Forbedret innsats, økt risiko


Arbeidet med informasjonssikkerhet og personvern er styrket i UH-sektoren i 2020. Samtidig er truslene skjerpet og risiko for sikkerhetsbrudd større enn tidligere.

Virksomhetene i UH-sektoren har styrket sitt arbeid med informasjonssikkerhet og personvern i 2020. Samtidig er truslene mot informasjonssikkerheten og personvernet skjerpet. Risikoen for brudd på sikkerheten til digitale verdier og uønskede personvernhendelser er derfor noe større enn tidligere.

Dette er hovedkonklusjonene i Unit sin årlige rapport om arbeidet med informasjonssikkerhet og personvern hos 30 statlige universiteter og høgskoler, direktorater og selskaper underlagt Kunnskapsdepartementet.

Forbedringer og måloppnåelse

Rapporten viser at innsatsen for å etterleve de krav som departementet stiller til virksomhetenes arbeid med informasjonssikkerhet og personvern er forbedret også i 2020. Forbedringen er likevel ikke like stor som i 2019. En viktig forklaring på dette er at deler av sektoren har omprioritert ressurser til håndtering av korona-situasjonen.

Det innebærer at flere av sektormålene for informasjonssikkerhet og personvern i gjeldende digitaliseringsstrategi trolig ikke vil oppnås fullt ut før strategiperiodens utløp.

Trusler og risiko

Rapporten indikerer at trusselbildet i sektoren er skjerpet sammenliknet med tidligere år. Det skyldes flere forhold, blant annet at økt avhengighet av digitale systemer og tjenester kan føre til at uønskede hendelser får større skadevirkninger enn før. Det skyldes også at antallet alvorlige brudd på informasjonssikkerheten er noe høyere i 2020 enn tidligere, tiden det tar å oppdage dataangrep og reparere skadene kan i enkelte tilfeller være relativt lang, og at det har vært en økning i antallet personvernhendelser som meldes til Datatilsynet.

I tillegg ble det opplyst om flere hendelser hvor det er mistanke om statlig eller statsstøttet dataspionasje.

Unit mener derfor at risikoen for uønskede informasjonssikkerhets- og personvernhendelser har økt noe. Løsepengevirus, kompromitterte brukerkontoer, nettsvindel og tekniske eller menneskelige feil/uhell fremheves i rapporten som de viktigste risikofaktorene.

I deler av sektoren kan statlig eller statsstøttet dataspionasje være en viktig risikofaktor.    

Anbefalinger  

I rapporten foreslår Unit flere tiltak på nasjonalt nivå for å styrke arbeidet med etterlevelse av de krav som departementet stiller og å redusere risikoen for uønskede hendelser.

Tiltakene gjelder styrking av sektorens evne til å forebygge, oppdage og håndtere digitale sikkerhetshendelser, og initiativ for å øke kompetansen på forsvarlig og lovlig behandling av personopplysninger. «Cybersikkerhetssenteret for forskning og utdanning» hos Uninett AS, hvor universitetene i Trondheim og Oslo er partnere, vil være en sentral aktør i gjennomføringen av nasjonale tiltak.

Hver virksomhet har også i år mottatt brev fra Unit med anbefalinger for det videre arbeidet med informasjonssikkerhet og personvern.


Del: Share to LinkedIn Share to Facebook Share by mail Share to Twitter