig støtte til fra NSM?»

Tidligere statsråd Bjørn Arild Gram svarte:

«Det var definitivt faglig anbefalt. I hvor stor grad NSM var inne i vurderingene da, klarer ikke jeg å svare på, men det var forutsatt at NSM skulle godkjenne løsningen til slutt. NSM skulle ha en rolle med tanke på løsningen vi skulle ende med. Det var en prosess – husk at vi gikk inn i et forprosjekt som så skulle kvalitetssikres. Det er mange steg her, og vi var fortsatt ikke der at beslutningen skulle tas. Det ble fremmet for Stortinget et år etterpå, etter at prosessen var tatt videre. Det har skjedd ting etter det igjen, som har gjort at vi har måttet planlagt på nytt.»

Komiteens medlemmer fra Høyre og Fremskrittspartiet finner at de praktiske følgene av dataangrepet sommeren 2023 viser at sikkerhetsvurderingene ikke har vært tilstrekkelig gjennomtenkte og holdbare i møte med virkeligheten. Disse medlemmer mener dette tyder på svake – og i ettertid feilaktige – vurderinger da regjeringen i forbindelse med KS2-prosessen valgte å endre målbildet for arbeidet. Disse medlemmer mener dette både har forsinket arbeidet og gitt økte kostnader, samt ikke gitt departementsfellesskapet en ny og tilstrekkelig sikker løsning.

Disse medlemmer finner dette kritikkverdig.

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet vil understreke at komiteen har liten innsikt i hvilke bakenforliggende sikkerhetsvurderinger som er gjort, all den tid komiteen ikke ønsket en lukket høring hvor disse kunne blitt utdypet.

For øvrig viser disse medlemmer til at tidligere statsråd Gram og statsråd Tung har redegjort for de sikkerhetsmessige vurderingene. Disse medlemmer mener den samlede vurderingen av sikkerhet, inkludert forutsetningen om godkjenning av NSM, er og har vært tilstrekkelig.

Disse medlemmer vil også vise til at angrepet sommeren 2023 var, slik tidligere kommunalminister Gjelsvik forklarte i høringen, et angrep fra en avansert og ressurssterk aktør som utnyttet en såkalt nulldagssårbarhet, som er så godt som umulig å beskytte seg mot. Angrepet rammet for øvrig flere land, sikkerhetshullet ble oppdaget av DSS, og leverandøren fikk tettet hullet på bakgrunn av den informasjonen som ble gitt av DSS.

Videre mener disse medlemmer at det fra alle hold har blitt påpekt at det var nødvendig å gå bort fra prinsippvedtaket som ble gjort av den daværende regjeringen Solberg om å bygge på FDs totrinnsmodell, og ikke minst ble dette stoppet av en ekstern kvalitetssikrer som regjeringen Solberg selv bestilte. Målet om å etablere en ny IKT-virksomhet og legge til rette for en felles digital plattform som skal tas i bruk av alle departementene og være innrettet mot å ivareta digital sikkerhet, vil sikre oss et framtidig moderne og effektivt IKT-system.

Videre viser disse medlemmer til at det kom fram i høringen, som svar på spørsmål fra representanten Kirsti Leirtrø, at saken handler om mer enn regjeringens saksbehandlingssystem. Representanten Leirtrø spurte om sammenhengen mellom langtidsplanen for forsvarssektoren og digitaliseringsstrategien. Digitaliserings- og forvaltningsminister Tung svarte følgende:

«Vi har jo satt som ambisjon at Norge skal bli det mest digitaliserte landet innen 2030, og den ambisjonen skal også gjelde offentlig forvaltning. Jeg synes forhistorien her – med fire IKT-miljøer hvor UD og utenriksstasjonene har sitt eget, Justisdepartementet har sitt eget, DSS har hatt sitt eget og FD og SMK har hatt sitt eget – egentlig eksemplifiserer hvor viktig det er å arbeide med å sørge for moderne digitale verktøy, sånn at man også får en moderne og digital forvaltning. Det er nettopp denne organiseringen som egentlig har hindret at man kan jobbe effektivt nok i årene som har vært, og som beskriver hvor viktig det er å få på plass denne plattformen, for at vi skal kunne nyttiggjøre oss nye teknologier, som KI, automatisering og maskinlæring, også i årene framover. Det er det ene punktet om hvorfor det er viktig med den felles IKT-plattformen, og så handler det – som forsvarsministeren er inne på – om sikkerhet. Vi lever i en verden der de digitale truslene øker for hver dag. Digital svindel er nå større på verdensmarkedet enn narkotikahandel. Det viser hvor viktig det er hele tiden å jobbe med sikkerhet i systemene. Å gå fra fire IKT-miljøer, hvor vi er sårbare og ineffektive, til ett felles IKT-miljø vil bidra til å øke sikkerheten i departementsfellesskapet og er en viktig milepæl for oss. Sikkerhet og modernisering av forvaltningen er viktige stikkord i arbeidet med felles IKT-plattform.»

Disse medlemmer mener statsråd Tungs svar også belyser et annet viktig poeng: at offentlig forvaltning får et sterkere og mer kompetent digitaliseringsmiljø, noe disse medlemmer mener er viktig i møte med en verden i rivende teknologisk utvikling.

Disse medlemmer vil også vise til representanten Jacobsen, som i høringen viste til at det har vært flere IKT-prosjekter i offentlig forvaltning som har vært utsatt for kritikk av kontroll- og konstitusjonskomiteen gjennom tidene. Disse medlemmer mener svaret til forsvarsminister Sandvik belyser et vesentlig poeng i arbeidet med ny IKT-plattform: at det hele tiden har vært jaktet på løsninger som skal sikre at man ikke har en utdatert modell i det den er ferdig, men tvert imot en modell som holder tritt med teknologiutviklingen:

«Jeg tenkte jeg ville legge til noe. Det kan jo godt tenkes man kommer tilbake hit, men nettopp disse kontrollfunksjonene er viktige. Det er derfor man har laget statens prosjektmodell, og det er derfor man har hatt denne grundige gjennomgangen – at man har både KS2, man har flere kontrollpunkter, og man har en fleksibel måte å gjøre det på for å kunne tilpasse seg virkeligheten, så man ikke ender opp med et utdatert system den dagen man innfører det. For her er det et teknologikappløp, der det også er kommersielle selskaper som er i lead på teknologiutviklingen, samtidig som vi må sikre at vi har nasjonal kunnskap og kunnskap internt i forvaltningen for å kunne skjerme ting som ikke vil passe seg å ha ut i rene kommersielle løsninger. Jeg synes nettopp denne kontrollfunksjonen understrekes av at det er viktig å ha denne utviklingen framover, og jeg synes statsråd Tung også har redegjort veldig godt for at dette følges veldig godt opp.»

Komiteens medlemmer fra Høyre og Fremskrittspartiet registrerer for det første at statsrådene ved flere anledninger trekker frem at angrepet skjedde i regi av en avansert og ressurssterk aktør. Med tanke på at dette er datasystemet til Norges regjering, og at vi er i en svært spent sikkerhetspolitisk situasjon, måtte det være å forvente at avanserte og ressurssterke aktører ville søke å utnytte enhver sårbarhet.

Disse medlemmer viser videre til at regjeringen før datainnbruddet fikk en helt konkret advarsel fra ekstern kvalitetssikrer om risikoen knyttet til gjenbruk av eksisterende ugradert nettverk. Høringen har ikke avdekket at statsrådene i regjeringen Støre foretok seg noe basert på denne advarselen, og at det snarere virker som statsrådene fortsatt – og tross de store negative konsekvensene av innbruddet – er tilfredse med valgene som ble tatt. Det vises til supplerende analyse fra A-2 Norge AS 26. april 2023, hvor tilråding 4 på side 18 lyder:

«Sikre kontroll over om infrastruktur som er benyttet for lagring og behandling av ikke-skjermingsverdige data oppgraderes til å bli benyttet for løsninger med et høyere sikkerhetsnivå.»

Disse medlemmer viser også til at det i høringen og oversendte dokumenter klart fremkommer at det er nivåforskjell på sikkerheten i FDs tonivåplattform og den løsningen regjeringen Støre valgte. Høringen har ikke avdekket at statsrådene foretok seg noe for å utfordre sikkerhetsnivået i den valgte løsningen, selv om det understrekes at prosjektet styres svært tett fra politisk ledelse.

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet mener målet for etableringen av plattformen er å ha et fornuftig sikkerhetsnivå tilpasset verdiene som skal beskyttes. Målet er ikke å ha høyest mulig sikkerhetsnivå. FDs tonivåplattform har et sikkerhetsnivå som ville satt store begrensninger for effektiviteten og samhandlingen til departementene. Det høye sikkerhetsnivået skyldes sammenkoblingen mot lavgradert, et hensyn man ikke trenger å ta med seg i utviklingen av en plattform for behandling av ugradert skjermingsverdig og ugradert informasjon. Høyres og Fremskrittspartiets merknad om at statsrådene ikke utfordret sikkerhetsnivået i den valgte løsningen, bygger på en feil vurdering om at sikkerhetsnivået på FDs tonivåplattform var det riktige nivået for behandling av ugradert skjermingsverdig og ugradert informasjon hos departementene. Det kom tydelig fram i høringen at det valgte tekniske målbildet innebærer at FDs plattform vil bli benyttet for informasjon som er gradert begrenset. Sikkerhetskravene for skjermingsverdig ugradert informasjon vil settes slik at plattformen kan godkjennes av NSM. Disse medlemmer viser til at Hermansen sa følgende under høringen:

«Da så vi at skal vi lage en plattform som møter de målsettingene – altså både sikker, effektiv og kostnadsforsvarlig drift – kunne ikke det bygges på FDs opprinnelige tonivåplattform. Derfor gikk man til Stortinget med endringsproposisjonen i 2022 og anbefalte at man brukte FDs plattform mot det graderte, men lagde en ny, ugradert plattform som skulle sikkerhetsgodkjennes, basert på en kommersiell leveranse fra leverandører. Så det er årsaken til at man gikk vekk fra det opprinnelige.»

Disse medlemmer viser videre til at Gram uttalte følgende under høringen:

«Her var det mulig å få sikre skyløsninger på norsk jord, med norske krav og norsk sikkerhet, sikkerhetskrav som vi selv stilte, sikkerhetsklareringer og så videre, som gjorde at du fikk de rette. Du fikk sikre løsninger og samtidig fleksible og hensiktsmessige løsninger som gjorde at departementene fikk dekket behovene sine. Det graderte skulle fortsatt leveres av Forsvarets plattformer.»

Videre viser disse medlemmer til følgende sitat fra Pettersen fra høringen:

«Som Hermansen var innom, er dette et marked som har vært i utvikling. Og det vi har sett, er at de store selskapene på skyteknologi og datasenter tilpasser løsninger mer og mer til nasjonale sikkerhetskrav. Det vi gjør i Norge, i vårt program, er likt tilsvarende vurderinger som gjøres i andre land. Vi har ulike kjøremiljøer basert på en verdivurdering av informasjonen. Det sikreste kjøremiljøet som gjelder ugradert, er en skjermingsverdig ugradert plattform, slik vi legger opp til. Den skal sikkerhetsgodkjennes, sammen med hele plattformen, av Nasjonal sikkerhetsmyndighet, men hvor vi bruker markedet som har oppdatert informasjon, stordriftsfordeler og erfaring med drift i en helt annen størrelsesorden enn det vi kunne klare å levere.»

Komiteens flertall, medlemmene fra Arbeiderpartiet, Senterpartiet, Sosialistisk Venstreparti, Rødt og Venstre, viser til sine tidligere merknader og vil avvente Riksrevisjonens undersøkelse før konklusjoner i saken trekkes.