Offentlig versjon av Dokument 3:11 (2023−2024) / Offentliggjort 17.01.2024 Informasjonssikkerhet i forskning innenfor kunnskapssektoren

Vi har gjennomført inntrengingstester mot tre forskningsinstitusjoner under Kunnskapsdepartementet. Testene ga full kontroll over IT-infrastruktur ved to av dem og kontroll over forskeres IT-utstyr og skylagring ved den tredje.

(PDF, 2,02 MB) Last ned fullversjon
(PDF, 2,02 MB) Les riksrevisors presentasjon
(Video fra 17.01.2024) Se riksrevisors presentasjon

Kort bakgrunn

Inntrengingstestene er del av vår undersøkelse av informasjonssikkerheten hos 10 av i alt 24 universiteter, høyskoler og andre forskningsinstitusjoner under Kunnskapsdepartementet.
Sikkerhetssituasjonen innenfor høyere utdannings- og forskningssektoren har blitt mer utfordrende de siste årene.
Informasjon og kunnskap generert av forskning kan være av stor interesse både for etterretningsorganisasjoner og kommersielle virksomheter.
Vi offentliggjør en ugradert versjon av rapporten. Den fullstendige rapporten inneholder noe informasjon som er unntatt offentlighet og enkelte opplysninger som er gradert begrenset etter sikkerhetsloven.

Overordnet vurdering

Ikke tilfredsstillende
Kritikkverdig
Sterkt kritikkverdig

Det er kritikkverdig at forskningsdata i virksomheter under Kunnskapsdepartementet ikke er tilstrekkelig sikret mot dataangrep, gitt kravene i lovverket og de mulige konsekvensene av at sensitive data kommer på avveier.
Virksomhetene har ikke god nok oversikt over forskningsdata som trenger beskyttelse. Dette er ikke tilfredsstillende.
Tross forbedringer i undersøkelsesperioden, arbeider mange virksomheter i for liten grad systematisk med informasjonssikkerhet, og styrene i virksomhetene fyller ikke i stor nok grad rollen de skal ha. Dette er ikke tilfredsstillende.
Kunnskapsdepartementet har gjennomført flere tiltak i perioden 2019–2022 som blant annet har ført til økt oppmerksomhet om informasjonssikkerhet i virksomhetene. Samtidig er det ikke tilfredsstillende at virkemidlene i for liten grad treffer virksomhetene som har størst behov for støtte.

Pressemelding: Sensitive forskningsdata kan komme på avveie

Konklusjoner

Forskningsdata i forskningsvirksomhetene under Kunnskapsdepartementet er ikke i tilstrekkelig grad sikret mot dataangrep

Inntrengingstester mot tre forskningsinstitusjoner ga full kontroll over IT-infrastruktur ved to av dem og kontroll over forskeres IT-utstyr og skylagring ved det tredje.
Det er stor variasjon i gjennomføringen av tekniske sikkerhetstiltak, og mange av virksomhetene har vesentlige svakheter.
Det er svakheter i organisatoriske sikkerhetstiltak som er etablert for å beskytte forskningsdata.

De tre forskningsinstitusjonene som ble testet har alle planlagt og til dels gjennomført en rekke tiltak som øker deres sikkerhet i etterkant av våre undersøkelser. De konkrete svakhetene som ble utnyttet i inntrengingstestene er utbedret.

Virksomhetene har i stor grad lagt rammene for informasjonssikkerhetsarbeidet, men oppnår ikke ønsket sikkerhetsnivå på grunn av mangler i gjennomføringen

Informasjonssikkerhet har fått mer oppmerksomhet de senere årene, og virksomhetene har utarbeidet ledelsessystemer på området.
Samtidig gjenstår det betydelig arbeid for å implementere systemene fullt ut slik at de oppnår ønsket sikkerhetsnivå
Det er stor variasjon i systematikken i virksomhetenes arbeid med informasjonssikkerhet. Undersøkelsen viser at de har utfordringer og mangler bl.a. knyttet til:
- Planer for å nå informasjonssikkerhetsmålene og gjennomføre besluttede tiltak
- Avklaringer om roller og ansvar for informasjonssikkerhetsarbeidet
- Konkretisering av krav til sikkerhet
- Systematiske risikovurderinger av IT-infrastruktur
- Evalueringer og etterkontroller av sikkerhetstilstanden
- Kompetanse og ressurser
Ved mange av virksomhetene mangler ledelsen og styret et godt informasjonsgrunnlag

Kunnskapsdepartementet har justert virkemiddelbruken de siste årene, men det er en del utfordringer i sektoren som dagens virkemidler ikke treffer

Styringsmodellen for informasjonssikkerhet har gjort at den enkelte forskningsvirksomhet har fått tettere oppfølging.
Kunnskapsdepartementet har i begrenset grad lyktes med å nå målet med informasjonssikkerhetssatsingen, og virkemidlene treffer i for liten grad virksomhetene som har størst behov for støtte.

Kunnskapsdepartementet får lite informasjon om den reelle sikkerhetstilstanden i sektoren, og risikoreduserende tiltak som er besluttet på sektornivå, blir ikke fulgt opp

Direktoratet for høyere utdanning og kompetanse (HK-dir) lager årlige risiko- og tilstandsvurderinger til departementet, men disse bygger i hovedsak på forskningsinstitusjonenes egenrapportering.
Det er ikke gjennomført sikkerhetstesting eller kontroller av faktisk sikkerhetstilstand i sektoren. NOKUT har fått ansvar for å gjennomføre uavhengig kontroll med informasjonssikkerheten, men gjør ingen kontroller per i dag.
Departementet får presentert årlige risikohåndteringsplaner på sektornivå, men tiltak som framgår av planene blir ikke gjennomført.

Våre anbefalinger

Vi anbefaler at Kunnskapsdepartementet

avklarer samarbeidet mellom departementet, Direktoratet for høyere utdanning og kompetanse og Sikt om informasjonssikkerhet, og avklarer hva NOKUTs rolle skal være.
gjennomgår virkemiddelbruken og vurderer tiltak som i større grad treffer forskningsvirksomhetene som har størst behov for støtte.
sikrer et godt informasjonsgrunnlag om sikkerhetstilstanden og verdiene i sektoren, og følger opp at risikoreduserende tiltak på sektornivå blir gjennomført.

Vi anbefaler også at departementet påser at forskningsvirksomhetene

sørger for at ledelsessystem for informasjonssikkerhet blir implementert fullt ut slik at styret og toppledelse har oversikt over sikkerhetstilstanden, kan sikre at besluttede tiltak gjennomføres og at tiltakene faktisk forbedrer sikkerheten slik som forutsatt.
sørger for bedre oversikt over forskningsdata som skal beskyttes
iverksetter tekniske og organisatoriske sikkerhetstiltak som de anser nødvendige, for å redusere risikoen for at dataangrep lykkes.