Ber universiteter og høgskoler om å skjerpe datasikkerheten

I dag mottar universitetene og høgskolene rundt i landet et brev fra forsknings- og høyere utdanningsminister Iselin Nybø, der hun ber øverste nivå ved institusjonene ta ansvar for informasjonssikkerheten.

Bevisstgjøringen kommer etter at Riksrevisjonen i fjor påpekte mangler ved informasjonssikkerheten ved universiteter og høgskoler. Blant annet ble ikke personopplysninger behandlet etter lov og forskrift.

I rapporten fra Riksrevisjonen, der de gjennom intervjuer og gjennomgang av dokumenter hadde gått tre utvalgte institusjoner etter i sømmene, stod det at alle de tre utvalgte hadde «mangler ved dokumentasjonen av sentrale elementer i styringssystemet for informasjonssikkerhet ved alle de tre kontrollerte universitetene/høgskolene, som viser at virksomhetene ikke etterlever flere av kravene i personopplysningsloven § 13 og personopplysningsforskriften».

— Mangelfull informasjonssikkerhet i forskningssystemer gir en risiko for at uautoriserte personer får tilgang til sensitiv informasjon, tap av tillit og omdømme, forskningsjuks og brudd på lover og regler, advarte Riksrevisjonen.

Blant annet ble det påpekt at ingen av de kontrollerte virksomhetene hadde fullstendig oversikt over hvor mange prosjekter som behandlet personopplysninger, hvilke typer personopplysninger som ble behandlet eller hvordan prosjektene sikret nødvendig konfidensialitet for opplysningene.

Utfordringer med åpenhet og sikkerhet på samme gang

IT-direktør ved Universitetet i Bergen, Tore Burheim, sier universitetene og høgskolene må balansere kryssende hensyn, når det kommer til informasjonssikkerhet.

— Som universitet må vi balansere det ønsket vi har om å vise åpenhet med informasjonssikkerhet. Det gjør det vanskelig, forklarer Burheim.

Løsningen?

— Jeg tror det er viktig for oss som lokale IT-organisasjoner å realisere brukervennlige IT-tjenester som dekker forskernes behov. Da kan de benytte tjenester som dekker det de trenger, men som også ivaretar informasjonssikkerheten, sier Burheim, som ønsker oppmerksomheten om sikkerheten fra statsrådhold velkommen.

— Jeg synes det er på sin plass. IT-sikkerheten blir mer utfordrende, det viser også PST sin melding fra i vinter, som sa at forskning og høyere utdanning kunne være mål for dataangrep.

Løfter ansvaret til høyeste nivå

Kunnskapsdepartementet spesifiserer at styrene ved universitetene og høgskolene har ansvaret for informasjonssikkerhet. En av styrelederne i sektoren, Arvid Hallén som er styreleder ved Høgskulen på Vestlandet, synes det er riktig at det presiseres at ansvaret må ligge på et høyt nivå.

— Når det kommer en sånn utfordring fra eier, så må vi ta den. Da får vi undersøke når det sist var en gjennomgang av informasjonssikkerheten i vår virksomhet. Vi har en kontrollfunksjon, sier Hallén.

Han sier at høgskolestyret han leder har klart for seg at informasjonssikkerhet er felt der det kan være vanskelig å følge opp fortløpende.

— I ulike roller har jeg sett hvordan dette er noe som kommer høyere og høyere på agendaen flere steder. Styret vil kunne etterspørre hvordan det jobbes for å ivareta informasjonssikkerheten og stille kritiske spørsmål. Vi har det øverste ansvaret også for denne typen problemstillinger, ikke operativt, men for å forsikre oss om at vi er á jour, forteller Hallén.

Styrker sikkerheten gjennom Unit

I en pressemelding fra Kunnskapsdepartementet i dag, gjør departementet det klart at de og Direktoratet for ikt og fellestjenester i høyere utdanning og forskning (Unit) sammen skal iverksette nye rutiner.

— Dette innebærer bedre rutiner for å avdekke informasjonssikkerhetsproblemer og bedre metoder for å prøve å løse dem – og sjekke om løsningene faktisk virker. Det høres kanskje selvfølgelig ut, men vi har ikke gode nok rutiner i dag. Vi må ha bedre oversikt over risikoen for å kunne møte de sikkerhetsutfordringene vi står overfor, sier Nybø i pressemeldingen.

I statsbudsjettet fikk Unit tildelt en økning på 70 millioner kroner over fire år, og dette skal blant annet brukes på å styrke informasjonssikkerheten.