Aktuelt
Aktuelt
17.06.2022

Størst risiko for løsepengevirus og statlig hacking

UH-sektoren ble i 2021 utsatt for flere forsøk på datainnbrudd enn noen gang tidligere. Samtidig ble det registrert økt aktivitet fra statlige hackergrupper i sektoren.

Antallet alvorlige hendelser – datainnbrudd og krenkelser av personvernet – er likevel redusert sammenliknet med 2020. Dette fremgår av HK-dir sin årlige rapport om arbeidet med informasjonssikkerhet og personvern hos 28 universiteter, høgskoler, direktorater og selskaper underlagt Kunnskapsdepartementet.

Forbedringer og mangler

Rapporten viser at arbeidet med informasjonssikkerhet og personvern er styrket også i 2021. Systematikken i arbeidet er blitt bedre hos flertallet av virksomhetene, og det iverksattes flere forbedringstiltak enn tidligere. Det er likevel behov for ytterligere forbedringer i sektoren for at kravene som departementet stiller til informasjonssikkerhet og personvern skal kunne ivaretas på en tilfredsstillende måte. 

Sektoren har særlig behov for å styrke kompetansen om hvordan viktige informasjonssikkerhets- og personvernoppgaver kan utføres i praksis.

Trusler og risiko

Selv om antallet alvorlige hendelser i sektoren er redusert og tiltaksaktiviteten har økt, mener vi at risikoen for brudd på informasjonssikkerheten og krenkelser av personvernet er omtrent på samme nivå som i 2021. Det skyldes flere forhold, blant annet at det generelle trusselbildet i samfunnet er skjerpet og at statlige hackergrupper synes å vie norsk UH-sektor økende oppmerksomhet, inkludert deler av sektoren hvor slik aktivitet ikke har vært observert tidligere. 

I tillegg øker sektorens avhengighet av digitale systemer og tjenester. Skadevirkningene kan derfor bli store dersom systemene og tjenestene rammes av alvorlige uønskede hendelser.

HK-dir mener at sektoren bør være spesielt oppmerksom på risikoen som løsepengevirus og statlig hacking representerer. Dette er hendelser hvor skadevirkningene kan bli særlig store og sammensatte. Vi er også bekymret for alvorlige hendelser som følge av kompromitterte kontoer (innloggingsdata på avveie).    

For hendelser som skyldes tekniske eller menneskelige feil og uhell, er vår vurdering at risikoen er noe mindre. Risikoen for alvorlig nettsvindel og at digitale systemer eller tjenester utsettes for større overbelastningsangrep (DDoS), vurderes som relativt lav.    

Anbefalinger  

Rapporten foreslår at det iverksettes enkelte sektortiltak for å redusere risikoen for alvorlige hendelser og forbedre arbeidet med informasjonssikkerhet og personvern. 

De viktigste forslagene gjelder styrking av opplærings- og kompetansetilbudet i sektoren. Sektorens evne til å forebygge, oppdage og håndtere digitale sikkerhetshendelser bør også styrkes.

Hver av de 28 virksomhetene har også i år mottatt brev fra HK-dir med anbefalinger for det videre arbeidet med informasjonssikkerhet og personvern.

Kunnskapsdepartementet følger opp viktige funn og konklusjoner i sin styringsdialog med den enkelte virksomhet.