sikkerhetshendelser og dataangrep
Mangler planer for å håndtere økende antall dataangrep og sikkerhetsavvik
Flere utdanningsinstitusjoner har fortsatt ikke tilfredsstillende beredskapsplaner for å håndtere alvorlige IKT-sikkerhetshendelser. Det ser Kunnskapsdepartementet alvorlig på.
OBS! Denne artikkelen er mer enn tre år gammel, og kan inneholde utdatert informasjon.
Antallet hendelser og avvik som universitetene og høgskolene meldte til Datatilsynet i 2020 er doblet i forhold til 2019.
I en risiko- og tilstandsvurdering for informasjonssikkerhet og personvern i høyere utdanning som ble lagt frem av Unit (direktoratet for IKT og fellestjenester i høyere utdanning og forskning) i vår, kommer det frem at risikoen for informasjonssikkerhetsbrudd og personvernkrenkelser øker.
20 av 21 høgskoler opplyste om at de hadde vært utsatt for uønskede hendelser eller avvik med hensyn til informasjonssikkerhet i fjor. Antallet hendelser av ymse omfang summerer seg opp til 2000.
Like før fellesferien sendte Kunnskapsdepartementet et brev til Unit, der de kommer med sine reaksjoner på rapporten.
I brevet står det blant annet at departementet ser alvorlig på at mange virksomheter fortsatt ikke har tilfredsstillende kontinuitets- og beredskapsplaner for å håndtere alvorlige IKT-sikkerhetshendelser.
Til Khrono skriver Kunnskapsdepartementet blant annet følgende:
— Vi står overfor et generelt skjerpet trusselbilde, med flere alvorlige digitale sikkerhetshendelser blant norske virksomheter i 2020. Det er derfor viktig at virksomhetene blant annet har tilfredsstillende kontinuitets- og beredskapsplaner for å kunne håndtere alvorlige IKT-sikkerhetshendelser.
UiT og NHH
Trusselbildet høyere utdanning står overfor karakteriseres som utfordrende, og det nevnes at flere virksomheter i universitets- og høgskolesektoren ble utsatt for alvorlige eller potensielt alvorlige digitale sikkerhetshendelser i 2020.
Like før jul 2020 ble UiT Norges arktiske universitet utsatt for et alvorlig datainnbrudd.
Noen måneder i forveien var det Norges Handelshøyskole (NHH) som kunne erfare det samme da brukernavn og passord fra ansatte og studenter lå åpent ute på et hackerforum i flere timer før det ble fjernet.
Doblet antall meldinger — 18 institusjoner på gult nivå
Rapporten fra Unit forteller ellers at både oppdagelses- og reparasjonstiden av datainnbrudd og lignende i UH-sektoren er noe lengre i enkelte tilfeller enn det som har vært tilfelle tidligere.
Selv om det antall meldinger til Datatilsynet er doblet, er det totale antallet hendelser og avvik noe lavere i 2020 enn i 2019. Grunnen til dette er ifølge Units rapport endringer i måten man regner hendelser og avvik på.
Reduksjonen reflekterer således ikke substansielle endringer i hendelsesomfanget, understrekes det i rapporten.
Units rapport viser at 18 virksomheter har fått status på gult nivå i 2020, noe som betyr at arbeidet er delvis systematisk og helhetlig. Statusvurderingen er blant annet basert på momentet «tiltak for å gjenopprette normal drift etter større sikkerhetsbrudd (beredskap/kontinuitet)».
I brevet fra Kunnskapsdepartementet står det at departementet ikke aksepterer risikonivået hos alle virksomheter med en samlet vurdering for informasjonssikkerhet og personvern som er lavere en «modenhet 3», noe som tilsvarer grønn farge.
Et skjerpet trusselbilde
Kunnskapsdepartementet poengterer overfor Khrono at kravene som universiteter og høgskolene skal oppfylle følger av lovpålagte krav til arbeider med informasjonssikkerhet og personvern, og øvrige nasjonale føringer for disse områdene.
— Det er et krav i policyen at virksomhetene etablerer løsninger for hendelseshåndtering, lukking av avvik og kontinuitet, opplyser Kunnskapsdepartementet til Khrono.
Unit står midt i en omorganisering, og fra 1. juli er Units oppgaver knyttet til sektorstyring på området informasjonssikkerhet og personvern overført til det nye direktoratet for høyere utdanning og kompetanse (HK-direktoratet).
Derfor er det nettopp HK-direktoratet (HK-dir) som skal følge opp rapporten og innspillene fra Kunnskapsdepartementet i tiden som kommer.
Divisjonsdirektør i HK-dir, Sigurd Eriksson, skriver i en e-post til Khrono at det nå er HK-dir som forvalter policyen som gjelder for 31 virksomheter – statlige universiteter og høgskoler, direktorater og selskaper underlagt departementet.
— Virksomhetene skal blant annet etablere løsninger for oppdagelse, varsling og håndtering av hendelser som medfører brudd på informasjonssikkerheten eller krenkelser av personvernet.
— Virksomhetene må også sørge for at viktige arbeidsoppgaver fortsatt kan utføres ved alvorlige hendelser, forklarer Eriksson.
— Bør vøre en prioritert oppgave
På spørsmål om hva HK-dir tenker om at 18 av virksomhetene ikke har tilfredsstillende systemer for å håndtere alvorlige hendelser knyttet til datasikkerhet, svarer Eriksson følgende:
— Kontinuitet og beredskap er et område hvor sektoren har et tydelig forbedringspotensial. Det gjelder særlig etablering av planer for hvordan alvorlige hendelser skal håndteres.
Han fortsetter:
— Slik vi ser det bør det være en prioritert oppgave for virksomhetene i sektoren å sikre at øvelsesaktiviteten skjer innenfor rammen av lokale kontinuitets- og beredskapsplaner. Sektoren har i den siste tiden styrket sin evne til å motstå ekstraordinære påkjenninger på informasjonssikkerhets- og personvernområdet, men arbeidet savner fortsatt noe når det kommer til selve systematikken og planmessigheten.
Nytt senter
25. mars ble senteret «Cybersikkerhetssenteret for forskning og utdanning», som tilbyr assistanse til planlegging og gjennomføring av IKT-beredskapsøvelser, lansert. Senteret er et samarbeid mellom Uninett, NTNU, UiO og NSD.
— I forlengelsen av dette tilbudet er det viktig at senteret kan bistå virksomhetene med etablering og revisjon av beredskaps- og kontinuitetsplaner.
— Vi mener dette er særlig viktig ettersom slike planverk er en gjennomgående mangel i deler av sektoren. Tilstanden har bare i noen grad forbedret seg siden 2018, skriver Sigurd Eriksson i e-posten til Khrono.