informasjons- sikkerhet - uninett...informasjons- sikkerhet ikt-strategi for norsk universitets- og...

Informasjons- sikkerhet

IKT-strategi for norsk universitets- og høgskolesektor

Rapportene kan leses og lastes ned i sin helhet på

https://www.uninett.no/arbeidsgruppe-IKT-strategi

Organisering, styring og finansiering ISBN 978-82-91638-17-1

IKT-strategi og helhetlige løsninger for norsk universitets- og høgskolesektor (overordnet dokument) ISBN 978-82-91638-11-9

IKT-strategi for infrastruktur og basis IKT-tjenester ISBN 978-82-91638-13-3

IKT-strategi for administrative tjenester ISBN 978-82-91638-15-7

IKT-strategi for forskning ISBN 978-82-91638-14-0

IKT-strategi for utdanning ISBN 978-82-91638-12-6

Denne rapporten utgjør en del av underlaget for den totale IKT-strategien som er levert av denne arbeidsgruppen. Strategien består av følgende rapporter i tillegg til denne:

IKT-strategi for norsk universitets- og høgskolesektor

Om rapporten:

Tittel: Informasjonssikkerhet

ISBN 978-82-91638-16-4

Oppdragsgiver: Kunnskapsdepartementet

Ansvarlig: KDs arbeidsgruppe for IKT-strategi og helhetlige løsninger

Sekretariat for arbeidet: UNINETT AS

Grafisk formgiving: HK reklamebyrå

Dato for ferdigstilling: 31. januar 2017

Rapportene er publisert på


Innholdet kan brukes fritt. Oppgi gjerne kilde.

2




Om arbeidet med IKT-strategienDenne rapporten inngår som en del av underlaget for den overordnede strategirapporten IKT-strategi og helhetlige løsninger for norsk universitets- og høgskolesektor. Der presenteres bakgrunnen og mandatet for arbeidet, samt arbeidsgruppen som har hatt ansvaret for strategiarbeidet på oppdrag fra Kunnskapsdepartementet.

Arbeidsgruppen valgte å organisere arbeidet med ulike undergrupper som har jobbet med spesifikke deler av strategien. Gruppene har i ulik grad knyttet til seg ressurspersoner og -grupper fra sektoren, og også hatt rapportutkast på høring underveis hos relevante fagmiljøer.

Det ble gjort en interessentanalyse da arbeidsgruppen startet arbeidet. Der ble de viktigste interessentgruppene kartlagt og beskrevet med henblikk på involvering underveis i prosessen. I den første fasen av arbeidet ble interessentene oppfordret til å gi innspill, noe både enkeltpersoner og flere institusjoner gjorde.

Arbeidsgruppen har hatt sitt eget rom i samarbeidsportalen Agora. Der har alle rapportutkast og andre underlagsdokumenter vært publisert etter hvert som arbeidsgruppen har behandlet dem. Portalen har vært åpen for alle interesserte, og mange – de fleste fra UNINETTs kundeinstitusjoner – har registrert seg som interessenter.

I tillegg har arbeidsgruppen hatt en egen webside. Den har vært oppdatert etter hvert som arbeidsgruppen har klargjort sine standpunkter og anbefalinger. Slike oppdateringer er også delt i UNINETTs sosiale mediekanaler.

https://agora.uninett.no/group/arbeidsgruppe-ikt-stm18/


Delrapporten om informasjons-sikkerhet

Følgende står som forfattere av rapporten:

Rolf Sture Normann, UNINETT Olaf Schjelderup, UNINETT Tommy Tranvik, UNINETT

Forfatterne har stått for hovedbidragene til rapporten. Arbeidet har skjedd iterativt, og hver revisjon av dokumentet har vært åpent tilgjengelig i Agora. Utkast har vært behandlet av arbeidsgruppen i flere runder før den endelige rapporten ble ferdigstilt.

Innhold1 Bakgrunn ................................................................................................................................................................................................................................................................................... 6

2 Konfidensialitet, integritet og tilgjengelighet ................................................................................................................................................................. 7

3 Hovedmål og delmål .............................................................................................................................................................................................................................................. 8

4 Nåsituasjon og drøfting ..................................................................................................................................................................................................................................... 9

5 Fra nåsituasjonen til målbildet ........................................................................................................................................................................................................... 115.1 Styring og kontroll ............................................................................................................................................................................................................................. 11 5.2 Sikkerhet i digitale systemer og tjenester .............................................................................................................................................................. 12 5.3 Digital beredskap ................................................................................................................................................................................................................................. 14 5.4 Nasjonale felleskomponenter ............................................................................................................................................................................................... 16 5.5 Kunnskap, kompetanse og kultur ................................................................................................................................................................................... 17

6 Strategiske tiltak og rollefordeling i sektoren ........................................................................................................................................................... 206.1 Institusjonenes ansvar ................................................................................................................................................................................................................... 206.2 Kunnskapsdepartementets ansvar ................................................................................................................................................................................ 206.3 Nasjonal enhet for informasjonssikkerhet i UH-sektoren ................................................................................................................... 216.4 Den nasjonale enhetens oppgaver................................................................................................................................................................................. 216.5 Kunnskapsdepartementets rolle ....................................................................................................................................................................................... 23

5

IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Innhold

1 BakgrunnInformasjonshåndtering med digitale hjelpemidler har over mange år blitt stadig mer sentralt

for UH-sektorens kjernevirksomhet. Et mangfold i ulike IKT-baserte sluttbruker enheter,

tjenester og tekniske ressurser – alt koblet sammen i et felles forskningsnett – har satt tydelig

preg på hvordan forskning, utdanning og samarbeid skjer i dag. Et pålitelig høykapasitets

forskningsnett og tjenester med høy kvalitet har vært en forutsetning for mange store

endringer i sektoren, og slik vil det fortsette. IKT griper inn i de fleste gjøremål, og sektoren er

i dag blitt helt avhengig av at grunnleggende teknologi og infrastruktur alltid virker slik den skal.

I takt med IKT-utviklingen har sektoren håndtert stadig større mengder verdifull digital

informasjon, fra åpent tilgjengelig læringsmateriell til konfidensielle forskningsdata og sensitive

personopplysninger. Dette er verdier som forvaltes på vegne av fellesskapet, og som fordrer

løpende innsats for at tilgjengelighet, integritet og behov for konfidensialitet skal være ivare-

tatt, både teknisk, organisatorisk og på brukernivå. Ulike nasjonale og internasjonale regelverk

stiller i dag tydelige krav til sikker informasjonshåndtering.

Konsekvensene av tilgjengelighetsbrudd, manipulerte data eller informasjonslekkasje

er blitt mer alvorlige. Dette betyr at sektoren må øke innsatsen på sikkerhetsområdet. Vi ser at

trusselbildet kan endre seg raskt og bli stadig mer målrettet og komplekst, ikke minst som følge

av at verdien av digital informasjon vokser. Sikkerhetsarbeidet må derfor skje på en plan-

messig og treffsikker måte, samtidig som sikkerhetstiltakene i minst mulig grad må forringe

nytteverdien av netteknologi og digitale tjenester. Dette gjør sikkerhetsarbeid nødvendig,

men krevende, både når det gjelder styring, kompetanse og praktisk gjennomføring.

6

IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Bakgrunn

2 Konfidensialitet,integritet og tilgjengelighet

Informasjonssikkerhet er ikke bare et teknisk anliggende, slik det kunne se ut i en tidlig fase

av IKT-utviklingen. Arbeidet med informasjonssikkerhet innebærer i dag at universiteter

og høgskoler må etablere og opprettholde planlagte og systematiske tiltak på flere nivåer for

å beskytte sine informasjonsverdier og -systemer. Informasjonssikkerhet defineres vanligvis

som evnen til å forebygge, oppdage og håndtere tre typer hendelser:

1. Brudd på konfidensialiteten, det vil si at uvedkommende får innsyn

i beskyttelsesverdig informasjon.

2. Brudd på integriteten, det vil si at informasjon og/eller systemer endres,

skades eller slettes på uautoriserte eller utilsiktede måter.

3. Brudd på tilgjengeligheten, det vil si at informasjon og/eller systemer

går tapt eller er utilgjengelige når behovet er der.

Samfunnet er i ferd med å bli gjennomdigitalisert, og i vår sektor benyttes teknologien blant

annet til å effektivisere administrative prosesser, forbedre forsknings- og analysemetoder,

muliggjøre innovative undervisningsformer, legge grunnlaget for utdanningstilbud som er

tilgjengelige i hele landet, og styrke den utadrettede kunnskapsformidlingen. Opparbeidet

avhengighet av digital teknologi gjør oss sårbare, for eksempel når høy teknisk kompleksitet

medfører at uventede og nye typer feil oppstår og feilretting tar uakseptabelt lang tid. Videre når

uoversiktlige avhengigheter mellom IKT-systemer gir uventede utfall og følgefeil, når spredning

av informasjon er utenfor kontroll, og når kriminelle miljøer tjener penger på å misbruke våre

ressurser, stjele informasjon og gjøre skade. Det synes klart at disse utfordringene kan under-

grave digitaliseringens fordeler hvis de ikke håndteres på en god måte. Sektoren må derfor

ruste seg for å møte de nye utfordringene som en digitalisert hverdag reiser gjennom sikker,

pålitelig og forutsigbar informasjonsforvaltning.

7

IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Konfidensialitet,integritetogtilgjengelighet

3 Hovedmål og delmålVårt hovedmål må være at sektoren kontinuerlig skal forbedre sikkerheten og ligge i forkant

av truslene gjennom forebygging, avdekking og håndtering av sikkerhetsproblemer. Det er

dette som muliggjør en fortsatt effektiv innføring, løpende utnyttelse og forsvarlig forvaltning

av digitale informasjonsverdier og teknologi.

Det må iverksettes tiltak på en rekke områder. Tiltakene må føre til at aktørene i UH-sektoren

• kjenner trusselbildet og sikrer informasjon i digitale løsninger og IKT-baserte

arbeids prosesser i henhold til dette

• har et godt samarbeid og en felles tilnærming til arbeidet med informasjonssikkerhet

• jobber systematisk, helhetlig og risikobasert med informasjonssikkerhet

• integrerer informasjonssikkerhet i daglige arbeidsoppgaver og i den overordnede

virksomhetsstyringen

• styrker sin evne til å forebygge, oppdage og håndtere uforutsette hendelser

og ekstra ordinære situasjoner

• sørger for at informasjonssikkerhet er en del av ethvert digitaliseringsprosjekt

fra begynnelsen og gjennom hele livssyklusen

Den overordnede målsettingen og tiltaksområdene ovenfor baserer seg på Nasjonal strategi

for informasjonssikkerhet (2012)1, Handlingsplan for informasjonssikkerhet i statsforvaltningen,

2015–20172 og Styringsdokument for arbeid med samfunnssikkerhet og beredskap i kunnskaps-

sektoren (2016)3.

1 https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-informasjonssikker/id710469/2 https://www.regjeringen.no/no/dokumenter/handlingsplan-for-informasjonssikkerhet-i-statsforvaltningen/id2440093/3 https://www.regjeringen.no/no/dokumenter/styringsdokument-for-arbeidet-med-samfunns-sikkerhet-og- beredskap-i-kunnskapssektoren/id2512037/

8

IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Hovedmål og delmål

https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-informasjonssikker/id710469/

https://www.regjeringen.no/no/dokumenter/handlingsplan-for-informasjonssikkerhet-i-statsforvaltningen/id2440093/

https://www.regjeringen.no/no/dokumenter/styringsdokument-for-arbeidet-med-samfunns-sikkerhet-og-beredskap-i-kunnskapssektoren/id2512037/

https://www.regjeringen.no/no/dokumenter/styringsdokument-for-arbeidet-med-samfunns-sikkerhet-og-beredskap-i-kunnskapssektoren/id2512037/

4 Nåsituasjon og drøftingSektoren har over lang tid hatt aktiviteter og samarbeid knyttet til teknisk sikkerhet, og etter

hvert også til informasjonssikkerhet slik vi kjenner begrepet i dag. Mye av innsatsen har

vært knyttet til drift og konfigurasjonspraksis på fellestjenester og på campus. Tjenester som

FS, utviklingen av Feide og etableringen av kunnskapssektorens CERT (UNINETT CERT4) som

større tiltak kan nevnes som eksempler. I forbindelse med sektorens prioriteringer for Giga-

Campus-programmet5 ble det avdekket behov for mer fokusert informasjonssikkerhetsarbeid.

Dette resulterte i oppstart av systematisk policy- og revisjonsarbeid.

Kunnskapsdepartementet styrket informasjonssikkerhetsarbeidet gjennom opprettelsen

av Sekretariatet for informasjonssikkerhet i UH-sektoren i 2012. Sekretariatets hovedoppgaver

er å gi råd, veiledning og praktisk assistanse til statlige universiteter og høgskoler, blant annet

når det gjelder etablering av ledelsessystemer for informasjonssikkerhet. Dette skal hjelpe

ledelsen på institusjonene med styring og kontroll av informasjonssikkerhetsarbeidet. Dette

innebærer at styrende dokumenter skal utformes, at verdiklassifisering skal gjennomføres,

at risiko- og sårbarhetsvurderinger (ROS) skal foretas for utvalgte objekter, og at tiltak og

avvikshåndtering skal prioriteres, gjennomføres og følges opp løpende. Dette inkluderer også

informasjonstiltak, opplæring og øvelser knyttet til informasjonssikkerhet. Alt dette arbeidet

skal være gjenstand for kontinuerlig forbedring.

For å få en bedre forståelse av utfordringsbildet, gjennomførte sekretariatet og Senter

for rettsinformatikk ved UiO i 2013–2014 en bredt anlagt kartlegging av 20 statlige universiteters

og høgskolers arbeid med informasjonssikkerhet.

Kartleggingen pekte på viktige utfordringer:

• mangelfull oversikt over hvilke informasjonsverdier institusjonene forvalter

• informasjonssikkerhetsarbeidet er fragmentert, ad hoc og ofte begrenset til administra-

sjonen og særlig IT-avdelingene

• størst utfordringer innenfor forsknings- og undervisningsvirksomheten

• mangelfull kunnskap om trusselbildet

• begrenset kunnskap om viktige lover og regler på området

• styringsdokumenter for informasjonssikkerhet ikke alltid tilpasset lokale forhold og

heller ikke innarbeidet i egen organisasjon

• utfordrende å få gjennomført viktige sikkerhetsoppgaver i praksis

• arbeidet med informasjonssikkerhet lavt prioritert hos ledelsen (rektor eller direktør)

• sikkerhetskompetanse konsentrert hos én eller noen få ansatte

• begrenset kunnskap og erfaring hos mange system-, prosess- eller tjenesteansvarlige

4 CERT = Computer Emergency Response Team. UNINETT CERT ble etablert i 1995 som Norges første CERT.5 GigaCampus var et program i perioden 2006–2010 der UNINETT i samarbeid med sektoren sørget for et nasjonalt løft for campusnettinfrastrukturen med tilhørende praksis og tjenester.

9

IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Nåsituasjon og drøfting

• i stor grad avhengig av ekstern assistanse for å planlegge og gjennomføre viktige

sikkerhetsoppgaver

På den annen side viste kartleggingen at noen av de store institusjonene prioriterte arbeidet

med informasjonssikkerhet høyere enn tidligere, og hadde økt satsingen på bevisstgjøring og

kompetanseheving.

Samlet betyr resultatene fra kartleggingen at sektoren står overfor viktige utfordringer

når det gjelder styring, ledelse, planlegging og gjennomføring av et systematisk og helhetlig

informasjonssikkerhetsarbeid. Å få omsatt styrende dokumenter til praktisk handling ser ut

til å være en hovedutfordring som må vektlegges betydelig mer. UNINETT CERT registrerer

også at det er kapasitets- og kompetanseutfordringer i sektoren når det gjelder håndtering av

sikkerhetshendelser. Samtidig er det ikke grunn til å tro at dette gjelder UH-sektoren spesielt,

noe Riksrevisjonen og Difi har pekt på i andre sammenhenger.

10

IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Nåsituasjon og drøfting

5 Fra nåsituasjonen til målbildetFor å nå hovedmål og delmål for informasjonssikkerhet som skissert foran, tar vi utgangspunkt

i Handlingsplan for informasjonssikkerhet i statsforvaltningen 2015–2017, der det identifiseres

fem tiltaksområder som skal prioriteres. Handlingsplanen og tiltaksområdene gjelder også for

statlige universiteter og høgskoler. Hvilke konkrete tiltak som bør gjennomføres innenfor de

ulike tiltaksområdene, diskuteres nedenfor.

5.1 Styring og kontroll

Dette tiltaksområdet omhandler bakgrunnen for og anbefalinger for etablering, innføring og

kontinuerlig forbedring av ledelsessystemer for informasjonssikkerhet i UH-sektoren.

Kartleggingen av arbeidet med informasjonssikkerhet i 2013–2014 indikerer at

universiteter og høgskoler ikke i tilstrekkelig grad har lyktes med å gjøre informasjonssikkerhet

til en integrert del av virksomhetsstyringen. Det er ledelsen ved den enkelte institusjon som

er ansvarlig for at informasjonssikkerheten er tilfredsstillende, og at sikkerhetsarbeidet er

helhetlig, systematisk og tilpasset trusselbildet. Ansvaret omfatter også informasjonsverdier i

IKT-løsninger som helt eller delvis leveres og administreres av eksterne aktører, for eksempel

leverandører av nettbaserte undervisningsressurser, lagrings- og delingstjenester eller admi-

nistrative systemer.

Ledelsens ansvar har et rettslig aspekt. Ulike lover, forskrifter og regelverk, blant

annet personopplysningsloven med forskrift, forvaltningsloven, e-forvaltningsforskriften og

økonomi regelverket i staten, krever at ledelsen formulerer tydelige forventninger til og konti-

nuerlig følger opp arbeidet med informasjonssikkerhet. Den nye personvernforordningen fra

EU som trer i kraft i 2018, innebærer betydelig strengere sanksjoner (bøter) hvis det avdekkes

at ledelsen ikke har etablert tilfredsstillende styring av og kontroll med informasjonssikkerheten.

Ledelsen skal utøve styring og kontroll gjennom løpende praktisering av et ledelsessystem

for informasjonssikkerhet. Uten et slikt ledelsessystem vil institusjonene vanskelig kunne

gjennomføre systematiske kartlegginger av informasjonsverdier, avdekke sikkerhetstrusler

og risikoområder, iverksette kostnadseffektive sikringstiltak og overholde sine rettslige plikter.

TILTAKSPUNKTER

• Sterkere prioritering:

Ledelsen prioriterer arbeidet med etablering, innføring og forankring av et ledelsessystem

for informasjonssikkerhet i egen organisasjon.

• Tilpasning og omfang:

Ledelsessystemer for informasjonssikkerhet utformes slik at de tilpasses lokale forhold og

sikkerhetsbehov.

• Rammebetingelser:

Ledelsen sørger for at de ansvarlige for det operative sikkerhets arbeidet får tilfredsstillende

11

IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Fra nåsituasjonen til målbildet

rammebetingelser, og sørger for kontinuerlig forbedring gjennom at resultater og funn

i det operative sikkerhetsarbeidet gjøres kjent for ledelsen.

• Forskning og utdanning:

Kartlegginger viser at utfordringer knyttet til informasjons sikkerhet i dag er størst

i forsknings- og utdanningsvirksomheten. Ledelsen bør derfor ha et særlig fokus på å løfte

informasjonssikkerheten på disse områdene.

• Ekstern assistanse:

Institusjonene bør i større grad benytte eksisterende veilednings tjenester i sektoren ved

etablering og innføring av ledelsessystemer for informasjons sikkerhet. Institusjonene må

tilsvarende holde seg løpende oppdatert med hensyn til relevante deler av trusselbildet,

og være i stand til å iverksette tiltak. Kontakt med fagmiljøer internt i sektoren, andre

sikkerhetsorganisasjoner og leverandører er en viktig forutsetning for å håndtere

sikkerhets truslene.

• Krav og tilsyn:

Kunnskapsdepartementet fortsetter å stille krav til og føre tilsyn med informasjons-

sikkerhetsarbeidet i sektoren.

5.2 Sikkerhet i digitale systemer og tjenester

Internetteknologien har gjort det mulig å knytte svært mange ulike tekniske innretninger til

et nettverk. Det økende mangfoldet i løsningene, den totale kompleksiteten og menneskelige

faktorer betyr at en permanent ytre sikring, for eksempel i form av en sentralt plassert felles

institusjonsbrannmur, ikke kan filtrere vekk enhver type uønsket trafikk uten at dette samtidig

vil forringe nettverket og mange av tjenestenes opprinnelige hensikt. Sentrale løsninger som

reduserer ytelse, funksjonalitet og robusthet for legitim trafikk, vil erfaringsmessig kunne

bidra til komplekse og risikable ad hoc-tiltak. Samtidig ser vi at uønsket programvare og

trafikk likevel finner veier inn i eget nettverk gjennom helt legitime kanaler, for eksempel via

weblenker, e-post, minnepinner og egne mobile sluttbrukerenheter. Alt dette betyr at vi i dag

må ta som utgangspunkt at nettverket både utenfor og innenfor institusjonen uansett er utsatt

for trusler som til enhver tid har som mål å misbruke ressurser.

Det viktigste tiltaket blir da at hver enkelt tilknyttet enhet og tjeneste må ha innebygget

robusthet mot sårbarheter og angrep. Det betyr videre at sentrale trafikkregulerende sikker-

hetstiltak bare kan ta de enkleste og mest generelle truslene, noe som kan implementeres med

vanlig nettverksutstyr og normal konfigurasjonspraksis. Målrettede angrep og trusler man

eksponeres for via legitime veier er langt mer kompliserte, og krever mer innsats for treff-

sikker håndtering dersom bivirkningene skal minimeres. Det finnes altså ingen enkel «sikkerhet

på boks» som løser sikkerhetsproblemene – god forebygging og håndtering ligger i summen av

en rekke tiltak på ulike nivåer.

12


TILTAKSPUNKTER:

• Fysisk sikring:

Skallsikring og kvalitet på tekniske installasjoner skal være i tråd med beskyttelsesbehovet.

Det vises til beste praksis-dokumenter, blant annet veiledninger og fagspesifikasjoner som

er utviklet for sektoren.

• Logisk sikring av endesystemer:

Ved enhver anskaffelse, innføring og drift må det stilles krav til at alle tjenester og ethvert

system må ivareta sin egen sikkerhet. Systemet må i prinsippet kunne tåle å stå tilknyttet

et åpent nett, og dersom det ikke gjør det, er det systemet selv som må påføres en egen

sikring. Annen felles ytre sikring utenfor systemet, såkalt ytre perimetersikring, er å anse

som en enkel og svært begrenset tilleggsbeskyttelse og ikke noe man kan basere systemets

egen sikkerhet på.

• Konfigurasjons- og driftspraksis:

Institusjonene skal til enhver tid holde seg oppdatert med hensyn til trusselbildet og følge

beste praksis for konfigurasjon og drift. Dette innebærer eksempelvis oppdatering av ope-

rativsystemer og applikasjoner snarest og senest innen 48 timer (praksisnorm) etter at in-

formasjon om sårbarheter og eventuelle tiltak er publisert. Videre forutsettes god oversikt

og løpende forvaltning av tilknyttede enheter og brukere i eget nett, samt operativ kapasitet

for gjennomføring av nødvendige tiltak. Om organisasjonen selv ikke evner å gjennomføre

dette, må man søke assistanse. Fellestiltak i sektoren kan være kostnadseffektivt for dette.

• Kontinuerlig monitorering og måling:

Institusjonene skal sørge for at IKT-løsningenes tilgjengelighet og sikkerhetsmessige tilstand

er gjenstand for løpende monitorering og logging med adekvat varsling til rette vedkom-

mende om nødvendige tiltak. Monitoreringsdata og systematiske målinger gir også viktig

trusselinformasjon som kan danne grunnlag for iverksettelse av tiltak. Daglig håndtering

av monitoreringsdata og logger skal ivareta personvernet på best mulig måte.

• Hendelseshåndtering:

Institusjonene skal ha etablert et apparat for akutt håndtering av sikkerhetsbrudd som

måtte bli avdekket, se tiltakspunktet om digital beredskap under. Innledningsvis vil det for

flere institusjoner dreie seg om en styrking av eksisterende operative kontaktpunkt innen-

for gitte formkrav som gjelder for responsteam. I tillegg kreves en strukturering av løpende

hendelseshåndtering i eget IKT-miljø, der kommunikasjon med andre aktører som kan

knyttes til hendelsene blir godt ivaretatt. Institusjonene har også et ansvar for å hindre at

egne IKT-ressurser gjennom kompromittering blir misbrukt til angrep på andre samfunns-

aktører. Deteksjonsevne og god hendelseshånd tering er dermed viktig.

• Sårbarhets- og penetrasjonstester:

Institusjonene skal sørge for at det jevnlig blir gjennomført tester for å avdekke sårbarheter

i IKT-løsningene basert på et oppdatert trussel bilde. Slike tester må foretas både fra eksterne

og interne observasjonspunkter på grunn av at ulike sikkerhetsbarrierer vil kunne maskere

sårbarheter som kan utnyttes via brohoder på innsiden. Funn skal analyseres, rapporteres og

13


følges opp med konkrete tiltak. Dette kan være kompetanse- og ressurskrevende, særlig for

mindre institusjoner, og ekstern assistanse vil kunne være nødvendig. Endring i trusselbildet

vil kunne utløse nye tester og tiltak. Viktige systemer bør være gjenstand for penetrasjons-

testing før produksjonssetting.

• Operasjons- og analysesenter:

Mengden tekniske monitorerings- og måledata som kan høstes er i stor vekst og kan gi stor

sikkerhetsmessig verdi. Disse dataene kan være spredt over lange dataserier og fordelt på

flere institusjoner. Videre er de gjerne høstet fra flere ulike observasjonssteder og systemer,

og henger sammen med funn fra sårbarhetstester. Det kan være svært krevende å sam-

menstille og analysere slike data, og vurdering av funn og anbefalinger om tiltak kan fordre

betydelig erfaring og kompetanse. Særlig med tanke på institusjoner som selv mangler

denne kapabiliteten, bør man sterkt vurdere å opprette en nasjonal enhet i sektoren som

kan bistå. Videre må man løpende oversette tolkning av funn til konkrete og strukturerte

tiltak som institusjonen får et ansvar for å følge opp.

• Kontinuerlig forbedring:

Arbeid med teknisk sikkerhet skal være forankret i ledelses systemet og bidra til kontinuerlig

forbedring av informasjonssikkerheten.

5.3 Digital beredskap

Digital beredskap handler om å håndtere og avverge alvorlige sikkerhetshendelser som kan

ramme IKT-løsninger. Digital eksamen, studentopptak og tilhørende basistjenester er blitt

kritiske i den forstand at utfall kan ramme en rekke studenter og ansatte samtidig, og i vesentlig

grad forstyrre virksomhetens løpende produksjon. I en nasjonal kontekst kan det også nevnes

at kommunikasjonen og samhandlingen mellom Meteorologisk institutt og tungregneanleggene

er definert som kritisk.

Institusjonene må forholde seg til at man før eller siden kan bli kompromittert, og at

dette allerede kan ha skjedd uten at man vet det. Rutiner og kompetanse vil være kritisk for

å etablere normaltilstand igjen. Effektiv hendelseshåndtering vil styrke tilliten til systemene,

og motsatt vil manglende oppfølging kunne undergrave den forbedringsgevinst systemene

er ment å skape. I et trusselbilde i stadig endring må man være forberedt på å håndtere det

uventede.

TILTAKSPUNKTER

• Sektor-CERT:

Videreføre og forsterke et sentralt sikkerhetsteam i sektoren. Det sentrale sikkerhetsteamet

må samhandle tett med driftsmiljøene, siden effektiv hendelseshåndtering ofte forutsetter

verifiserte måledata fra denne infrastrukturen og muligheten for å gripe raskt inn i aktuelle

infrastrukturkomponenter. I tillegg må institusjonene styrke egne responsmiljøer ut over

dagens nivå, se punkt 5.2 foran. Sektoren skal samlet sett ha god samhandling med andre

14


norske og internasjonale responsmiljøer for å sikre beredskap og informasjonsutveksling

på tvers av sektorer og landegrenser. NSM NorCERT er en viktig aktør i denne sammen-

hengen, særlig for å koordinere situasjoner som rammer tverrsektorielt. Institusjoner av

en viss størrelse oppfordres til å etablere egne sertifiserte responsmiljøer, men som et mini-

mum skal samtlige institusjoner ha et tydelig og operativt kontaktpunkt som kan benyttes

i forbindelse med hendelser eller endringer i trusselbildet. Det er i den forbindelse svært

nyttig å ha løsninger og avtaler for utveksling av sensitiv og kryptert informasjon. Det må

vurderes om det skal opprettes en sektortjeneste som kan drives 24/7/365.

• Samarbeid:

Et tett og styrket samarbeid innad i sektoren vil forbedre arbeidet med sikkerhet. Trusselbildet

har blitt så omfattende og angrepene så avanserte at få miljøer alene vil være i stand til

å forholde seg til all sikkerhetsrelatert informasjon som daglig blir gjort kjent. Samarbeid,

høy kompetanse og god organisering hjelper oss til å prioritere det viktigste først. Det må

finnes en felles kommunikasjonsplattform hvor relevant informasjon enkelt og trygt kan

utveksles på tvers av ulike grupperinger, som kjenner hverandre fra før og som stoler på

hverandre. En nasjonal enhet som kan koordinere sektorens hendelseshåndtering vil da

lettere kunne videreformidle relevant, kritisk informasjon og bistå rette vedkommende.

Kunnskaps- og erfaringsdeling på tvers av institusjonene må fortsette, og det er viktig

å knytte dette til internasjonalt arbeid på området.

• Gjenopprettingsøvelser og robusthetstester:

Sikkerhetskopiering har i mange år vært et førstenivåtiltak mot tap av informasjon.

Prinsipielt kan man ikke bekrefte om en sikkerhetskopi fungerer før man har gjennom-

ført en vellykket gjenoppretting. Tilsvarende gjelder kjente robusthetsfunksjoner, som

for eksempel nettredundans, diskspeiling, replikering og automatisk flytting av virtuelle

maskininstanser. Man må jevnlig teste om disse funksjonene faktisk virker. Ved testing må

man sørge for å holde risiko for utilsiktede effekter så lav som mulig. Det må være tydelig

for alt involvert personell at en sikkerhetskopi, et defekt diskspeil og replikerte data på

avveie kan utgjøre en stor trussel mot konfidensialitet. Sikre rutiner som forhindrer dette

skal finnes.

• Kontinuitetsplaner:

Det bør etableres og vedlikeholdes kontinuitetsplaner for sentrale og kritiske tjenester.

Dette gjelder også institusjonenes egne systemer. Planene må inkludere reetablering av

infrastruktur og tjenester innen akseptabel tid etter alvorlige hendelser, som brann, over-

svømmelse, overspenning, destruktiv programvare, kabelbrudd, defekt maskinvare eller

tilsvarende. Tilsvarende krav må stilles til leverandører.

• Beredskap og øvelser:

Det skal øves på håndtering av hendelser som kan ramme hele eller deler av sektoren. Det

skal finnes varslingslister og kontaktpunkter for alle institusjoner i UH sektoren som under-

lag for krisehåndteringsarbeidet. Det bør være en nasjonal enhet som kan ta et hovedansvar

for koordinering og gjennomføring av nasjonale øvelser.

15


5.4 Nasjonale felleskomponenter

Nasjonale felleskomponenter er infrastruktur og tjenester som en betydelig del av sektoren er

avhengig av. Det kan også være tjenester som andre tjenester er avhengige av. For nasjonale

felleskomponenter er tiltakene i tiltaksområde 5.1–5.3 foran spesielt viktige, da konsekvensene

av sikkerhetsbrudd her vil kunne være langt mer omfattende enn for lokale systemer. Generelt

skal nasjonale felleskomponenter gis høy prioritet for alle sikkerhetstiltak.

Lysne-utvalget6 peker spesielt på risiko knyttet til komplekse og uoversiktlige verdikjeder

i mange av dagens digitale løsninger, blant annet som et resultat av markedsutsetting av

tjenester, og at dette bidrar til å gjøre mange systemer og tjenester mer sårbare. Leverandører

og virksomheten selv må derfor ha en forståelse av verdikjedene, og kunne håndtere den risikoen

som finnes ved at ansvaret for totaliteten i praksis er delt mellom ulike organisasjoner. For

forskningsnettet er føringsveier, tekniske installasjoner og trafikkstyring valgt på basis av

inngående kunnskap om hvordan nettet er realisert fysisk, noe som har bidratt til en robust

infrastruktur over lang tid. Etablering og drift av kritiske nasjonale felleskomponenter, også

i en skysammenheng, må følge samme fremgangsmåte slik at avhengigheter, kompleksitet

og risiko er forstått og redusert til et akseptabelt nivå.

TILTAKSPUNKTER

• Robusthet og fleksibilitet i forskningsnettet:

Forskningsnettet er konstruert robust basert på verifisert redundans og diversitet på sam-

band og utstyr, men også gjennom at kompleksitet og avhengighet av eksterne ressurser er

redusert til et minimum. Forskningsnettet er også av robusthetsårsaker konstruert med en

enkel nettarkitektur som er egnet for å betjene de fleste konstellasjoner av studie steder og

aktører i sektoren. Det er derfor viktig at institusjonene er svært forsiktige med å etablere

nye virtualiserte nettstrukturer på toppen av forskningsnettet, da dette kan øke total

kompleksitet med et uoversiktlig trafikkbilde, avhengigheter og sårbare konsentrasjons-

punkter som resultat. Dette vil i så fall kunne redusere verdien av opparbeidet robusthet og

fleksibilitet. I tillegg vil en slik utvikling komplisere gjennomføringen av nye organisasjons-

endringer og tekniske samarbeidskonstellasjoner i fremtiden. Et komplekst og uoversiktlig

bilde vil tilsvarende redusere manøvrerings- og håndteringsevne ved sikkerhetshendelser,

og øke tiden det tar å lukke et avvik. De samme prinsippene som er benyttet i utviklingen

av forskningsnettet, må derfor også anvendes i etableringen av kritiske felleskomponenter

som bygges på toppen av forskningsnettet eller som baserer seg på dette.

• Høytilgjengelighet for kritiske tjenester:

Kritiske tjenester bør i fremtiden kunne kjøres høytilgjengelig gjennom etablering av

parallelt kjørende instanser av tjenesten spredt på flere geografiske lokasjoner. Ytterligere

robusthet kan oppnås ved å etablere diversitet på løsningen, for eksempel ved at man

6 NOU: 2015:13, https://www.regjeringen.no/no/dokumenter/nou-2015-13/id2464370/

16


https://www.regjeringen.no/no/dokumenter/nou-2015-13/id2464370/

sprer risiko for innebygde feil og sikkerhetsproblemer ved å spre lasten på maskin- eller

programvare fra ulike produsenter. Høytilgjengelighet kan i enkelte tilfeller øke kom-

pleksiteten, men konstruert riktig, vil dette kunne øke robustheten dramatisk. Det er ikke

bare økt oppetid som er gevinsten, men også muligheten for hyppigere sikkerhetsmessig

vedlikehold av tjenestens enkeltinstanser uten at tjenesten som helhet blir utilgjengelig

mens vedlikehold pågår. Noen tjenester bør som følge av robusthetskrav være tett koblet

til forskningsnettet. Andre tjenester som er mindre kritiske og som ikke har lovpålagte

krav om plassering, kan plasseres mer vilkårlig. Ved spredning av risiko fordres det at man

skaffer seg innsikt i grunnleggende infrastruktur slik at risikospredningen er verifiserbar

og reell. Dette fordi ulike tjenesteleverandører ofte benytter de samme underleverandører

og samme nettinfrastruktur. Ved utvikling eller anskaffelser av tjenester må man i en tidlig

fase peke på behovet for høytilgjengelighet og nødvendig teknisk funksjonalitet for dette.

Betydelig økt robusthet kan altså oppnås ved å utnytte de geografisk spredte tekniske installa-

sjonene som allerede finnes i sektoren, og disse kan også suppleres med å plassere instanser

hos eksterne skyleverandører. Alternativet til risikospredning er langt mer krevende til-

gjengelighetskrav til enkeltinstallasjoner, som i mange tilfeller kan være vanskelig å innfri.

På kort sikt skal beste praksis på utførelse av datarom, nett-, strøm- og kjøleredundans,

diskspeiling osv. være gjennomført der kritisk infrastruktur finnes. Såkalt off-site-backup

og jevnlig testede reserveløsninger, der man for eksempel utnytter sektorens eksisterende

infrastruktur eller skymarkedet, vil kunne gi en tidlig gevinst på veien mot høytilgjenge-

lighet. Når det gjelder skytjenester, er det viktig å ta hensyn til risikoen knyttet til sterk

geografisk konsentrasjon av store datamengder hvis man ikke stiller tydelige krav om

diversitet i avtalene for skytjenestene. I avtalene må det stilles krav om at robusthetstiltak

til enhver tid kan verifiseres, og at robustheten må sees i en helhetlig sammenheng.

• Teknologi for autentisering, kryptering og sertifikater:

Dette er teknologi som må søkes integrert i alle løsninger for å hindre misbruk, og for å ha

kontroll med hvem brukerne er. Dette er også muliggjørende teknologi med tanke på at

sensitive opplysninger kan lagres på lokasjoner der sektoren selv ikke har kontroll over

den fysiske infrastrukturen. Slik teknologi må også være gjenstand for oppdatering, da flere

eksempler viser at kryptering har vært brutt eller programvaren har hatt svakheter. God

passordkultur er fundamentalt. God beredskap for situasjoner der potensielt store mengder

nøkler og passord har havnet på avveie, må være på plass.

5.5 Kunnskap,kompetanseogkultur

Både Politiets sikkerhetstjeneste (PST), Nasjonal sikkerhetsmyndighet (NSM) og internasjonale

sikkerhetsorganisasjoner er enige om at målrettede angrep i økende grad retter seg mot eller

utnytter sluttbrukere. Dersom man klarer å få en ansatt eller student til å trykke på en lenke, et

bilde eller et annet e-postvedlegg som installerer ondsinnet kode på brukerens maskin, er det

etablert et brohode på innsiden av alle tradisjonelle sikkerhetsbarrierer. Slik ondsinnet kode

17


kan også omfatte såkalte tastetrykksloggere, som logger tasting av passord og sender disse

tilbake til angriper. Brukerens personlige tilgang til åpne tjenester i skyen blir da å regne som

kompromittert, uten at brukeren selv eller systemadministrator trenger å være klar over det.

Det er også sterk vekst knyttet til såkalt løsepengevirus, der brukerens data har blitt kryptert

av angriper som følge av ondsinnet kode, og der det må betales en større pengesum for å få

dataene lesbare igjen.

Hvis alle brukere til enhver tid utviser varsomhet og er godt kjent med hvordan ulike

typer skadevare smitter gjennom for eksempel e-post og ulike websider, vil dette sammen med

tekniske tiltak bidra til at angripere i mindre grad lykkes. Det er også avgjørende at brukerne

håndterer informasjon i samsvar med tydeliggjorte og spesifikke sikkerhetskrav, både de

generelle og de som gjelder spesifikt for systemer med sensitiv og intern informasjon. God

brukeropplæring er en av de viktigste virkemidlene fremover. Informasjonsmengden som

brukerne må håndtere er tidvis omfattende, og gjentatte holdningsskapende og bevisstgjørende

aktiviteter må gjennomføres for å skape en nødvendig varsomhetskultur.

TILTAKSPUNKTER

• Kompetanse:

Samtlige av sektorens ledere, ansatte og studenter må få tilbud om opplæring i informa-

sjonssikkerhet. Det bør utarbeides og vedlikeholdes veiledningsmateriell, gjerne i form

av en fellesløsning, som gir brukerne kunnskap om hvordan de skal håndtere ulike typer

informasjon. Innholdet må være konsistent, oppdatert, relevant og presentert på en visuelt

god måte. Studenter og ansatte må oppleve det som nyttig og relevant for at det skal bli

brukt. Hvis ledelsessystemene som etableres i virksomhetene skal fungere, må den enkelte

vite hva hun eller han skal gjøre for å forebygge og hva de skal gjøre hvis noe skjer. Jevnlige

kampanjer basert på det aktuelle trusselbildet kan være et effektivt virkemiddel for å nå

frem. Styrking av sektorens kompetansemiljøer innenfor sikkerhetskultur og holdnings-

skapende arbeid vil være viktig for å lykkes. På teknisk nivå må man tilsvarende opprett-

holde og styrke de gode tradisjonene rundt samlingsbasert erfaringsutveksling og utvikling

av kompetanse og løsninger.

• Utdanne lokale instruktører:

For å sikre at den enkelte ansatte og student får opplæring i informasjonssikkerhet, bør det

utdannes ressurspersoner med et lokalt ansvar for gjennomføring av et strukturert opplæ-

ringsprogram på sin institusjon. Ved å tilby særskilt opplæring for disse ressurspersonene,

kan man bedre sikre at det finnes kompetanse lokalt i den enkelte institusjon som er opp-

datert med hensyn til trusselbildet og hvilke virkemidler som til enhver tid er aktuelle. Dette

representerer en omfattende nasjonal dugnad der sentralt utviklet opplæringsmateriell,

tilgang til høy kompetanse, samlingsbasert opplæring og god ledelsesforankring vil være

viktige ingredienser for en vellykket gjennomføring. Gevinsten er imidlertid stor.

• Innebygget informasjonssikkerhet:

Alle anskaffelses- og innføringsprosesser i sektoren bør gjennomgå risiko- og sårbarhets-

18


vurderinger slik at man tidlig kan stille riktige krav til sikkerheten. At leverandører over

tid har fokus på og tilstrekkelige ressurser til sikkerhets messig vedlikehold av løsningen,

er viktig å avklare. Etablerte, sentrale fagmiljøer på sikker hetsområdet bør delta tidlig i

anskaffelsesprosessene slik at informasjonssikkerhet blir en naturlig del av anskaffelsen

og implementasjonen i virksomheten. Kjente sikkerhetskrav bør gjøres tilgjengelig, gjerne

harmonisert med hva for eksempel Difi tilbyr på området.

19


6 Strategiske tiltak og rollefordeling i sektoren

Informasjonssikkerhet er i økende grad en forutsetning for videre digitalisering og gevinst-

realisering i sektoren. Sammen med et mer utfordrende trusselbilde og større kompleksitet,

kreves det en styrking og videreutvikling av det arbeidet som allerede pågår. Ressurser og

kompetansemiljøer i sektoren må samhandle mer og arbeide målrettet for å møte et stadig

mer krevende utfordringsbilde.

6.1 Institusjonenes ansvar

Institusjonene har det rettslige ansvaret for at IKT og informasjonssikkerheten i undervisning,

forskning, administrasjon og formidling er tilfredsstillende. Ansvaret kan juridisk sett ikke

delegeres til andre, og nye nasjonale og internasjonale regelverk, for eksempel EUs person-

vernforordning, forsterker institusjonenes selvstendige ansvar. Ansvaret omfatter egen

infrastruktur og egne systemer og tjenester, også når disse er satt ut til eksterne aktører.

Ansvaret innebærer at institusjonene skal utføre en rekke spesialiserte oppgaver innen-

for rammen av et ledelsessystem for informasjonssikkerhet, blant annet risikovurderinger og

avvikshåndtering, hensiktsmessige robusthetstiltak, hendelsesrespons og bevisstgjøringstiltak.

Ledelsessystem og tiltak på informasjonssikkerhetsområdet kan tjene på koordinering med

tilsvarende systemer og tiltak på andre sikkerhetsområder, for eksempel innenfor HMS.

Kartlegginger i sektoren viser at mange institusjoner mangler nødvendig kapasitet og

kompetanse til å ivareta disse oppgavene på en systematisk og planlagt måte, jf. punkt 4 foran.

I tillegg vil trolig økt bruk av eksterne databehandlingstjenester, spesielt skytjenester, forsterke

behovet for praktisk bistand på informasjonssikkerhetsområdet i årene som kommer.

6.2 Kunnskapsdepartementets ansvar

Av Nasjonal strategi for informasjonssikkerhet (2012) og Handlingsplan for informasjonssikkerhet

i statsforvaltningen (2015-2017) fremgår det at Kunnskapsdepartementet har det politiske

hovedansvaret for sikkerheten i UH-sektorens IKT-infrastruktur, og for at det forebyggende

informasjonssikkerhetsarbeidet i sektoren er tilfredsstillende. Dette innebærer at departe-

mentet har et ansvar for å sikre institusjonene tilgang til nødvendig kapasitet og kompetanse

som gjør dem i stand til å iverksette reaktive og forebyggende IKT- og informasjonssikkerhets-

tiltak på en systematisk og planlagt måte.

Ansvaret innebærer videre at Kunnskapsdepartementet skal identifisere og sikre

kritisk infrastruktur i sektoren, vurdere, beslutte og iverksette forebyggende informasjons-

sikkerhetstiltak, forberede beredskapstiltak, planlegge for og iverksette krisehåndteringstiltak,

20

IKT-strategi for norsk universitets- og høgskolesektor / Informasjonssikkerhet / Strategiske tiltak og rollefordeling i sektoren

og følge opp og føre tilsyn med arbeidet med IKT og informasjonssikkerhet i underliggende

virksomheter.

Kunnskapsdepartementet deltar også i tverrsektorielle initiativ for en styrket og mer

helhetlig tilnærming til IKT og informasjonssikkerhet i statsforvaltningen. Dette arbeidet

koordineres av Justis- og beredskapsdepartementet.

I praksis vil mange av de operative sikkerhetsoppgavene som Kunnskapsdepartementet

er politisk ansvarlig for bli utført av underliggende etater eller virksomheter.

6.3 Nasjonal enhet for informasjonssikkerhet i UH-sektoren

Med bakgrunn i den skisserte ansvarsfordelingen mellom institusjonene og Kunnskaps-

departementet, foreslås det at eksisterende satsinger styrkes gjennom at arbeidet i større

grad organiseres gjennom en nasjonal enhet for IKT og informasjonssikkerhet i UH-sektoren.

Det foreslås at enheten skal ivareta tre hovedoppgaver:

1. Bistå institusjonene med å ivareta deres rettslige og operative ansvar for informasjons-

sikkerheten i undervisning, forskning, administrasjon og formidling.

2. Bistå Kunnskapsdepartementet med å utøve det overordnede ansvaret for sikkerheten

i UH-sektorens IKT-infrastruktur og -tjenester, og for at den forebyggende informasjons-

sikkerheten i sektoren er tilfredsstillende.

3. Bistå Kunnskapsdepartementet i arbeidet med tverrsektorielle tiltak for en styrket og mer

helhetlig tilnærming til IKT og informasjonssikkerhet i statsforvaltningen.

Bakgrunnen for forslaget er utfordringsbildet som UH-sektoren står overfor i praksis, og som

er beskrevet i kapitlene 4 og 5 foran. Hensiktsmessig håndtering av disse utfordringene indikerer

at UH-sektoren er avhengig av et sterkt sentralt, nasjonalt miljø som har særlig kompetanse og

kapasitet på oppgaver som gjelder IKT og informasjonssikkerheten. Det er naturlig at et slikt

miljø tar utgangspunkt i det som allerede er etablert: Sekretariatet for informasjonssikkerhet i

UH-sektoren og kunnskapssektorens egen sektor-CERT (UNINETT CERT). I tillegg vil det være

viktig å involvere øvrige fagressurser i sektoren. Miljøet bør organiseres som en operativ, nasjonal

enhet, og gis et tydelig mandat basert på de formål og hovedoppgaver som er skissert foran.

6.4 Den nasjonale enhetens oppgaver

Den nasjonale enheten må bidra til å samle og koordinere ressursinnsatsen på informasjons-

sikkerhetsområdet på en mer forpliktende og målrettet måte enn sektoren gjør i dag. Enheten

må tilby institusjonene sikkerhetstjenester på operativt nivå, blant annet sensor- og loggbasert

deteksjon og analyse av trusselinformasjon i lokal og nasjonal infrastruktur. Det er viktig i

denne sammenheng at enheten bistår og veileder institusjonene i å løse tekniske, organisa-

toriske og juridiske utfordringer som det lokale arbeidet med informasjonssikkerhet reiser. Dette

bør blant annet skje gjennom praktisk veiledning, utarbeidelse av beste praksisdokumenter,

21


bistand til etablering av kontinuitets- og beredskapsplaner, risikovurderinger, internrevisjoner

og faglige samlinger. Slik bistand må være tett knyttet til forvaltningen av infrastruktur,

arkitek tur, teknologi og tjenester som UH-sektoren til enhver tid benytter. Potensialet for

gjenbruk og fellestiltak er allerede til stede som følge av at man på teknisk

nivå og tjenestenivå har gode resultater knyttet til samarbeid og harmonisering.

Enheten bør videre bidra med ressurser og kompetanse når det gjelder nasjonale

fellestiltak og anskaffelsesprosesser slik at krav og forventninger til informasjonssikkerheten

ivaretas på en systematisk måte. Dette gjelder også i forbindelse med anskaffelse og bruk av

sky tjenester. Dette vil gjøre det lettere og mindre kostnadskrevende for institusjonene å ivareta

sine rettslige forpliktelser, samt bidra til bedre kvalitet på leveranser og implementasjon.

Enheten bør samtidig stimulere til økt fokus og innsats på IKT- og informasjonssikkerhets-

området gjennom opplærings- og bevisstgjøringstiltak rettet mot ledere, ansatte og studenter i

sektoren. Videre bør enheten formidle oppdatert informasjon til institusjonene om trusselbildet,

utarbeide forslag til hensiktsmessige sikringstiltak basert på gjeldende trusselbilde og institu-

sjonsvise sikkerhetsanalyser. Ved at UH-sektorens egen sektor-CERT inngår i enheten, vil

enheten være operativ og ivareta gode koordineringskanaler ved sikkerhetshendelser.

Enheten må i sitt arbeid involvere etablerte IKT- og informasjonssikkerhetsmiljøer

i sektoren med særlig kompetanse på sine områder, for eksempel NTNU i Gjøvik, Simula,

SINTEF, UiO USIT, Senter for rettsinformatikk, HiOA med flere. Enheten må være et nav for økt

samarbeid mellom disse kompetansemiljøene, for eksempel gjennom etablering av operative,

virtuelle team med klare mål og enhetlig styring. Dette skal samlet sett gi sektoren økte

gevinster og bedre fellestjenester på IKT- og informasjonssikkerhetsområdet. Det bør være en

prioritert oppgave for enheten å etablere nasjonale og regionale kunnskapsnettverk i samarbeid

med de nevnte aktørene og øvrige deler av sektoren. Formålet med kunnskapsnettverkene må

være å bygge opp kompetanse og operativ evne for teknologiske, organisatoriske og juridiske

utfordringer knyttet til IKT og informasjonssikkerhet, samt utveksle praktiske erfaringer om

hvordan utfordringene kan håndteres i det daglige.

Enheten bør videre delta aktivt i og være en pådriver for økt samarbeid og erfarings-

deling mellom relevante internasjonale miljøer og aktører i kunnskapssektoren. Dette vil

innebære deltakelse i samarbeidsfora innenfor rammen av NORDUnet, GÉANT og operative

sikkerhetsfora som TF-CSIRT og FIRST. Den internasjonale utviklingen på sikkerhetsområdet

peker tydelig i retning av økt innsats for samarbeid, kunnskapsutveksling og teknologibruk.

I sum vil denne styrkingen, kombinert med tett samvirke med sektorens sentrale infrastruk-

turmiljøer, kunne bidra til at kunnskapssektoren vil være langt fremme og godt rustet på

informa sjonssikkerhetsområdet.

Den nasjonale enheten skal bidra til at sektoren løser oppgaver knyttet til nasjonal

beredskap, krisehåndtering og øvelser på en tilfredsstillende måte. Tillitsbasert og løpende

samarbeid med NSM NorCERT, øvrige CERT-enheter for sektorer, bransjer og leverandører

i Norge og internasjonalt vil være avgjørende.

22


6.5 Kunnskapsdepartementets rolle

Kunnskapsdepartementet bidrar til arbeidet på informasjonssikkerhetsområdet ved å stille

tydelige krav til informasjonssikkerhet i tildelingsbrev og i styringsdialogen med institusjonene.

Tilsvarende at departementet fører tilsyn med hvordan arbeidet med informasjonssikkerhet

planlegges, ledes og utføres. At departementet fortsatt deltar aktivt i nasjonale og tverrsektorielle

tiltak for informasjonssikkerhet, vil gi økt nytteverdi for kunnskapssektoren fremover.

23


Utgiver:

UNINETT AS på oppdrag fra Kunnskapsdepartementet

Januar 2017

ISBN 978-82-91638-16-4

informasjons- sikkerhet - uninett...informasjons- sikkerhet ikt-strategi for norsk universitets- og...

Documents