Tilstands- og risikovurdering 2025

Hovedfunn og anbefalinger

Trusler mot sektoren: Trusselbildet preges av økt geopolitisk spenning og mer krevende digitale sikkerhetsutfordringer. Statlige aktører som Russland og Kina, samt nettkriminelle grupper, utgjør de største truslene. Nettfiske er den vanligste sikkerhetshendelsen i sektoren.

Det er registrert en økning i personvernavvik som er meldt til Datatilsynet i 2024. Avvikene er særlig knyttet til utilsiktede feil og uhell hos ansatte, men også svakheter i tilgangsstyringen i sektorens IT-systemer.

Sikkerhetsledelse og -styring: Styring og ledelse av sikkerhetsarbeidet er styrket i 2024, men det er fortsatt et tydelig forbedringspotensial i sektoren. Det skyldes at litt over halvparten av virksomhetene er i ferd med å innføre styringssystem for sikkerhet, mens de øvrige virksomhetene ikke har kommet i gang med dette. 17 virksomheter har fortsatt enkelte viktige mangler i sitt ledelsessystem for informasjonssikkerhet.

Hos mange virksomheter er styrings- og ledelsessystemet i liten grad samordnet, og sikkerhetsledelse inngår i begrenset grad i den øvrige virksomhetsstyringen.

Oversikt over informasjonsverdier: Sektoren har relativt god oversikt over viktige IT-systemer og -tjenester som benyttes. Mange virksomheter har imidlertid ikke tilfredsstillende oversikt over informasjonsverdier underlagt sikkerhetsloven og eksportkontrollregelverket.

De fleste virksomhetene har kartlagt hvilke personopplysninger de forvalter (behandlingsprotokoll), men graden av opplysningsoversikt varierer mellom virksomhetsområder (utdanning, forskning og administrasjon). Samtidig er kjennskapen til hvilke personopplysninger som overføres til land utenfor EØS-området mangelfull hos nesten halvparten av virksomhetene.

Risikovurdering og tiltak: Vurderinger av risiko for uønskede sikkerhets- og personvernhendelser gjennomføres hos de fleste virksomheter i sektoren. Oppfølging av vurderingene med nødvendige sikkerhetstiltak er varierende, men alle virksomheter oppgir at de har iverksatt organisatoriske, tekniske eller pedagogiske tiltak i 2024.

Til tross for disse tiltakene, er det likevel sårbarheter i sektoren innen områder som tilgangsstyring, personellsikkerhet, beredskap og kontinuitet.

Beredskapsplaner og -øvelser: Overordnede beredskaps- og kontinuitetsplaner for håndtering av kriser og andre uønskede sikkerhetshendelser foreligger i stor grad. På den annen side er beredskaps- og kontinuitetsplanverket for digitale hendelser ofte utdatert eller ufullstendig.

Øvelsesaktiviteten i sektoren er høy. Systematikken i aktiviteten, både når det gjelder planlegging av øvelser og oppfølging av læringspunkter, er imidlertid mangelfull hos flere virksomheter.

Tilgangsstyring i skytjenester: Dybdeundersøkelser av tilgangsstyringen i skyløsninger avdekket store variasjoner i virksomhetenes sikkerhetsnivå. Særlig én virksomhet hadde betydelige svakheter i tilgangsstyringen.

På bakgrunn av dybdeundersøkelsene, har vi bedt samtlige virksomheter om å gjennomgå sine rutiner og praksis for håndtering av administrative tilganger i skytjenester. Eventuelle mangler bør utbedres i tråd med NSMs anbefalinger.

Risiko på sektornivå: På sektornivå vurderes risikoen for løsepengevirus og kunnskapsspionasje som høy. Sektoren bør derfor styrke sin evne til å forebygge, oppdage og håndtere disse hendelsene. For de øvrige sikkerhetshendelsene som vi har vurdert i år, mener vi at risikoen er middels.

Anbefalinger: Vi anbefalinger at virksomhetene i sektoren iverksetter flere forbedringstiltak. Disse omfatter blant annet ferdigstilling og samordning av styrings- og ledelsessystemer, forbedret risikostyring, etablering av beredskaps- og kontinuitetsplaner, og styrking av personellsikkerheten og tilgangsstyringen.