Informasjonssikkerhet og personvern i et femårsperspektiv
Utvikling i UH-sektoren 2018-2022
Rapport • Tilhører rapportserie: JaI denne rapporten oppsummerer vi utviklingen i arbeidet med informasjonssikkerhet og personvern hos 21 statlige universiteter og høgskoler i perioden 2018 til 2022. Kartleggingen viser at institusjonene har gjort forbedringer i dette arbeidet, men at det fortsatt er behov for forbedringer.
Sammendrag
Grunnlaget for beskrivelsene av utviklingen er HK-dir sine årlige kartlegginger av arbeidet med informasjonssikkerhet og personvern i UH-sektoren. Kartleggingene er en del av Kunnskapsdepartementets styringsmodell for informasjonssikkerhet og personvern i sektoren, og skal bidra til kunnskap og anbefalinger til institusjonenes arbeid.
I kartleggingen ser spesielt på kravene som handler om institusjonenes evne til å forebygge, oppdage, og håndtere hendelser og brudd. Avslutningsvis drøfter vi risikonivå for ulike typer brudd på informasjons- og personopplysningssikkerheten sett opp mot gjennomførte tiltak i perioden.
Hovedfunnene fra rapporten er:
- Det har vært en moderat økning i etterlevelse av kravene i Kunnskapsdepartementets policy til arbeidet med informasjonssikkerhet og personvern. I 2022 etterlever to universiteter kravene i departementets policy, de resterende institusjonene etterlever enkelte eller deler av kravene.
- Alle universitetene og høgskolene har etablert de viktigste rutinene i internkontroll for personvern, og den styrende delen av ledelsessystemet for informasjonssikkerhet i perioden. De fleste institusjonene mangler imidlertid tilfredsstillende systematikk i arbeidet, spesielt i gjennomførende og kontrollerende del av ledelsessystem for informasjonssikkerhet, og internkontrollen for personvern (GDPR).
- Fra og med 2022 er det registrert en nedgang i antall hendelser og brudd på informasjons- og personopplysningssikkerheten hos institusjonene. Det er også registrert en nedgang i antall meldte avvik til Datatilsynet.
- Risikoen for brudd forårsaket av løsepengevirus og statlig hacking (kunnskapsspionasje) har økt siden 2019, og vurderes som høy i 2022. Brudd forårsaket av utilsiktede feil og uhell blant ansatte, tjenestenektangrep (DDoS), og misbruk av lokale dataressurser av nettkriminelle trusselaktører er redusert noe i perioden, og vurderes som middels i 2022. Risikoen for tilfeller av vellykkede forsøk på direktør- og fakturasvindel er redusert fra et høyt risikonivå i 2019 til et lavt nivå i 2022.
Utviklingen de siste fem årene viser at det har vært forbedringer i arbeidet med informasjonssikkerhet og personvern hos universitetene og høgskolene, men at det fortsatt er behov for forbedringer. Samtidig ser vi at utviklingen i etterlevelse av kravene i departementets policy er ujevnt fordelt mellom institusjonene – enkelte institusjoner har styrket seg mer enn andre i perioden.
Vi mener at det er behov for mer kunnskap om effekten av iverksatte sikkerhetstiltak hos universitetene og høgskolene. Et slikt tiltak kan være periodiske revisjoner av arbeidet med informasjonssikkerhet og personvern i UH-sektoren. Dette kan bidra til å styrke institusjonenes arbeid med å forbedre sin etterlevelse av kravene i policyen.