Hopp til hovedinnhold

Informasjonssikkerhet og personvern i et femårsperspektiv

Utvikling i UH-sektoren 2018-2022

RapportTilhører rapportserie: Ja

I denne rapporten oppsummerer vi utviklingen i arbeidet med informasjonssikkerhet og personvern hos 21 statlige universiteter og høgskoler i perioden 2018 til 2022. Kartleggingen viser at institusjonene har gjort forbedringer i dette arbeidet, men at det fortsatt er behov for forbedringer.

Utgiver:Direktoratet for høyere utdanning og kompetanse
Redaktør:Kristin Selvaag
ISSN:2703-9102
Forfattere:Mathias Gullbrekken Sandnes, Tommy Tranvik
Publisert:19.02.2024
Rapportnummer:2/2024

Sammendrag

Grunnlaget for beskrivelsene av utviklingen er HK-dir sine årlige kartlegginger av arbeidet med informasjonssikkerhet og personvern i UH-sektoren. Kartleggingene er en del av Kunnskapsdepartementets styringsmodell for informasjonssikkerhet og personvern i sektoren, og skal bidra til kunnskap og anbefalinger til institusjonenes arbeid.

I kartleggingen ser spesielt på kravene som handler om institusjonenes evne til å forebygge, oppdage, og håndtere hendelser og brudd. Avslutningsvis drøfter vi risikonivå for ulike typer brudd på informasjons- og personopplysningssikkerheten sett opp mot gjennomførte tiltak i perioden.

Hovedfunnene fra rapporten er:

  • Det har vært en moderat økning i etterlevelse av kravene i Kunnskapsdepartementets policy til arbeidet med informasjonssikkerhet og personvern. I 2022 etterlever to universiteter kravene i departementets policy, de resterende institusjonene etterlever enkelte eller deler av kravene.
  • Alle universitetene og høgskolene har etablert de viktigste rutinene i internkontroll for personvern, og den styrende delen av ledelsessystemet for informasjonssikkerhet i perioden. De fleste institusjonene mangler imidlertid tilfredsstillende systematikk i arbeidet, spesielt i gjennomførende og kontrollerende del av ledelsessystem for informasjonssikkerhet, og internkontrollen for personvern (GDPR).
  • Fra og med 2022 er det registrert en nedgang i antall hendelser og brudd på informasjons- og personopplysningssikkerheten hos institusjonene. Det er også registrert en nedgang i antall meldte avvik til Datatilsynet.
  • Risikoen for brudd forårsaket av løsepengevirus og statlig hacking (kunnskapsspionasje) har økt siden 2019, og vurderes som høy i 2022. Brudd forårsaket av utilsiktede feil og uhell blant ansatte, tjenestenektangrep (DDoS), og misbruk av lokale dataressurser av nettkriminelle trusselaktører er redusert noe i perioden, og vurderes som middels i 2022. Risikoen for tilfeller av vellykkede forsøk på direktør- og fakturasvindel er redusert fra et høyt risikonivå i 2019 til et lavt nivå i 2022.

Utviklingen de siste fem årene viser at det har vært forbedringer i arbeidet med informasjonssikkerhet og personvern hos universitetene og høgskolene, men at det fortsatt er behov for forbedringer. Samtidig ser vi at utviklingen i etterlevelse av kravene i departementets policy er ujevnt fordelt mellom institusjonene – enkelte institusjoner har styrket seg mer enn andre i perioden.

Vi mener at det er behov for mer kunnskap om effekten av iverksatte sikkerhetstiltak hos universitetene og høgskolene. Et slikt tiltak kan være periodiske revisjoner av arbeidet med informasjonssikkerhet og personvern i UH-sektoren. Dette kan bidra til å styrke institusjonenes arbeid med å forbedre sin etterlevelse av kravene i policyen.