Bedre informasjonssikkerhet og personvern i høyere utdanning og forskning – Nettkriminalitet utgjør størst risiko


Arbeidet med informasjonssikkerhet og personvern i universitets- og høgskolesektoren er styrket og har hatt en positiv utvikling siste året. Likevel er det høy risiko for at sektoren ikke når sine mål for dette arbeidet i inneværende strategiperiode.

Foto: Shutterstock

Unit har gjennomført sin andre kartlegging av tilstanden for informasjonssikkerhet og personvern ved universiteter, høgskoler og øvrige virksomheter underlagt Kunnskapsdepartementet (KD). Rapporten «Informasjonssikkerhet og personvern i høyere utdanning og forskning: Risiko- og tilstandsvurdering 2020» er nå klar, og hovedkonklusjonen er at sektoren har styrket ressursinnsatsen det siste året og jobber mer systematisk på dette feltet. Viktige tiltak er iverksatt og ledelsesforankringen er i hovedsak god.  

Men fortsatt gjenstår mye. Unit mener at risikoen er høy for at flere av målene for arbeidet med informasjonssikkerhet og personvern i sektorens digitaliseringsstrategi ikke nås som planlagt.  

– Informasjonssikkerhet og personvern er sentrale fundamenter for digitalisering i forskning og høyere utdanning, og tilstandsrapporten viser en positiv utvikling på dette feltet det siste året. Videreutvikling av sikkerhetskultur og den operative sikkerheten blir viktig også i tiden som kommer, sier Unit-direktør Roar Olsen.

Nettkriminalitet største risikofaktor 

Sektoren forvalter enorme verdier, i form av informasjon (forskningsdata og personopplysninger) og infrastruktur. Ulike former for nettkriminalitet utgjør største risiko for brudd på personvern- og informasjonssikkerhet i sektoren. Dette gjelder spesielt nettkriminalitet som fakturasvindel, direktørsvindel og kompromittering og misbruk av brukerkontoer.  

Interne forhold som mangel på kompetanse eller uklar arbeidsorganisering i den enkelte virksomhet er også risikofaktorer for uønskede sikkerhetshendelser. Deler av sektoren må dessuten være oppmerksomme på risiko for statlig dataspionasje. 

Regjeringen satser på sikkerhet 

– Units risikovurdering gir et veldig godt bilde av situasjonen vi skal håndtere. Jeg er glad for å se at universitetene og høyskolene tar utfordringene med informasjonssikkerhet og personvern på alvor og leverer konkrete resultater. Samtidig kan vi ikke si oss fornøyde med at målene vi har satt ikke nås. Informasjonssikkerhet og personvern er en bærebjelke for forsvarlig digitalisering, og jeg forventer at vi skal klare å etterleve krav og håndtere den risikoen vi har ansvar for, sier forsknings- og høyere utdanningsminister Henrik Asheim (H).

Regjeringen har bevilget vel 70 millioner kroner over fire år til et sikkerhetsløft innenfor forskning og høyere utdanning. Tilstandsrapporten for informasjonssikkerhet og personvern er en del av dette arbeidet.

– Units rapport avdekker sårbarheter som vi må jobbe målrettet for å redusere, og den gir et bilde av en risiko som er høyere enn det jeg vil godta. Vi er heldige som har unngått de store hendelsene så langt, og vi kommer til å fortsette å følge opp dette området sammen med Unit, avslutter Asheim.

Forbedring, men utfordrende trusselbilde og kompetansegap 

I rapporten ser vi følgende hovedtrender i 2019:  

  • Arbeidet med informasjonssikkerhet og personvern er styrket sammenlignet med 2018, spesielt med innføring av ledelsessystemer for informasjonssikkerhet og internkontroll for GDPR. Personalinnsatsen er også styrket.  

  • Antallet brudd på informasjonssikkerheten og uønskede personvernhendelser var omtrent på samme nivå i 2019 som i 2018. Samtidig ble det rapportert om at trusselbildet har blitt mer utfordrende, spesielt på grunn av mer avanserte forsøk på nettkriminalitet.   

  • Manglende kompetanse om praktisk informasjonssikkerhetsarbeid og om reglene i GDPR er blant sårbarheter og mangler som rapporteres, og flere ser også behov for mer kapasitet til gjennomføring av planlagte tiltak og initiativ.    

Anbefalinger 

Etter kartlegging har de enkelte institusjonene og virksomhetene fått egne brev fra Unit med anbefalinger for videre arbeid på virksomhetsnivå. 

På sektornivå anbefaler Unit at det ikke iverksettes nye tiltak på informasjonssikkerhets- og personvernområdet nå. Det er allerede planlagt eller iverksatt en rekke slike tiltak, blant annet innenfor rammen av «Program for informasjonssikkerhet i UH-sektoren» og som en del av sektorens handlingsplan for digitalisering. Det er viktig å vurdere effekten av disse tiltakene før nye tiltak introduseres. 

Les hele rapporten.


Del: Share to LinkedIn Share to Facebook Share by mail Share to Twitter