Hopp til hovedinnhold

Offentlig versjon av Dokument 3:11 (2023−2024) / Offentliggjort Informasjonssikkerhet i forskning innenfor kunnskapssektoren

Vi har gjennomført inntrengingstester mot tre forskningsinstitusjoner under Kunnskapsdepartementet. Testene ga full kontroll over IT-infrastruktur ved to av dem og kontroll over forskeres IT-utstyr og skylagring ved den tredje.

Kort bakgrunn

  • Inntrengingstestene er del av vår undersøkelse av informasjonssikkerheten hos 10 av i alt 24 universiteter, høyskoler og andre forskningsinstitusjoner under Kunnskapsdepartementet.

  • Sikkerhetssituasjonen innenfor høyere utdannings- og forskningssektoren har blitt mer utfordrende de siste årene.

  • Informasjon og kunnskap generert av forskning kan være av stor interesse både for etterretningsorganisasjoner og kommersielle virksomheter.

  • Vi offentliggjør en ugradert versjon av rapporten. Den fullstendige rapporten inneholder noe informasjon som er unntatt offentlighet og enkelte opplysninger som er gradert begrenset etter sikkerhetsloven.

Overordnet vurdering

  • Ikke tilfredsstillende
  • Kritikkverdig
  • Sterkt kritikkverdig

  • Det er kritikkverdig at forskningsdata i virksomheter under Kunnskapsdepartementet ikke er tilstrekkelig sikret mot dataangrep, gitt kravene i lovverket og de mulige konsekvensene av at sensitive data kommer på avveier.
  • Virksomhetene har ikke god nok oversikt over forskningsdata som trenger beskyttelse. Dette er ikke tilfredsstillende.
  • Tross forbedringer i undersøkelsesperioden, arbeider mange virksomheter i for liten grad systematisk med informasjonssikkerhet, og styrene i virksomhetene fyller ikke i stor nok grad rollen de skal ha. Dette er ikke tilfredsstillende.
  • Kunnskapsdepartementet har gjennomført flere tiltak i perioden 2019–2022 som blant annet har ført til økt oppmerksomhet om informasjonssikkerhet i virksomhetene. Samtidig er det ikke tilfredsstillende at virkemidlene i for liten grad treffer virksomhetene som har størst behov for støtte.

Konklusjoner

Våre anbefalinger

Vi anbefaler at Kunnskapsdepartementet

  • avklarer samarbeidet mellom departementet, Direktoratet for høyere utdanning og kompetanse og Sikt om informasjonssikkerhet, og avklarer hva NOKUTs rolle skal være.
  • gjennomgår virkemiddelbruken og vurderer tiltak som i større grad treffer forskningsvirksomhetene som har størst behov for støtte.
  • sikrer et godt informasjonsgrunnlag om sikkerhetstilstanden og verdiene i sektoren, og følger opp at risikoreduserende tiltak på sektornivå blir gjennomført.

Vi anbefaler også at departementet påser at forskningsvirksomhetene

  • sørger for at ledelsessystem for informasjonssikkerhet blir implementert fullt ut slik at styret og toppledelse har oversikt over sikkerhetstilstanden, kan sikre at besluttede tiltak gjennomføres og at tiltakene faktisk forbedrer sikkerheten slik som forutsatt.
  • sørger for bedre oversikt over forskningsdata som skal beskyttes
  • iverksetter tekniske og organisatoriske sikkerhetstiltak som de anser nødvendige, for å redusere risikoen for at dataangrep lykkes.

Disse ti forskningsinstitusjonene er omfattet av undersøkelsen:

  • Nord universitet
  • Norges idrettshøgskole (NIH)
  • Norges teknisk-naturvitenskapelige universitet (NTNU)
  • Norsk utenrikspolitisk institutt (NUPI)
  • Universitetet i Bergen (UiB)
  • Universitetet i Oslo (UiO)
  • Universitetet i Stavanger (UiS)
  • Universitetet i Sørøst-Norge (USN)
  • Universitetet i Tromsø – Norges arktiske universitet (UiT)
  • Universitetssenteret på Svalbard AS (UNIS)

Til behandling i Stortinget

Vi leverte undersøkelsen til Stortinget 16. januar 2024.

Følg saken på stortinget.no
Kategorier: Forsvar/sikkerhet/beredskap Utdanning

Spørsmål?

Bilde av Sissel Elisabet Helminsen

Sissel Elisabet Helminsen

Kommunikasjonsrådgiver

977 27 237 seh@riksrevisjonen.no
Bilde av Annette Gohn-Hellum

Annette Gohn-Hellum

Ekspedisjonssjef

911 97 817 ago@riksrevisjonen.no