Informasjonssikkerhet og innovasjon i Skatteetaten

Abstract

Trusselbildet til Skatteetatens IT-systemer er i konstant endring og endrer seg nå mye raskere enn det tidligere har gjort. I kombinasjon med økt digitalisering og krav til tilgjengelighet, har interessen fra kriminelle trusselaktører blitt en stor bekymring for både private og offentlige virksomheter.

For å være motstandsdyktige mot aktører med onde hensikter, må det eksistere sikkerhetsmekanismer samtidig som det må tilrettelegges for innovasjon og kreativitet blant ansatte. Skatteetaten har et høyt ambisjonsnivå og er en av de mest innovative virksomhetene i Norge, i tillegg til at de har en av samfunnsoppdragets viktigste oppgaver – å samle inn skatter og avgifter som finansierer velferdsstaten Norge.

Gjennom bruk av kvalitativ metode med dybdeintervjuer i kombinasjon med en spørreskjemaundersøkelse, ønsker jeg i denne oppgaven å kaste lys over hvilke praktiske utfordringer det er med høy innovasjonstakt og ambisjonsnivå, samtidig som vi har et komplisert trusselbilde og relativt liten risikoaksept. Dette forskningsarbeidet diskuterer om eksisterende sikkerhetsmekanismer hemmer innovasjonsarbeidet i Skatteetaten og hvordan vi kan være mer innovative på sikkerhetssiden, slik at vi er bedre rustet mot et dynamisk trusselbilde.

Funnene i dybdeintervjuene viser at eksisterende sikkerhetsmekanismer kan hemme innovasjonsarbeidet på enkelte områder. Samtidig påpeker intervjuene at innovasjon i sikkerhetsarbeidet er viktig for at Skatteetaten skal være motstandsdyktig mot det dynamiske trusselbildet. Konkret kom det blant annet frem at:

• Dokumentene på nivå 3 i styringssystemet for informasjonssikkerhet (SFI) kan virke hemmende på innovasjonsarbeidet til Planleggingsstaben • Det må innoveres på sikkerhetssiden gjennom safety 2 og ALARP prinsippet • Sikkerhetsstaben må være mer oppsøkende, synlig og ha fokus på bevisstgjøring gjennom hele året slik at sikkerhet blir en naturlig del av hverdagen

Svarene fra spørreunderundersøkelsen på sin side bekrefter at Skatteetaten har et dynamisk og komplisert trusselbilde, som gjør at det må jobbes mer effektivt for å øke motstandsdyktigheten. De konkrete funnene fra spørreundersøkelsen viser at:

• Skatteetaten har et dynamisk trusselbilde med avanserte trusselaktører, som også er det største utfordringen for IRT • Sikkerhetsstaben til enhver tid må være oppdatert på Skatteetatens trusselbilde, da IRT kvalitetssikrer sine metoder, prosesser og verktøy gjennom dem.

The Norwegian Tax Administration's IT threat landscape is in constant change and develops faster than before. In combination with the exploding digitalization and higher demands of availability, the interest from criminal threat actors has become a big concern for both private and public sectors.

To be resilient against actors with evil purposes, security mechanisms has to exist although we have to facilitate for innovation and creativity among employees. The Norwegian Tax Administration has a high level of ambition and is one of the most innovative businesses in Norway, in addition to have one of the most important social missions – collect taxes and fees which finances the welfare in Norway.

Through the use of qualitative methods with depth interviews, in combination with a questionnaire, I hope to throw lights on practical challenges when it comes to having high speed of innovation, while we have a complicated threat landscape and relative low risk acceptance.

This paper discusses whether existing security mechanisms hampers the innovative work in the Norwegian Tax Administration and how we can be more innovative in the security field in order to be more resilient.

The findings from the depth interviews shows that securitymechanisms can hamper innovation in certain areas. In addition the interviews emphasize that innovation is important in IT-security in order to be resilient against the dynamic threat landscape. The actual findings are:

• Reconsider the ownership of the documents at level 3 in the Information Security Management System (ISMS) • Innovation has to exist in IT-security, through the safety 2 and ALARP principle • The security staff needs to be more visible and focus on security awareness throughout the whole year, in order to get security a part of the everyday

The answers from the questionnaire on the other side, confirms that the Norwegian Tax Administration has a dynamic and complex IT threat landscape, which demands more efficient processes to achieve resilience. The concrete findings shows that:

• The Norwegian Tax Administration has a dynamic IT threat landscape with advanced threat actors, which is also the IRT's biggest challenge • The security staff needs to continuously be updated on the threat landscape, as the IRT keeps their methods, processes and tools effective through quality assurance with them