informasjons- sikkerhet - uninett...informasjons- sikkerhet ikt-strategi for norsk universitets- og...
TRANSCRIPT
Informasjons- sikkerhet
IKT-strategi for norsk universitets- og høgskolesektor
Rapportene kan leses og lastes ned i sin helhet på
https://www.uninett.no/arbeidsgruppe-IKT-strategi
Organisering, styring og finansiering ISBN 978-82-91638-17-1
IKT-strategi og helhetlige løsninger for norsk universitets- og høgskolesektor (overordnet dokument) ISBN 978-82-91638-11-9
IKT-strategi for infrastruktur og basis IKT-tjenester ISBN 978-82-91638-13-3
IKT-strategi for administrative tjenester ISBN 978-82-91638-15-7
IKT-strategi for forskning ISBN 978-82-91638-14-0
IKT-strategi for utdanning ISBN 978-82-91638-12-6
Denne rapporten utgjør en del av underlaget for den totale IKT-strategien som er levert av denne arbeidsgruppen. Strategien består av følgende rapporter i tillegg til denne:
IKT-strategi for norsk universitets- og høgskolesektor
Om rapporten:
Tittel: Informasjonssikkerhet
ISBN 978-82-91638-16-4
Oppdragsgiver: Kunnskapsdepartementet
Ansvarlig: KDs arbeidsgruppe for IKT-strategi og helhetlige løsninger
Sekretariat for arbeidet: UNINETT AS
Grafisk formgiving: HK reklamebyrå
Dato for ferdigstilling: 31. januar 2017
Rapportene er publisert på
https://www.uninett.no/arbeidsgruppe-IKT-strategi
Innholdet kan brukes fritt. Oppgi gjerne kilde.
2
Om arbeidet med IKT-strategienDenne rapporten inngår som en del av underlaget for den overordnede strategirapporten IKT-strategi og helhetlige løsninger for norsk universitets- og høgskolesektor. Der presenteres bakgrunnen og mandatet for arbeidet, samt arbeidsgruppen som har hatt ansvaret for strategiarbeidet på oppdrag fra Kunnskapsdepartementet.
Arbeidsgruppen valgte å organisere arbeidet med ulike undergrupper som har jobbet med spesifikke deler av strategien. Gruppene har i ulik grad knyttet til seg ressurspersoner og -grupper fra sektoren, og også hatt rapportutkast på høring underveis hos relevante fagmiljøer.
Det ble gjort en interessentanalyse da arbeidsgruppen startet arbeidet. Der ble de viktigste interessentgruppene kartlagt og beskrevet med henblikk på involvering underveis i prosessen. I den første fasen av arbeidet ble interessentene oppfordret til å gi innspill, noe både enkeltpersoner og flere institusjoner gjorde.
Arbeidsgruppen har hatt sitt eget rom i samarbeidsportalen Agora. Der har alle rapportutkast og andre underlagsdokumenter vært publisert etter hvert som arbeidsgruppen har behandlet dem. Portalen har vært åpen for alle interesserte, og mange – de fleste fra UNINETTs kundeinstitusjoner – har registrert seg som interessenter.
I tillegg har arbeidsgruppen hatt en egen webside. Den har vært oppdatert etter hvert som arbeidsgruppen har klargjort sine standpunkter og anbefalinger. Slike oppdateringer er også delt i UNINETTs sosiale mediekanaler.
Delrapporten om informasjons-sikkerhet
Følgende står som forfattere av rapporten:
Rolf Sture Normann, UNINETT Olaf Schjelderup, UNINETT Tommy Tranvik, UNINETT
Forfatterne har stått for hovedbidragene til rapporten. Arbeidet har skjedd iterativt, og hver revisjon av dokumentet har vært åpent tilgjengelig i Agora. Utkast har vært behandlet av arbeidsgruppen i flere runder før den endelige rapporten ble ferdigstilt.
Innhold1 Bakgrunn ................................................................................................................................................................................................................................................................................... 6
2 Konfidensialitet, integritet og tilgjengelighet ................................................................................................................................................................. 7
3 Hovedmål og delmål .............................................................................................................................................................................................................................................. 8
4 Nåsituasjon og drøfting ..................................................................................................................................................................................................................................... 9
5 Fra nåsituasjonen til målbildet ........................................................................................................................................................................................................... 115.1 Styring og kontroll ............................................................................................................................................................................................................................. 11 5.2 Sikkerhet i digitale systemer og tjenester .............................................................................................................................................................. 12 5.3 Digital beredskap ................................................................................................................................................................................................................................. 14 5.4 Nasjonale felleskomponenter ............................................................................................................................................................................................... 16 5.5 Kunnskap, kompetanse og kultur ................................................................................................................................................................................... 17
6 Strategiske tiltak og rollefordeling i sektoren ........................................................................................................................................................... 206.1 Institusjonenes ansvar ................................................................................................................................................................................................................... 206.2 Kunnskapsdepartementets ansvar ................................................................................................................................................................................ 206.3 Nasjonal enhet for informasjonssikkerhet i UH-sektoren ................................................................................................................... 216.4 Den nasjonale enhetens oppgaver................................................................................................................................................................................. 216.5 Kunnskapsdepartementets rolle ....................................................................................................................................................................................... 23
5
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Innhold
1 BakgrunnInformasjonshåndtering med digitale hjelpemidler har over mange år blitt stadig mer sentralt
for UH-sektorens kjernevirksomhet. Et mangfold i ulike IKT-baserte sluttbruker enheter,
tjenester og tekniske ressurser – alt koblet sammen i et felles forskningsnett – har satt tydelig
preg på hvordan forskning, utdanning og samarbeid skjer i dag. Et pålitelig høykapasitets
forskningsnett og tjenester med høy kvalitet har vært en forutsetning for mange store
endringer i sektoren, og slik vil det fortsette. IKT griper inn i de fleste gjøremål, og sektoren er
i dag blitt helt avhengig av at grunnleggende teknologi og infrastruktur alltid virker slik den skal.
I takt med IKT-utviklingen har sektoren håndtert stadig større mengder verdifull digital
informasjon, fra åpent tilgjengelig læringsmateriell til konfidensielle forskningsdata og sensitive
personopplysninger. Dette er verdier som forvaltes på vegne av fellesskapet, og som fordrer
løpende innsats for at tilgjengelighet, integritet og behov for konfidensialitet skal være ivare-
tatt, både teknisk, organisatorisk og på brukernivå. Ulike nasjonale og internasjonale regelverk
stiller i dag tydelige krav til sikker informasjonshåndtering.
Konsekvensene av tilgjengelighetsbrudd, manipulerte data eller informasjonslekkasje
er blitt mer alvorlige. Dette betyr at sektoren må øke innsatsen på sikkerhetsområdet. Vi ser at
trusselbildet kan endre seg raskt og bli stadig mer målrettet og komplekst, ikke minst som følge
av at verdien av digital informasjon vokser. Sikkerhetsarbeidet må derfor skje på en plan-
messig og treffsikker måte, samtidig som sikkerhetstiltakene i minst mulig grad må forringe
nytteverdien av netteknologi og digitale tjenester. Dette gjør sikkerhetsarbeid nødvendig,
men krevende, både når det gjelder styring, kompetanse og praktisk gjennomføring.
6
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Bakgrunn
2 Konfidensialitet,integritet og tilgjengelighet
Informasjonssikkerhet er ikke bare et teknisk anliggende, slik det kunne se ut i en tidlig fase
av IKT-utviklingen. Arbeidet med informasjonssikkerhet innebærer i dag at universiteter
og høgskoler må etablere og opprettholde planlagte og systematiske tiltak på flere nivåer for
å beskytte sine informasjonsverdier og -systemer. Informasjonssikkerhet defineres vanligvis
som evnen til å forebygge, oppdage og håndtere tre typer hendelser:
1. Brudd på konfidensialiteten, det vil si at uvedkommende får innsyn
i beskyttelsesverdig informasjon.
2. Brudd på integriteten, det vil si at informasjon og/eller systemer endres,
skades eller slettes på uautoriserte eller utilsiktede måter.
3. Brudd på tilgjengeligheten, det vil si at informasjon og/eller systemer
går tapt eller er utilgjengelige når behovet er der.
Samfunnet er i ferd med å bli gjennomdigitalisert, og i vår sektor benyttes teknologien blant
annet til å effektivisere administrative prosesser, forbedre forsknings- og analysemetoder,
muliggjøre innovative undervisningsformer, legge grunnlaget for utdanningstilbud som er
tilgjengelige i hele landet, og styrke den utadrettede kunnskapsformidlingen. Opparbeidet
avhengighet av digital teknologi gjør oss sårbare, for eksempel når høy teknisk kompleksitet
medfører at uventede og nye typer feil oppstår og feilretting tar uakseptabelt lang tid. Videre når
uoversiktlige avhengigheter mellom IKT-systemer gir uventede utfall og følgefeil, når spredning
av informasjon er utenfor kontroll, og når kriminelle miljøer tjener penger på å misbruke våre
ressurser, stjele informasjon og gjøre skade. Det synes klart at disse utfordringene kan under-
grave digitaliseringens fordeler hvis de ikke håndteres på en god måte. Sektoren må derfor
ruste seg for å møte de nye utfordringene som en digitalisert hverdag reiser gjennom sikker,
pålitelig og forutsigbar informasjonsforvaltning.
7
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Konfidensialitet,integritetogtilgjengelighet
3 Hovedmål og delmålVårt hovedmål må være at sektoren kontinuerlig skal forbedre sikkerheten og ligge i forkant
av truslene gjennom forebygging, avdekking og håndtering av sikkerhetsproblemer. Det er
dette som muliggjør en fortsatt effektiv innføring, løpende utnyttelse og forsvarlig forvaltning
av digitale informasjonsverdier og teknologi.
Det må iverksettes tiltak på en rekke områder. Tiltakene må føre til at aktørene i UH-sektoren
• kjenner trusselbildet og sikrer informasjon i digitale løsninger og IKT-baserte
arbeids prosesser i henhold til dette
• har et godt samarbeid og en felles tilnærming til arbeidet med informasjonssikkerhet
• jobber systematisk, helhetlig og risikobasert med informasjonssikkerhet
• integrerer informasjonssikkerhet i daglige arbeidsoppgaver og i den overordnede
virksomhetsstyringen
• styrker sin evne til å forebygge, oppdage og håndtere uforutsette hendelser
og ekstra ordinære situasjoner
• sørger for at informasjonssikkerhet er en del av ethvert digitaliseringsprosjekt
fra begynnelsen og gjennom hele livssyklusen
Den overordnede målsettingen og tiltaksområdene ovenfor baserer seg på Nasjonal strategi
for informasjonssikkerhet (2012)1, Handlingsplan for informasjonssikkerhet i statsforvaltningen,
2015–20172 og Styringsdokument for arbeid med samfunnssikkerhet og beredskap i kunnskaps-
sektoren (2016)3.
1 https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-informasjonssikker/id710469/2 https://www.regjeringen.no/no/dokumenter/handlingsplan-for-informasjonssikkerhet-i-statsforvaltningen/id2440093/3 https://www.regjeringen.no/no/dokumenter/styringsdokument-for-arbeidet-med-samfunns-sikkerhet-og- beredskap-i-kunnskapssektoren/id2512037/
8
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Hovedmål og delmål
4 Nåsituasjon og drøftingSektoren har over lang tid hatt aktiviteter og samarbeid knyttet til teknisk sikkerhet, og etter
hvert også til informasjonssikkerhet slik vi kjenner begrepet i dag. Mye av innsatsen har
vært knyttet til drift og konfigurasjonspraksis på fellestjenester og på campus. Tjenester som
FS, utviklingen av Feide og etableringen av kunnskapssektorens CERT (UNINETT CERT4) som
større tiltak kan nevnes som eksempler. I forbindelse med sektorens prioriteringer for Giga-
Campus-programmet5 ble det avdekket behov for mer fokusert informasjonssikkerhetsarbeid.
Dette resulterte i oppstart av systematisk policy- og revisjonsarbeid.
Kunnskapsdepartementet styrket informasjonssikkerhetsarbeidet gjennom opprettelsen
av Sekretariatet for informasjonssikkerhet i UH-sektoren i 2012. Sekretariatets hovedoppgaver
er å gi råd, veiledning og praktisk assistanse til statlige universiteter og høgskoler, blant annet
når det gjelder etablering av ledelsessystemer for informasjonssikkerhet. Dette skal hjelpe
ledelsen på institusjonene med styring og kontroll av informasjonssikkerhetsarbeidet. Dette
innebærer at styrende dokumenter skal utformes, at verdiklassifisering skal gjennomføres,
at risiko- og sårbarhetsvurderinger (ROS) skal foretas for utvalgte objekter, og at tiltak og
avvikshåndtering skal prioriteres, gjennomføres og følges opp løpende. Dette inkluderer også
informasjonstiltak, opplæring og øvelser knyttet til informasjonssikkerhet. Alt dette arbeidet
skal være gjenstand for kontinuerlig forbedring.
For å få en bedre forståelse av utfordringsbildet, gjennomførte sekretariatet og Senter
for rettsinformatikk ved UiO i 2013–2014 en bredt anlagt kartlegging av 20 statlige universiteters
og høgskolers arbeid med informasjonssikkerhet.
Kartleggingen pekte på viktige utfordringer:
• mangelfull oversikt over hvilke informasjonsverdier institusjonene forvalter
• informasjonssikkerhetsarbeidet er fragmentert, ad hoc og ofte begrenset til administra-
sjonen og særlig IT-avdelingene
• størst utfordringer innenfor forsknings- og undervisningsvirksomheten
• mangelfull kunnskap om trusselbildet
• begrenset kunnskap om viktige lover og regler på området
• styringsdokumenter for informasjonssikkerhet ikke alltid tilpasset lokale forhold og
heller ikke innarbeidet i egen organisasjon
• utfordrende å få gjennomført viktige sikkerhetsoppgaver i praksis
• arbeidet med informasjonssikkerhet lavt prioritert hos ledelsen (rektor eller direktør)
• sikkerhetskompetanse konsentrert hos én eller noen få ansatte
• begrenset kunnskap og erfaring hos mange system-, prosess- eller tjenesteansvarlige
4 CERT = Computer Emergency Response Team. UNINETT CERT ble etablert i 1995 som Norges første CERT.5 GigaCampus var et program i perioden 2006–2010 der UNINETT i samarbeid med sektoren sørget for et nasjonalt løft for campusnettinfrastrukturen med tilhørende praksis og tjenester.
9
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Nåsituasjon og drøfting
• i stor grad avhengig av ekstern assistanse for å planlegge og gjennomføre viktige
sikkerhetsoppgaver
På den annen side viste kartleggingen at noen av de store institusjonene prioriterte arbeidet
med informasjonssikkerhet høyere enn tidligere, og hadde økt satsingen på bevisstgjøring og
kompetanseheving.
Samlet betyr resultatene fra kartleggingen at sektoren står overfor viktige utfordringer
når det gjelder styring, ledelse, planlegging og gjennomføring av et systematisk og helhetlig
informasjonssikkerhetsarbeid. Å få omsatt styrende dokumenter til praktisk handling ser ut
til å være en hovedutfordring som må vektlegges betydelig mer. UNINETT CERT registrerer
også at det er kapasitets- og kompetanseutfordringer i sektoren når det gjelder håndtering av
sikkerhetshendelser. Samtidig er det ikke grunn til å tro at dette gjelder UH-sektoren spesielt,
noe Riksrevisjonen og Difi har pekt på i andre sammenhenger.
10
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Nåsituasjon og drøfting
5 Fra nåsituasjonen til målbildetFor å nå hovedmål og delmål for informasjonssikkerhet som skissert foran, tar vi utgangspunkt
i Handlingsplan for informasjonssikkerhet i statsforvaltningen 2015–2017, der det identifiseres
fem tiltaksområder som skal prioriteres. Handlingsplanen og tiltaksområdene gjelder også for
statlige universiteter og høgskoler. Hvilke konkrete tiltak som bør gjennomføres innenfor de
ulike tiltaksområdene, diskuteres nedenfor.
5.1 Styring og kontroll
Dette tiltaksområdet omhandler bakgrunnen for og anbefalinger for etablering, innføring og
kontinuerlig forbedring av ledelsessystemer for informasjonssikkerhet i UH-sektoren.
Kartleggingen av arbeidet med informasjonssikkerhet i 2013–2014 indikerer at
universiteter og høgskoler ikke i tilstrekkelig grad har lyktes med å gjøre informasjonssikkerhet
til en integrert del av virksomhetsstyringen. Det er ledelsen ved den enkelte institusjon som
er ansvarlig for at informasjonssikkerheten er tilfredsstillende, og at sikkerhetsarbeidet er
helhetlig, systematisk og tilpasset trusselbildet. Ansvaret omfatter også informasjonsverdier i
IKT-løsninger som helt eller delvis leveres og administreres av eksterne aktører, for eksempel
leverandører av nettbaserte undervisningsressurser, lagrings- og delingstjenester eller admi-
nistrative systemer.
Ledelsens ansvar har et rettslig aspekt. Ulike lover, forskrifter og regelverk, blant
annet personopplysningsloven med forskrift, forvaltningsloven, e-forvaltningsforskriften og
økonomi regelverket i staten, krever at ledelsen formulerer tydelige forventninger til og konti-
nuerlig følger opp arbeidet med informasjonssikkerhet. Den nye personvernforordningen fra
EU som trer i kraft i 2018, innebærer betydelig strengere sanksjoner (bøter) hvis det avdekkes
at ledelsen ikke har etablert tilfredsstillende styring av og kontroll med informasjonssikkerheten.
Ledelsen skal utøve styring og kontroll gjennom løpende praktisering av et ledelsessystem
for informasjonssikkerhet. Uten et slikt ledelsessystem vil institusjonene vanskelig kunne
gjennomføre systematiske kartlegginger av informasjonsverdier, avdekke sikkerhetstrusler
og risikoområder, iverksette kostnadseffektive sikringstiltak og overholde sine rettslige plikter.
TILTAKSPUNKTER
• Sterkere prioritering:
Ledelsen prioriterer arbeidet med etablering, innføring og forankring av et ledelsessystem
for informasjonssikkerhet i egen organisasjon.
• Tilpasning og omfang:
Ledelsessystemer for informasjonssikkerhet utformes slik at de tilpasses lokale forhold og
sikkerhetsbehov.
• Rammebetingelser:
Ledelsen sørger for at de ansvarlige for det operative sikkerhets arbeidet får tilfredsstillende
11
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet
rammebetingelser, og sørger for kontinuerlig forbedring gjennom at resultater og funn
i det operative sikkerhetsarbeidet gjøres kjent for ledelsen.
• Forskning og utdanning:
Kartlegginger viser at utfordringer knyttet til informasjons sikkerhet i dag er størst
i forsknings- og utdanningsvirksomheten. Ledelsen bør derfor ha et særlig fokus på å løfte
informasjonssikkerheten på disse områdene.
• Ekstern assistanse:
Institusjonene bør i større grad benytte eksisterende veilednings tjenester i sektoren ved
etablering og innføring av ledelsessystemer for informasjons sikkerhet. Institusjonene må
tilsvarende holde seg løpende oppdatert med hensyn til relevante deler av trusselbildet,
og være i stand til å iverksette tiltak. Kontakt med fagmiljøer internt i sektoren, andre
sikkerhetsorganisasjoner og leverandører er en viktig forutsetning for å håndtere
sikkerhets truslene.
• Krav og tilsyn:
Kunnskapsdepartementet fortsetter å stille krav til og føre tilsyn med informasjons-
sikkerhetsarbeidet i sektoren.
5.2 Sikkerhet i digitale systemer og tjenester
Internetteknologien har gjort det mulig å knytte svært mange ulike tekniske innretninger til
et nettverk. Det økende mangfoldet i løsningene, den totale kompleksiteten og menneskelige
faktorer betyr at en permanent ytre sikring, for eksempel i form av en sentralt plassert felles
institusjonsbrannmur, ikke kan filtrere vekk enhver type uønsket trafikk uten at dette samtidig
vil forringe nettverket og mange av tjenestenes opprinnelige hensikt. Sentrale løsninger som
reduserer ytelse, funksjonalitet og robusthet for legitim trafikk, vil erfaringsmessig kunne
bidra til komplekse og risikable ad hoc-tiltak. Samtidig ser vi at uønsket programvare og
trafikk likevel finner veier inn i eget nettverk gjennom helt legitime kanaler, for eksempel via
weblenker, e-post, minnepinner og egne mobile sluttbrukerenheter. Alt dette betyr at vi i dag
må ta som utgangspunkt at nettverket både utenfor og innenfor institusjonen uansett er utsatt
for trusler som til enhver tid har som mål å misbruke ressurser.
Det viktigste tiltaket blir da at hver enkelt tilknyttet enhet og tjeneste må ha innebygget
robusthet mot sårbarheter og angrep. Det betyr videre at sentrale trafikkregulerende sikker-
hetstiltak bare kan ta de enkleste og mest generelle truslene, noe som kan implementeres med
vanlig nettverksutstyr og normal konfigurasjonspraksis. Målrettede angrep og trusler man
eksponeres for via legitime veier er langt mer kompliserte, og krever mer innsats for treff-
sikker håndtering dersom bivirkningene skal minimeres. Det finnes altså ingen enkel «sikkerhet
på boks» som løser sikkerhetsproblemene – god forebygging og håndtering ligger i summen av
en rekke tiltak på ulike nivåer.
12
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet
TILTAKSPUNKTER:
• Fysisk sikring:
Skallsikring og kvalitet på tekniske installasjoner skal være i tråd med beskyttelsesbehovet.
Det vises til beste praksis-dokumenter, blant annet veiledninger og fagspesifikasjoner som
er utviklet for sektoren.
• Logisk sikring av endesystemer:
Ved enhver anskaffelse, innføring og drift må det stilles krav til at alle tjenester og ethvert
system må ivareta sin egen sikkerhet. Systemet må i prinsippet kunne tåle å stå tilknyttet
et åpent nett, og dersom det ikke gjør det, er det systemet selv som må påføres en egen
sikring. Annen felles ytre sikring utenfor systemet, såkalt ytre perimetersikring, er å anse
som en enkel og svært begrenset tilleggsbeskyttelse og ikke noe man kan basere systemets
egen sikkerhet på.
• Konfigurasjons- og driftspraksis:
Institusjonene skal til enhver tid holde seg oppdatert med hensyn til trusselbildet og følge
beste praksis for konfigurasjon og drift. Dette innebærer eksempelvis oppdatering av ope-
rativsystemer og applikasjoner snarest og senest innen 48 timer (praksisnorm) etter at in-
formasjon om sårbarheter og eventuelle tiltak er publisert. Videre forutsettes god oversikt
og løpende forvaltning av tilknyttede enheter og brukere i eget nett, samt operativ kapasitet
for gjennomføring av nødvendige tiltak. Om organisasjonen selv ikke evner å gjennomføre
dette, må man søke assistanse. Fellestiltak i sektoren kan være kostnadseffektivt for dette.
• Kontinuerlig monitorering og måling:
Institusjonene skal sørge for at IKT-løsningenes tilgjengelighet og sikkerhetsmessige tilstand
er gjenstand for løpende monitorering og logging med adekvat varsling til rette vedkom-
mende om nødvendige tiltak. Monitoreringsdata og systematiske målinger gir også viktig
trusselinformasjon som kan danne grunnlag for iverksettelse av tiltak. Daglig håndtering
av monitoreringsdata og logger skal ivareta personvernet på best mulig måte.
• Hendelseshåndtering:
Institusjonene skal ha etablert et apparat for akutt håndtering av sikkerhetsbrudd som
måtte bli avdekket, se tiltakspunktet om digital beredskap under. Innledningsvis vil det for
flere institusjoner dreie seg om en styrking av eksisterende operative kontaktpunkt innen-
for gitte formkrav som gjelder for responsteam. I tillegg kreves en strukturering av løpende
hendelseshåndtering i eget IKT-miljø, der kommunikasjon med andre aktører som kan
knyttes til hendelsene blir godt ivaretatt. Institusjonene har også et ansvar for å hindre at
egne IKT-ressurser gjennom kompromittering blir misbrukt til angrep på andre samfunns-
aktører. Deteksjonsevne og god hendelseshånd tering er dermed viktig.
• Sårbarhets- og penetrasjonstester:
Institusjonene skal sørge for at det jevnlig blir gjennomført tester for å avdekke sårbarheter
i IKT-løsningene basert på et oppdatert trussel bilde. Slike tester må foretas både fra eksterne
og interne observasjonspunkter på grunn av at ulike sikkerhetsbarrierer vil kunne maskere
sårbarheter som kan utnyttes via brohoder på innsiden. Funn skal analyseres, rapporteres og
13
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet
følges opp med konkrete tiltak. Dette kan være kompetanse- og ressurskrevende, særlig for
mindre institusjoner, og ekstern assistanse vil kunne være nødvendig. Endring i trusselbildet
vil kunne utløse nye tester og tiltak. Viktige systemer bør være gjenstand for penetrasjons-
testing før produksjonssetting.
• Operasjons- og analysesenter:
Mengden tekniske monitorerings- og måledata som kan høstes er i stor vekst og kan gi stor
sikkerhetsmessig verdi. Disse dataene kan være spredt over lange dataserier og fordelt på
flere institusjoner. Videre er de gjerne høstet fra flere ulike observasjonssteder og systemer,
og henger sammen med funn fra sårbarhetstester. Det kan være svært krevende å sam-
menstille og analysere slike data, og vurdering av funn og anbefalinger om tiltak kan fordre
betydelig erfaring og kompetanse. Særlig med tanke på institusjoner som selv mangler
denne kapabiliteten, bør man sterkt vurdere å opprette en nasjonal enhet i sektoren som
kan bistå. Videre må man løpende oversette tolkning av funn til konkrete og strukturerte
tiltak som institusjonen får et ansvar for å følge opp.
• Kontinuerlig forbedring:
Arbeid med teknisk sikkerhet skal være forankret i ledelses systemet og bidra til kontinuerlig
forbedring av informasjonssikkerheten.
5.3 Digital beredskap
Digital beredskap handler om å håndtere og avverge alvorlige sikkerhetshendelser som kan
ramme IKT-løsninger. Digital eksamen, studentopptak og tilhørende basistjenester er blitt
kritiske i den forstand at utfall kan ramme en rekke studenter og ansatte samtidig, og i vesentlig
grad forstyrre virksomhetens løpende produksjon. I en nasjonal kontekst kan det også nevnes
at kommunikasjonen og samhandlingen mellom Meteorologisk institutt og tungregneanleggene
er definert som kritisk.
Institusjonene må forholde seg til at man før eller siden kan bli kompromittert, og at
dette allerede kan ha skjedd uten at man vet det. Rutiner og kompetanse vil være kritisk for
å etablere normaltilstand igjen. Effektiv hendelseshåndtering vil styrke tilliten til systemene,
og motsatt vil manglende oppfølging kunne undergrave den forbedringsgevinst systemene
er ment å skape. I et trusselbilde i stadig endring må man være forberedt på å håndtere det
uventede.
TILTAKSPUNKTER
• Sektor-CERT:
Videreføre og forsterke et sentralt sikkerhetsteam i sektoren. Det sentrale sikkerhetsteamet
må samhandle tett med driftsmiljøene, siden effektiv hendelseshåndtering ofte forutsetter
verifiserte måledata fra denne infrastrukturen og muligheten for å gripe raskt inn i aktuelle
infrastrukturkomponenter. I tillegg må institusjonene styrke egne responsmiljøer ut over
dagens nivå, se punkt 5.2 foran. Sektoren skal samlet sett ha god samhandling med andre
14
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet
norske og internasjonale responsmiljøer for å sikre beredskap og informasjonsutveksling
på tvers av sektorer og landegrenser. NSM NorCERT er en viktig aktør i denne sammen-
hengen, særlig for å koordinere situasjoner som rammer tverrsektorielt. Institusjoner av
en viss størrelse oppfordres til å etablere egne sertifiserte responsmiljøer, men som et mini-
mum skal samtlige institusjoner ha et tydelig og operativt kontaktpunkt som kan benyttes
i forbindelse med hendelser eller endringer i trusselbildet. Det er i den forbindelse svært
nyttig å ha løsninger og avtaler for utveksling av sensitiv og kryptert informasjon. Det må
vurderes om det skal opprettes en sektortjeneste som kan drives 24/7/365.
• Samarbeid:
Et tett og styrket samarbeid innad i sektoren vil forbedre arbeidet med sikkerhet. Trusselbildet
har blitt så omfattende og angrepene så avanserte at få miljøer alene vil være i stand til
å forholde seg til all sikkerhetsrelatert informasjon som daglig blir gjort kjent. Samarbeid,
høy kompetanse og god organisering hjelper oss til å prioritere det viktigste først. Det må
finnes en felles kommunikasjonsplattform hvor relevant informasjon enkelt og trygt kan
utveksles på tvers av ulike grupperinger, som kjenner hverandre fra før og som stoler på
hverandre. En nasjonal enhet som kan koordinere sektorens hendelseshåndtering vil da
lettere kunne videreformidle relevant, kritisk informasjon og bistå rette vedkommende.
Kunnskaps- og erfaringsdeling på tvers av institusjonene må fortsette, og det er viktig
å knytte dette til internasjonalt arbeid på området.
• Gjenopprettingsøvelser og robusthetstester:
Sikkerhetskopiering har i mange år vært et førstenivåtiltak mot tap av informasjon.
Prinsipielt kan man ikke bekrefte om en sikkerhetskopi fungerer før man har gjennom-
ført en vellykket gjenoppretting. Tilsvarende gjelder kjente robusthetsfunksjoner, som
for eksempel nettredundans, diskspeiling, replikering og automatisk flytting av virtuelle
maskininstanser. Man må jevnlig teste om disse funksjonene faktisk virker. Ved testing må
man sørge for å holde risiko for utilsiktede effekter så lav som mulig. Det må være tydelig
for alt involvert personell at en sikkerhetskopi, et defekt diskspeil og replikerte data på
avveie kan utgjøre en stor trussel mot konfidensialitet. Sikre rutiner som forhindrer dette
skal finnes.
• Kontinuitetsplaner:
Det bør etableres og vedlikeholdes kontinuitetsplaner for sentrale og kritiske tjenester.
Dette gjelder også institusjonenes egne systemer. Planene må inkludere reetablering av
infrastruktur og tjenester innen akseptabel tid etter alvorlige hendelser, som brann, over-
svømmelse, overspenning, destruktiv programvare, kabelbrudd, defekt maskinvare eller
tilsvarende. Tilsvarende krav må stilles til leverandører.
• Beredskap og øvelser:
Det skal øves på håndtering av hendelser som kan ramme hele eller deler av sektoren. Det
skal finnes varslingslister og kontaktpunkter for alle institusjoner i UH sektoren som under-
lag for krisehåndteringsarbeidet. Det bør være en nasjonal enhet som kan ta et hovedansvar
for koordinering og gjennomføring av nasjonale øvelser.
15
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet
5.4 Nasjonale felleskomponenter
Nasjonale felleskomponenter er infrastruktur og tjenester som en betydelig del av sektoren er
avhengig av. Det kan også være tjenester som andre tjenester er avhengige av. For nasjonale
felleskomponenter er tiltakene i tiltaksområde 5.1–5.3 foran spesielt viktige, da konsekvensene
av sikkerhetsbrudd her vil kunne være langt mer omfattende enn for lokale systemer. Generelt
skal nasjonale felleskomponenter gis høy prioritet for alle sikkerhetstiltak.
Lysne-utvalget6 peker spesielt på risiko knyttet til komplekse og uoversiktlige verdikjeder
i mange av dagens digitale løsninger, blant annet som et resultat av markedsutsetting av
tjenester, og at dette bidrar til å gjøre mange systemer og tjenester mer sårbare. Leverandører
og virksomheten selv må derfor ha en forståelse av verdikjedene, og kunne håndtere den risikoen
som finnes ved at ansvaret for totaliteten i praksis er delt mellom ulike organisasjoner. For
forskningsnettet er føringsveier, tekniske installasjoner og trafikkstyring valgt på basis av
inngående kunnskap om hvordan nettet er realisert fysisk, noe som har bidratt til en robust
infrastruktur over lang tid. Etablering og drift av kritiske nasjonale felleskomponenter, også
i en skysammenheng, må følge samme fremgangsmåte slik at avhengigheter, kompleksitet
og risiko er forstått og redusert til et akseptabelt nivå.
TILTAKSPUNKTER
• Robusthet og fleksibilitet i forskningsnettet:
Forskningsnettet er konstruert robust basert på verifisert redundans og diversitet på sam-
band og utstyr, men også gjennom at kompleksitet og avhengighet av eksterne ressurser er
redusert til et minimum. Forskningsnettet er også av robusthetsårsaker konstruert med en
enkel nettarkitektur som er egnet for å betjene de fleste konstellasjoner av studie steder og
aktører i sektoren. Det er derfor viktig at institusjonene er svært forsiktige med å etablere
nye virtualiserte nettstrukturer på toppen av forskningsnettet, da dette kan øke total
kompleksitet med et uoversiktlig trafikkbilde, avhengigheter og sårbare konsentrasjons-
punkter som resultat. Dette vil i så fall kunne redusere verdien av opparbeidet robusthet og
fleksibilitet. I tillegg vil en slik utvikling komplisere gjennomføringen av nye organisasjons-
endringer og tekniske samarbeidskonstellasjoner i fremtiden. Et komplekst og uoversiktlig
bilde vil tilsvarende redusere manøvrerings- og håndteringsevne ved sikkerhetshendelser,
og øke tiden det tar å lukke et avvik. De samme prinsippene som er benyttet i utviklingen
av forskningsnettet, må derfor også anvendes i etableringen av kritiske felleskomponenter
som bygges på toppen av forskningsnettet eller som baserer seg på dette.
• Høytilgjengelighet for kritiske tjenester:
Kritiske tjenester bør i fremtiden kunne kjøres høytilgjengelig gjennom etablering av
parallelt kjørende instanser av tjenesten spredt på flere geografiske lokasjoner. Ytterligere
robusthet kan oppnås ved å etablere diversitet på løsningen, for eksempel ved at man
6 NOU: 2015:13, https://www.regjeringen.no/no/dokumenter/nou-2015-13/id2464370/
16
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet
sprer risiko for innebygde feil og sikkerhetsproblemer ved å spre lasten på maskin- eller
programvare fra ulike produsenter. Høytilgjengelighet kan i enkelte tilfeller øke kom-
pleksiteten, men konstruert riktig, vil dette kunne øke robustheten dramatisk. Det er ikke
bare økt oppetid som er gevinsten, men også muligheten for hyppigere sikkerhetsmessig
vedlikehold av tjenestens enkeltinstanser uten at tjenesten som helhet blir utilgjengelig
mens vedlikehold pågår. Noen tjenester bør som følge av robusthetskrav være tett koblet
til forskningsnettet. Andre tjenester som er mindre kritiske og som ikke har lovpålagte
krav om plassering, kan plasseres mer vilkårlig. Ved spredning av risiko fordres det at man
skaffer seg innsikt i grunnleggende infrastruktur slik at risikospredningen er verifiserbar
og reell. Dette fordi ulike tjenesteleverandører ofte benytter de samme underleverandører
og samme nettinfrastruktur. Ved utvikling eller anskaffelser av tjenester må man i en tidlig
fase peke på behovet for høytilgjengelighet og nødvendig teknisk funksjonalitet for dette.
Betydelig økt robusthet kan altså oppnås ved å utnytte de geografisk spredte tekniske installa-
sjonene som allerede finnes i sektoren, og disse kan også suppleres med å plassere instanser
hos eksterne skyleverandører. Alternativet til risikospredning er langt mer krevende til-
gjengelighetskrav til enkeltinstallasjoner, som i mange tilfeller kan være vanskelig å innfri.
På kort sikt skal beste praksis på utførelse av datarom, nett-, strøm- og kjøleredundans,
diskspeiling osv. være gjennomført der kritisk infrastruktur finnes. Såkalt off-site-backup
og jevnlig testede reserveløsninger, der man for eksempel utnytter sektorens eksisterende
infrastruktur eller skymarkedet, vil kunne gi en tidlig gevinst på veien mot høytilgjenge-
lighet. Når det gjelder skytjenester, er det viktig å ta hensyn til risikoen knyttet til sterk
geografisk konsentrasjon av store datamengder hvis man ikke stiller tydelige krav om
diversitet i avtalene for skytjenestene. I avtalene må det stilles krav om at robusthetstiltak
til enhver tid kan verifiseres, og at robustheten må sees i en helhetlig sammenheng.
• Teknologi for autentisering, kryptering og sertifikater:
Dette er teknologi som må søkes integrert i alle løsninger for å hindre misbruk, og for å ha
kontroll med hvem brukerne er. Dette er også muliggjørende teknologi med tanke på at
sensitive opplysninger kan lagres på lokasjoner der sektoren selv ikke har kontroll over
den fysiske infrastrukturen. Slik teknologi må også være gjenstand for oppdatering, da flere
eksempler viser at kryptering har vært brutt eller programvaren har hatt svakheter. God
passordkultur er fundamentalt. God beredskap for situasjoner der potensielt store mengder
nøkler og passord har havnet på avveie, må være på plass.
5.5 Kunnskap,kompetanseogkultur
Både Politiets sikkerhetstjeneste (PST), Nasjonal sikkerhetsmyndighet (NSM) og internasjonale
sikkerhetsorganisasjoner er enige om at målrettede angrep i økende grad retter seg mot eller
utnytter sluttbrukere. Dersom man klarer å få en ansatt eller student til å trykke på en lenke, et
bilde eller et annet e-postvedlegg som installerer ondsinnet kode på brukerens maskin, er det
etablert et brohode på innsiden av alle tradisjonelle sikkerhetsbarrierer. Slik ondsinnet kode
17
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet
kan også omfatte såkalte tastetrykksloggere, som logger tasting av passord og sender disse
tilbake til angriper. Brukerens personlige tilgang til åpne tjenester i skyen blir da å regne som
kompromittert, uten at brukeren selv eller systemadministrator trenger å være klar over det.
Det er også sterk vekst knyttet til såkalt løsepengevirus, der brukerens data har blitt kryptert
av angriper som følge av ondsinnet kode, og der det må betales en større pengesum for å få
dataene lesbare igjen.
Hvis alle brukere til enhver tid utviser varsomhet og er godt kjent med hvordan ulike
typer skadevare smitter gjennom for eksempel e-post og ulike websider, vil dette sammen med
tekniske tiltak bidra til at angripere i mindre grad lykkes. Det er også avgjørende at brukerne
håndterer informasjon i samsvar med tydeliggjorte og spesifikke sikkerhetskrav, både de
generelle og de som gjelder spesifikt for systemer med sensitiv og intern informasjon. God
brukeropplæring er en av de viktigste virkemidlene fremover. Informasjonsmengden som
brukerne må håndtere er tidvis omfattende, og gjentatte holdningsskapende og bevisstgjørende
aktiviteter må gjennomføres for å skape en nødvendig varsomhetskultur.
TILTAKSPUNKTER
• Kompetanse:
Samtlige av sektorens ledere, ansatte og studenter må få tilbud om opplæring i informa-
sjonssikkerhet. Det bør utarbeides og vedlikeholdes veiledningsmateriell, gjerne i form
av en fellesløsning, som gir brukerne kunnskap om hvordan de skal håndtere ulike typer
informasjon. Innholdet må være konsistent, oppdatert, relevant og presentert på en visuelt
god måte. Studenter og ansatte må oppleve det som nyttig og relevant for at det skal bli
brukt. Hvis ledelsessystemene som etableres i virksomhetene skal fungere, må den enkelte
vite hva hun eller han skal gjøre for å forebygge og hva de skal gjøre hvis noe skjer. Jevnlige
kampanjer basert på det aktuelle trusselbildet kan være et effektivt virkemiddel for å nå
frem. Styrking av sektorens kompetansemiljøer innenfor sikkerhetskultur og holdnings-
skapende arbeid vil være viktig for å lykkes. På teknisk nivå må man tilsvarende opprett-
holde og styrke de gode tradisjonene rundt samlingsbasert erfaringsutveksling og utvikling
av kompetanse og løsninger.
• Utdanne lokale instruktører:
For å sikre at den enkelte ansatte og student får opplæring i informasjonssikkerhet, bør det
utdannes ressurspersoner med et lokalt ansvar for gjennomføring av et strukturert opplæ-
ringsprogram på sin institusjon. Ved å tilby særskilt opplæring for disse ressurspersonene,
kan man bedre sikre at det finnes kompetanse lokalt i den enkelte institusjon som er opp-
datert med hensyn til trusselbildet og hvilke virkemidler som til enhver tid er aktuelle. Dette
representerer en omfattende nasjonal dugnad der sentralt utviklet opplæringsmateriell,
tilgang til høy kompetanse, samlingsbasert opplæring og god ledelsesforankring vil være
viktige ingredienser for en vellykket gjennomføring. Gevinsten er imidlertid stor.
• Innebygget informasjonssikkerhet:
Alle anskaffelses- og innføringsprosesser i sektoren bør gjennomgå risiko- og sårbarhets-
18
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet
vurderinger slik at man tidlig kan stille riktige krav til sikkerheten. At leverandører over
tid har fokus på og tilstrekkelige ressurser til sikkerhets messig vedlikehold av løsningen,
er viktig å avklare. Etablerte, sentrale fagmiljøer på sikker hetsområdet bør delta tidlig i
anskaffelsesprosessene slik at informasjonssikkerhet blir en naturlig del av anskaffelsen
og implementasjonen i virksomheten. Kjente sikkerhetskrav bør gjøres tilgjengelig, gjerne
harmonisert med hva for eksempel Difi tilbyr på området.
19
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet
6 Strategiske tiltak og rollefordeling i sektoren
Informasjonssikkerhet er i økende grad en forutsetning for videre digitalisering og gevinst-
realisering i sektoren. Sammen med et mer utfordrende trusselbilde og større kompleksitet,
kreves det en styrking og videreutvikling av det arbeidet som allerede pågår. Ressurser og
kompetansemiljøer i sektoren må samhandle mer og arbeide målrettet for å møte et stadig
mer krevende utfordringsbilde.
6.1 Institusjonenes ansvar
Institusjonene har det rettslige ansvaret for at IKT og informasjonssikkerheten i undervisning,
forskning, administrasjon og formidling er tilfredsstillende. Ansvaret kan juridisk sett ikke
delegeres til andre, og nye nasjonale og internasjonale regelverk, for eksempel EUs person-
vernforordning, forsterker institusjonenes selvstendige ansvar. Ansvaret omfatter egen
infrastruktur og egne systemer og tjenester, også når disse er satt ut til eksterne aktører.
Ansvaret innebærer at institusjonene skal utføre en rekke spesialiserte oppgaver innen-
for rammen av et ledelsessystem for informasjonssikkerhet, blant annet risikovurderinger og
avvikshåndtering, hensiktsmessige robusthetstiltak, hendelsesrespons og bevisstgjøringstiltak.
Ledelsessystem og tiltak på informasjonssikkerhetsområdet kan tjene på koordinering med
tilsvarende systemer og tiltak på andre sikkerhetsområder, for eksempel innenfor HMS.
Kartlegginger i sektoren viser at mange institusjoner mangler nødvendig kapasitet og
kompetanse til å ivareta disse oppgavene på en systematisk og planlagt måte, jf. punkt 4 foran.
I tillegg vil trolig økt bruk av eksterne databehandlingstjenester, spesielt skytjenester, forsterke
behovet for praktisk bistand på informasjonssikkerhetsområdet i årene som kommer.
6.2 Kunnskapsdepartementets ansvar
Av Nasjonal strategi for informasjonssikkerhet (2012) og Handlingsplan for informasjonssikkerhet
i statsforvaltningen (2015-2017) fremgår det at Kunnskapsdepartementet har det politiske
hovedansvaret for sikkerheten i UH-sektorens IKT-infrastruktur, og for at det forebyggende
informasjonssikkerhetsarbeidet i sektoren er tilfredsstillende. Dette innebærer at departe-
mentet har et ansvar for å sikre institusjonene tilgang til nødvendig kapasitet og kompetanse
som gjør dem i stand til å iverksette reaktive og forebyggende IKT- og informasjonssikkerhets-
tiltak på en systematisk og planlagt måte.
Ansvaret innebærer videre at Kunnskapsdepartementet skal identifisere og sikre
kritisk infrastruktur i sektoren, vurdere, beslutte og iverksette forebyggende informasjons-
sikkerhetstiltak, forberede beredskapstiltak, planlegge for og iverksette krisehåndteringstiltak,
20
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Strategiske tiltak og rollefordeling i sektoren
og følge opp og føre tilsyn med arbeidet med IKT og informasjonssikkerhet i underliggende
virksomheter.
Kunnskapsdepartementet deltar også i tverrsektorielle initiativ for en styrket og mer
helhetlig tilnærming til IKT og informasjonssikkerhet i statsforvaltningen. Dette arbeidet
koordineres av Justis- og beredskapsdepartementet.
I praksis vil mange av de operative sikkerhetsoppgavene som Kunnskapsdepartementet
er politisk ansvarlig for bli utført av underliggende etater eller virksomheter.
6.3 Nasjonal enhet for informasjonssikkerhet i UH-sektoren
Med bakgrunn i den skisserte ansvarsfordelingen mellom institusjonene og Kunnskaps-
departementet, foreslås det at eksisterende satsinger styrkes gjennom at arbeidet i større
grad organiseres gjennom en nasjonal enhet for IKT og informasjonssikkerhet i UH-sektoren.
Det foreslås at enheten skal ivareta tre hovedoppgaver:
1. Bistå institusjonene med å ivareta deres rettslige og operative ansvar for informasjons-
sikkerheten i undervisning, forskning, administrasjon og formidling.
2. Bistå Kunnskapsdepartementet med å utøve det overordnede ansvaret for sikkerheten
i UH-sektorens IKT-infrastruktur og -tjenester, og for at den forebyggende informasjons-
sikkerheten i sektoren er tilfredsstillende.
3. Bistå Kunnskapsdepartementet i arbeidet med tverrsektorielle tiltak for en styrket og mer
helhetlig tilnærming til IKT og informasjonssikkerhet i statsforvaltningen.
Bakgrunnen for forslaget er utfordringsbildet som UH-sektoren står overfor i praksis, og som
er beskrevet i kapitlene 4 og 5 foran. Hensiktsmessig håndtering av disse utfordringene indikerer
at UH-sektoren er avhengig av et sterkt sentralt, nasjonalt miljø som har særlig kompetanse og
kapasitet på oppgaver som gjelder IKT og informasjonssikkerheten. Det er naturlig at et slikt
miljø tar utgangspunkt i det som allerede er etablert: Sekretariatet for informasjonssikkerhet i
UH-sektoren og kunnskapssektorens egen sektor-CERT (UNINETT CERT). I tillegg vil det være
viktig å involvere øvrige fagressurser i sektoren. Miljøet bør organiseres som en operativ, nasjonal
enhet, og gis et tydelig mandat basert på de formål og hovedoppgaver som er skissert foran.
6.4 Den nasjonale enhetens oppgaver
Den nasjonale enheten må bidra til å samle og koordinere ressursinnsatsen på informasjons-
sikkerhetsområdet på en mer forpliktende og målrettet måte enn sektoren gjør i dag. Enheten
må tilby institusjonene sikkerhetstjenester på operativt nivå, blant annet sensor- og loggbasert
deteksjon og analyse av trusselinformasjon i lokal og nasjonal infrastruktur. Det er viktig i
denne sammenheng at enheten bistår og veileder institusjonene i å løse tekniske, organisa-
toriske og juridiske utfordringer som det lokale arbeidet med informasjonssikkerhet reiser. Dette
bør blant annet skje gjennom praktisk veiledning, utarbeidelse av beste praksisdokumenter,
21
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Strategiske tiltak og rollefordeling i sektoren
bistand til etablering av kontinuitets- og beredskapsplaner, risikovurderinger, internrevisjoner
og faglige samlinger. Slik bistand må være tett knyttet til forvaltningen av infrastruktur,
arkitek tur, teknologi og tjenester som UH-sektoren til enhver tid benytter. Potensialet for
gjenbruk og fellestiltak er allerede til stede som følge av at man på teknisk
nivå og tjenestenivå har gode resultater knyttet til samarbeid og harmonisering.
Enheten bør videre bidra med ressurser og kompetanse når det gjelder nasjonale
fellestiltak og anskaffelsesprosesser slik at krav og forventninger til informasjonssikkerheten
ivaretas på en systematisk måte. Dette gjelder også i forbindelse med anskaffelse og bruk av
sky tjenester. Dette vil gjøre det lettere og mindre kostnadskrevende for institusjonene å ivareta
sine rettslige forpliktelser, samt bidra til bedre kvalitet på leveranser og implementasjon.
Enheten bør samtidig stimulere til økt fokus og innsats på IKT- og informasjonssikkerhets-
området gjennom opplærings- og bevisstgjøringstiltak rettet mot ledere, ansatte og studenter i
sektoren. Videre bør enheten formidle oppdatert informasjon til institusjonene om trusselbildet,
utarbeide forslag til hensiktsmessige sikringstiltak basert på gjeldende trusselbilde og institu-
sjonsvise sikkerhetsanalyser. Ved at UH-sektorens egen sektor-CERT inngår i enheten, vil
enheten være operativ og ivareta gode koordineringskanaler ved sikkerhetshendelser.
Enheten må i sitt arbeid involvere etablerte IKT- og informasjonssikkerhetsmiljøer
i sektoren med særlig kompetanse på sine områder, for eksempel NTNU i Gjøvik, Simula,
SINTEF, UiO USIT, Senter for rettsinformatikk, HiOA med flere. Enheten må være et nav for økt
samarbeid mellom disse kompetansemiljøene, for eksempel gjennom etablering av operative,
virtuelle team med klare mål og enhetlig styring. Dette skal samlet sett gi sektoren økte
gevinster og bedre fellestjenester på IKT- og informasjonssikkerhetsområdet. Det bør være en
prioritert oppgave for enheten å etablere nasjonale og regionale kunnskapsnettverk i samarbeid
med de nevnte aktørene og øvrige deler av sektoren. Formålet med kunnskapsnettverkene må
være å bygge opp kompetanse og operativ evne for teknologiske, organisatoriske og juridiske
utfordringer knyttet til IKT og informasjonssikkerhet, samt utveksle praktiske erfaringer om
hvordan utfordringene kan håndteres i det daglige.
Enheten bør videre delta aktivt i og være en pådriver for økt samarbeid og erfarings-
deling mellom relevante internasjonale miljøer og aktører i kunnskapssektoren. Dette vil
innebære deltakelse i samarbeidsfora innenfor rammen av NORDUnet, GÉANT og operative
sikkerhetsfora som TF-CSIRT og FIRST. Den internasjonale utviklingen på sikkerhetsområdet
peker tydelig i retning av økt innsats for samarbeid, kunnskapsutveksling og teknologibruk.
I sum vil denne styrkingen, kombinert med tett samvirke med sektorens sentrale infrastruk-
turmiljøer, kunne bidra til at kunnskapssektoren vil være langt fremme og godt rustet på
informa sjonssikkerhetsområdet.
Den nasjonale enheten skal bidra til at sektoren løser oppgaver knyttet til nasjonal
beredskap, krisehåndtering og øvelser på en tilfredsstillende måte. Tillitsbasert og løpende
samarbeid med NSM NorCERT, øvrige CERT-enheter for sektorer, bransjer og leverandører
i Norge og internasjonalt vil være avgjørende.
22
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Strategiske tiltak og rollefordeling i sektoren
6.5 Kunnskapsdepartementets rolle
Kunnskapsdepartementet bidrar til arbeidet på informasjonssikkerhetsområdet ved å stille
tydelige krav til informasjonssikkerhet i tildelingsbrev og i styringsdialogen med institusjonene.
Tilsvarende at departementet fører tilsyn med hvordan arbeidet med informasjonssikkerhet
planlegges, ledes og utføres. At departementet fortsatt deltar aktivt i nasjonale og tverrsektorielle
tiltak for informasjonssikkerhet, vil gi økt nytteverdi for kunnskapssektoren fremover.
23
IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Strategiske tiltak og rollefordeling i sektoren
Utgiver:
UNINETT AS på oppdrag fra Kunnskapsdepartementet
Januar 2017
ISBN 978-82-91638-16-4