Svaret må være nei. Likevel ble dette spørsmålet høyst relevant i den såkalte Lantmäteriet-saken i Sverige. Saken er relativt lite kjent i Norge, men gir mange viktige læringspunkter for oss som arbeider med internrevisjon, virksomhetsstyring og risikostyring.
Kort om saken
Lantmäteriet er en svensk offentlig etat tilsvarende Kartverket i Norge. I all sin enkelhet handlet saken om at digitale kart over Sverige var gjort åpent tilgjengelig for allmennheten. I utgangspunktet høres dette både fornuftig og brukervennlig ut. Problemet var at kartene også inneholdt informasjon om forsvarsinstallasjoner og andre objekter som var underlagt strenge hemmeligholdsbestemmelser.
Situasjonen ble ytterligere forverret ved at tilgangen til databasen var helt ubegrenset:
det var ingen innlogging, ingen tilgangsstyring, ingen registrering og ingen logging. Dermed var det umulig å etterprøve hvem som hadde hatt tilgang til kartene, eller hvilke områder som var blitt besøkt.
Internrevisjonens rolle
Heldigvis hadde etaten en etablert internrevisjonsfunksjon. Internrevisjon identifiserte og varslet om svakhetene, og det ble utarbeidet anbefalinger for utbedring. Linjeleder ga løfter om oppfølging, men tidsfrister ble oversittet uten at nødvendige tiltak ble iverksatt.
Etter hvert ble juridisk avdeling involvert, saken ble eskalert, og det ble stilt krav om å stenge den digitale tilgangen. Utfallet ble nettopp dette: tilgangen ble stengt, og arbeidet med å etablere forsvarlig styring av identiteter og tilganger (IAM), samt logging av bruk, ble igangsatt. Det hører også med til historien at øverste leder til slutt måtte fratre sin stilling.
Hva kan vi lære?
Kunnskapen om saken er offentlig tilgjengelig gjennom utredningen Ds 2026:2 Granskning av Lantmäteriets informationssäkerhet. Slike granskingsrapporter gir en verdifull mulighet til å lære av andres feil – uten at egen organisasjon må betale prisen. Min grunnleggende holdning er at når noe først går galt, bør lærdommen komme mange til gode.
Rapporten viser tydelig at årsakene til situasjonen ikke kan tilskrives én enkelt person, selv om toppleder tok det formelle ansvaret. Svikt oppsto i flere ledd av organisasjonen. Samtidig er det verdt å fremheve de positive elementene, særlig at internrevisjonen fungerte etter sitt mandat. Utfordringen var at internrevisjonens bekymringer over lang tid ikke ble tillagt tilstrekkelig vekt.
Forbedringspunkter i virksomhetsstyringen
Granskingen peker på en rekke områder der virksomhetsstyringen og den interne kontrollen bør styrkes, blant annet:
- Sikkerhet og internkontroll må prioriteres tydelig i ledelsen
- Den interne kontrollstrukturen bør styrkes, blant annet gjennom en tydelig trelinjemodell
- Tilgangsstyring og dataklassifisering må være sentrale kontroller
- Logging, overvåking og hendelseshåndtering må etableres
- Samsvar med lover og forskrifter må sikres
- Helhetlig risikostyring med et integrert sikkerhetsperspektiv bør utvikles
- En kultur for internkontroll og varsling må bygges og vedlikeholdes
- Internrevisjonens anbefalinger må følges opp systematisk og med tydelig ansvar
To sentrale læringspunkter
Jeg tar særlig med meg to hovedpoenger fra denne saken:
- Internrevisors ansvar for eskalering. Det er avgjørende at internrevisor ikke bare identifiserer og varsler om alvorlig risiko tidlig, men også eskalerer saken når det blir tydelig at risikoen ikke reduseres gjennom ordinær oppfølging.
- Betydningen av felles kultur og retning. Saken illustrerer risikoen ved sprikende holdninger i organisasjonen. Ett fagmiljø la avgjørende vekt på åpenhet og kundevennlighet i digitale løsninger, og vurderte dette som viktigere enn sikkerhetsbekymringene som ble løftet av internrevisjon. Mangelen på en felles og tydelig sikkerhetskultur bidro vesentlig til at situasjonen fikk utvikle seg.
