Personvernombudet betenkt over at det meldes inn for få sikkerhetsbrudd

På NTNUs styremøtet torsdag 22. juni blir blant annet personvernombudets årsrapport for 2022 lagt fram. 

Se resten av dagsordenen for styremøtet i faktaboks. Styremøtet strømmes fra klokka 9. Følg møtet nederst i denne saken.

Der er ombudet bekymret over at ansatte melder inn for få avvik, det vil si sikkerhetsbrudd og rutineavvik, siden NTNU er et stort og komplekst universitet. 

I styrenotatet som beskriver pågående og planlagt aktivitet, blir det gitt noen eksempler på slike avvik:

Løsepengevirus, direktør- eller fakturasvindel, tjenestenektangrep, brukerkontoer på avveie, informasjonstyveri, misbruk av dataressurser, brudd på rutiner/retningslinjer for tildeling eller avslutning eller misbruk av brukertilganger. 

Kraftig nedgang

I 2022 ble det registrert 682 brudd på informasjonssikkerheten, personopplysningssikkerheten og avvik fra egne sikkerhetsrutiner, heter det i styrenotatet. Dette er en halvering fra 2021. Da ble det registrert 1431 henvendelser. 

NTNU ønsker å få økt antallet avviksmeldinger, og skriver at universitetet vil jobbe videre for å få flere ansatte og studenter til å melde fra om avvik. Det vil styrke muligheten for å jobbe mer systematisk med å forebygge og iverksette målrettede tiltak, mener de. 

Si fra! er NTNUs verktøy for å melde fra om avvik. NTNU jobber nå for å få på plass et risikovurderingssystem som en del av dette verktøyet. 

Tap av omdømme

Da NTNU foretok en risikogjennomgang for 2023, ble risiko for tap av verdier og omdømme på grunn av manglende sikkerhet og beredskap, inkludert informasjonssikkerhet og personvern, oppgitt som en høy risiko (rød risiko). 

I styrenotatet står det at følgende tiltak for å redusere risikoen, er planlagt:

• Iverksette anbefalte tiltak fra Safetec-rapport angående organisering av sikkerhet og beredskapsarbeidet ved NTNU (plassere ansvar og myndighet) 
• Gjennomføre kartlegging av NTNUs verdier og sikring av disse 
• Implementere anbefalte tiltak fra internrevisjon fra 2021 og annen revisjon i 2022
• Gjennomføre beredskapsøvelse
  

I notatet til styret står det videre at NTNU har et tilfredsstillende og oppdatert styringssystem på området, men at funn tydelig viser at NTNU har et klart forbedringspotensial når det gjelder etterlevelse. 

Påtrykk fra flere hold

Kunnskapsdepartementet, Direktoratet for høyere utdanning og kompetanse (HK-dir), personvernombudet og internrevisor har pekt på forbedrings- og risikoområder når det kommer til NTNUs oppfølging av personvern og informasjonssikkerhet. 

Kunnskapsdepartementet har gitt beskjed om at:

«...de forventer at NTNU styrker og tydeliggjør organiseringen av arbeidet med informasjonssikkerhet og personvern, og at arbeidet forankres på fakultetsnivå.»

NTNUs ledelse setter sin lit til at ny organisering av sikkerhet og beredskapsområdet vil bidra til utvikling, gjennomføring og kontroll på disse to områdene. 

Følg styremøtet her fra klokka 9-16: