Informasjonssikkerheten hos universiteter og høgskoler må styrkes

Sikkerhet. Universitetene og høgskolene må prioritere arbeidet med informasjonssikkerhet og personvern høyere, skriver Unit-direktør Roar Olsen.

Publisert   Sist oppdatert

Universiteter og høgskoler forvalter store mengder viktige data på vegne av samfunnet, noe som gjør informasjonssikkerhet og personvern særlig relevant. I disse dager offentliggjøres rapporten «Tilstandsvurdering av informasjonssikkerhet og personvern blant de statlig eide universitetene og høgskolene». Rapporten er laget av Unit på oppdrag fra Kunnskapsdepartementet. Den konkluderer med at sikkerheten må styrkes, og kommer med klare anbefalinger.

Kombinert med et stort antall ulike datasystemer som behandler disse opplysningene, gjør det situasjonen uoversiktlig og vanskelig å styre på en helhetlig måte.

Unit har gjennomført kartleggingsmøter med alle de aktuelle institusjonene, der et sett spørsmål om arbeidet med informasjonssikkerhet og personvern er besvart. Dette er det viktigste datagrunnlaget for rapporten, og vurderingene, konklusjonene og anbefalingene.

Hensikten med kartleggingen har vært å få oversikt over omfanget av og systematikken i institusjonenes arbeid med informasjonssikkerhet og personvern.

Hovedkonklusjonene i rapporten er at det er en risiko for redusert måloppnåelse for informasjonssikkerhet og personvern slik målene er definert i digitaliseringsstrategien for universitets- og høyskolesektoren:

  • Institusjonene skal etablere helhetlig styring og ledelse av arbeidet med informasjonssikkerhet og personvern.
  • Institusjonenes arbeid med styrking av informasjonssikkerheten og personvernet skal være systematisk.
  • Nivået på arbeidet med informasjonssikkerhet og personvern skal ligge høyere enn de nasjonale minstekravene.
  • Studenter og ansatte skal bevisstgjøres problemstillinger knyttet til informasjonssikkerhet og personvern.

Det er sammensatte årsaker til at situasjonen er som den er. En hovedgrunn er at universitetene og høgskolene forvalter store mengder med sensitive opplysninger, både personopplysninger og forskningsdata. Dette innebærer i seg selv en risiko. Kombinert med et stort antall ulike datasystemer som behandler disse opplysningene, gjør det situasjonen uoversiktlig og vanskelig å styre på en helhetlig måte. Samtidig er det viktig å merke seg at forskning og høyere utdanning ikke er mer risikoutsatt enn samfunnet for øvrig.

Rapporten kommer med noen klare anbefalinger til universitetene og høgskolene. De må prioritere arbeidet med informasjonssikkerhet og personvern høyere gjennom blant annet kompetanseheving, bedre oversikt, økt ressursinnsats og bedre samordning. Ledelsen må støtte opp om og styre dette arbeidet.

Innenfor forskning og høyere utdanning som helhet må det også tas grep. Sektoren må tenke informasjonssikkerhet og personvern i all sin digitalisering. Dette må bygges inn i nye tjenester og løsninger, og det må bygges en sikkerhetskultur i hele sektoren. Informasjonssikkerhet og personvern inngår som et eget satsingsområde i den nylig vedtatte handlingsplanen for digitalisering av høyere utdanning og forskning. Regjeringen bevilger 70 millioner kroner over en fireårsperiode for et sikkerhetsløft innenfor forskning og høyere utdanning. Dette løftet skal skje både gjennom forebyggende tiltak, videreutvikling av sikkerhetskulturen og styrking av den operative sikkerheten.

Selv om risikofaktorene er mange og sammensatte, har universitetene og høgskolene de beste forutsetninger for å forbedre situasjonen. Arbeidet med styrking av informasjonssikkerheten og personvernet er godt i gang, og forskning og høyere utdanning har en iboende forbedringsevne og -vilje som et solid fundament for å lykkes.

Les hele rapporten her.