De aller fleste statlige virksomhetene har lagt planer for hvordan de skal takle angrep og andre kriser knyttet til it-systemene.
Derimot er det et fåtall som øver på hvordan dette skal skje i praksis.
Det viser en kartlegging staten har gjort i eget hus. Dette er en årlig undersøkelse som har vært kjørt de siste 10 årene.
Les også: Norgeshistoriens største dataangrep blir ikke tatt på alvor
Trener ikke
Mer detaljert avdekker tallene fra it-direktoratet Difi at 73 prosent av etatene har sørget for å få på plass en beredskapsplan.
For de minste virksomhetene er det under halvparten som innfrir, mens andelen stiger merkbart hos de større.
Og det er kun 29 prosent, færre enn én av tre, som kjører en årlig beredskapsøvelse.
Drøyt halvparten av de store med flere enn 1000 ansatte kommer i mål her. Hos de minste med færre enn 100 ansatte er andelen skarve 17 prosent.
Ukjent risiko
Hos Difi leder seksjonssjef Lillian Røstad arbeidet med informasjonssikkerhet.
– Hva kan konsekvensene være av ikke å øve?
– I ytterste konsekvens vet man ikke hvilke risiko man lever med før det er for sent, sier Røstad.
– Når en hendelse inntreffer, har man ofte ikke tid til å forholde seg til skriftlige planer. Man må agere der og da. Og skal du handle i tråd med det som er planlagt, må du ha øvd regelmessig - slik at planene sitter i ryggmargen, poengterer hun.
Les også: IT-leverandørene får ansvaret for dataløsningene i staten
Toppene svikter
Årsaken til at det svikter på beredskap ligger mye hos ledelsen, men sjefene engasjerer seg lite i it-sikkerhet.
Som et minimum skal ledelsen i en statlig virksomhet ha en skikkelig gjennomgang av sikkerhetstiltakene hvert år.
Hensikten er at toppene skal ha oppdatert kunnskap om behov, status og tiltak.
Drøyt én av tre etater kan med hånden på hjertet svare ja på at de innfrir dette kravet.
– Bare 34 prosent snakker om it-sikkerheten på toppnivå - én gang i året, sier en tydelig skuffet Røstad.
Les også: Syv tips for sikrere mobilbruk
Har kontroll...
Selv om nivået på praktisk beredskap er lavt, slik det kommer frem i undersøkelsen, oppgir de fleste at de har kontroll på sikkerheten.
73 prosent mener at de har rutiner for å håndtere hendelser.
Og de fleste har en person som har ansvaret for it-sikkerheten. Men ansvaret blir gjerne liggende hos denne - som sliter med å få gjennomslag hos ledelsen.
– De sikkerhetsansvarlige synes fortsatt det er vanskelig å få gehør og dermed prioritet til sine oppgaver hos ledelsen, sier Røstad til Teknisk Ukeblad.
Les også: Derfor har Norge krevd brukerdata fra 68 Google-kontoer
Sjefene på skolebenken
Difi jobber med at statsetatene skal bli bedre på området.
Det handler om å holde årlige felles beredskapsøvelser. Og sikkerhetssjefene skal lære av hverandre i såkalte praksisfellesskap.
Her møtes sikkerhetssjefer for å diskutere problemstillinger og utveksle erfaringer. Og de mindre virksomhetene skal kunne lære av de større som har kommet lenger med dette arbeidet.
– Etter jul lanserer vi et e-læringsprogram i informasjonssikkerhet for ledere. For at sikkerhetsansvarlig enklere skal kunne kommunisere med sin leder, trenger de en del felles kunnskap. Det ønsker vi å legge til rette for med denne opplæringen, sier Lillian Røstad.
Les også:
IT-sjefen i staten skal slutte å snakke om teknologi