Informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata (RiR 2023:20)
Svenska universitet och högskolor bedriver inte ett effektivt informationssäkerhetsarbete för att hantera skyddsvärda forskningsdata, visar Riksrevisionens granskning. Ofta saknar lärosätena kunskap både om vad som är skyddsvärt och hur det ska skyddas.
Andra format
Sammanfattning
Målet för forskningspolitiken är att Sverige ska vara ett av världens främsta forsknings- och innovationsländer och en ledande kunskapsnation. Internationalisering och ett öppet vetenskapssamhälle ses som medel för att främja kvaliteten. Samtidigt behöver viss forskning skyddas för att inte skada exempelvis individers integritet, Sveriges konkurrenskraft eller samhällets säkerhet. Antalet cyberattacker har ökat och underrättelseverksamheten mot universitet och högskolor har intensifierats under senare år. Behovet av att lärosätena bedriver ett effektivt informationssäkerhetsarbete har därmed ökat.
Riksrevisionens övergripande slutsats är att lärosätena inte bedriver ett effektivt informationssäkerhetsarbete för att skydda forskningsdata. Trots att föreskriftskrav funnits sedan 2008 och bristerna varit kända sedan länge saknas fortfarande väsentliga delar av ett systematiskt informationssäkerhetsarbete. De åtgärder som regering, lärosäten och andra berörda myndigheter hittills vidtagit har inte varit tillräckliga.
Granskningen omfattar de 24 lärosäten som bedriver naturvetenskaplig och teknisk forskning.
Det är få forskare som klassar sina forskningsdata i enlighet med lärosätenas modeller för informationsklassning. Istället är det vanligt att externa finansiärer eller samarbetspartner ställer krav på att forskningsdata klassas, eller så gör forskarna en mindre formaliserad bedömning som inte dokumenteras. Den bristande systematiken i hur lärosätena identifierar skyddsvärda forskningsdata leder till att de saknar tillräckligt underlag för att bedöma risker och vilka skyddsåtgärder som är ändamålsenliga. Det kan också leda till att vissa skyddsvärda forskningsdata inte identifieras alls. Vidare förekommer det att forskare och institutioner har egna it-lösningar utanför den it-struktur som lärosätet tillhandahåller. Det kan innebära att skyddsvärda forskningsdata inte får ett ändamålsenligt skydd.
Kunskap och kompetens i frågor kopplade till informationssäkerhet är överlag bristfälliga hos många medarbetare på lärosätena. Det gäller såväl kunskap om hur man praktiskt ska arbeta för att skydda sin information, som kunskap om hur man klassar sina forskningsdata och förhåller sig till gällande regelverk och externa krav. Lärosätena efterfrågar själva stöd för att bedöma externa hot och antagonister som kan utgöra informationssäkerhetsrisker. Granskningen visar att lärosätena gör olika bedömningar av vad som är skyddsvärt, vilket kan leda till att skyddsvärda forskningsdata inte får ett ändamålsenligt skydd. De utbildningar som lärosätena erbjuder når ett fåtal medarbetare. Lärosätena har också utmaningar att rekrytera och behålla kompetens inom området.
Lärosätesledningarna har inte sett till att beslutade riktlinjer, rutiner och arbetssätt implementeras i hela organisationen. Det finns otydligheter i roll- och ansvarsfördelning på olika nivåer inom lärosätena. Till exempel är både prefekter och forskare osäkra på vilket ansvar de har för informationssäkerhet och vad det innebär i praktiken. Det stöd som lärosätena tillhandahåller för att hantera forskningsdata har begränsat genomslag. Stödet är heller inte alltid samordnat med informationssäkerhetsfunktionerna vid lärosätet. De som är utsedda att samordna och leda informationssäkerhetsarbetet saknar ofta förutsättningar att bedriva ett strategiskt arbete, bland annat på grund av sin organisatoriska placering. De rapporterar inte heller alltid regelbundet till rektor eller styrelse.
Trots kännedom om att lärosätena under en längre tid haft brister i sitt arbete kopplat till informationssäkerhet var det först 2019 som regeringen började följa upp arbetet mer systematiskt genom myndighetsdialoger och olika återrapporteringskrav. Myndigheten för samhällsskydd och beredskaps utbildningsinsatser, metodstöd och verktyg för uppföljning av det systematiska informationssäkerhetsarbetet har inte haft tillräckligt genomslag i högskolesektorn. Detsamma gäller exempelvis Säkerhetspolisens och Inspektionen för strategiska produkters utbildningsinsatser riktade till lärosätena.
Rekommendationer
Till regeringen
- Ge uppdrag till Myndigheten för samhällsskydd och beredskap att genomföra kompetenshöjande insatser till ledningarna för universitet och högskolor. Insatserna bör anpassas efter lärosätenas behov.
- Ge uppdrag till universitet och högskolor att i samverkan inrätta en gemensam stödfunktion för informationssäkerhet. Etableringen bör ske i samråd med Myndigheten för samhällsskydd och beredskap och andra relevanta myndigheter. Dessa myndigheter bör även ge råd och stöd efter att funktionen etablerats. Stödfunktionen ska kunna bistå universitet och högskolor med bland annat följande:
- rådgivning till dem som leder och samordnar informationssäkerhetsarbetet om bland annat utformning av informationssäkerhetsarbetet, analys, säkerhetsåtgärder samt tolkning och efterlevnad av regelverk om till exempel säkerhetsskydd och exportkontroll
- behovsanpassade utbildningar och kurser i informationssäkerhet för samtliga medarbetare vid lärosätena
- stöd för att analysera och bedöma sektorsgemensamma risker och externa hot till relevanta funktioner på lärosätena.
Stödfunktionen kan med fördel dra nytta av kunskap och erfarenheter från bland annat pågående lärosätesgemensamma samarbeten och nätverk inom informationssäkerhetsområdet.
Till de 24 universitet och högskolor som ingår i granskningen
- Se till att roller och ansvarsfördelning är tydliga från ledningsnivå till enskilda medarbetare, så att varje medarbetare vet sitt ansvar när det gäller att hantera forskningsdata korrekt.
- Se till att de som leder det strategiska informationssäkerhetsarbetet har mandat att ställa krav och granska informationssäkerhetsarbetet samt att de regelbundet rapporterar till lärosätesledning och styrelse.
- Se till att arbetssätten för informationsklassning av forskningsdata är enhetliga.
- Se till att det finns kompetens att analysera informationssäkerhetsrisker kopplade till forskningsdata.
- Se till att det finns ett samordnat stöd för medarbetare att hantera forskningsdata korrekt under hela livscykeln.
Uppföljning
Sammanfattning på engelska
Dela i sociala medier och via e-post
Kontakta oss
Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).