riksrevisjonen

Retter kritikk mot håndtering av sensitive forskningsdata

Riksrevisjonen har gjennomført inntrengingstester mot tre forskningsinstitusjoner. Da fikk de full kontroll over datasystemer.

Riksrevisor Karl Eirik Schjøtt-Pedersen retter kritikk etter at de har undersøt en rekke forskningsinstitusjoners datasikkerhet.

- Vi har konkludert med at forskningsdata er ikke i tilstrekkelig grad sikret mot dataangrep, sa riksrevisor Karl Eirik Schjøtt-Pedersen, da resultatene av undersøkelsen ble lagt fram på en pressekonferanse onsdag formiddag.

Fakta

Riksrevisjonens overordnede vurdering

  • Det er kritikkverdig at forskningsdata i virksomheter under Kunnskapsdepartementet ikke er tilstrekkelig sikret mot dataangrep, gitt kravene i lovverket og de mulige konsekvensene av at sensitive data kommer på avveier.
  • Virksomhetene har ikke god nok oversikt over forskningsdata som trenger beskyttelse. Dette er ikke tilfredsstillende.
  • Tross forbedringer i undersøkelsesperioden, arbeider mange virksomheter i for liten grad systematisk med informasjonssikkerhet, og styrene i virksomhetene fyller ikke i stor nok grad rollen de skal ha. Dette er ikke tilfredsstillende.
  • Kunnskapsdepartementet har gjennomført flere tiltak i perioden 2019–2022 som blant annet har ført til økt oppmerksomhet om informasjonssikkerhet i virksomhetene. Samtidig er det ikke tilfredsstillende at virkemidlene i for liten grad treffer virksomhetene som har størst behov for støtte.

Inntrengingstestene er del av Riksrevisjonens undersøkelse av informasjonssikkerheten hos 10 av i alt 24 universiteter, høyskoler og andre forskningsinstitusjoner under Kunnskapsdepartementet. Det skriver Riksrevisjonen i en pressemelding.

Kunne hente ut og manipulere informasjon

At de fikk full kontroll over IT-infrastruktur ved to av institusjonene innebar blant annet tilgang til all informasjon i disses nettverk, også sensitiv forskningsdata. Kontrollen av forskeres IT-utstyr og skylagring ved den tredje institusjonen ga også Riksrevisjonen mulighet til å hente ut eller manipulere lagret informasjon.

- Institusjonene har lagt rammer for å sikre forskningsdata, men oppnår ikke ønsket sikkerhetsnivå, fordi de mangler virkemidler, slår Schjøtt-Pedersen fast.

Han sier resultatet kan være at sensitive data med personopplysninger, forretningsmessig verdi eller data som av ulike grunner kan være av interesse for fremmede staters etterretning, kommer på avveie.

For mange er på etterskudd

I tillegg til inntrengingstestene, har Riksrevisjonen undersøkt tekniske sikkerhetstiltak ved alle de ti forskningsinstitusjonene. Rapporten viser blant annet manglende kontroll med brukerkontoer og tilgangsrettigheter, og svake krav til brukerautentisering.

Blant institusjonene som er undersøkt er NTNU, UiB og UiO.

Riksrevisjonen melder også om manglende oversikt over sensitive forskningsdata som ikke omfatter personopplysninger. De skriver også at det er lite veiledning rundt håndtering av slike data.

- Kunnskapsdepartementet får for lite info om den reelle sikkerhetstilstanden i sektoren, sa Schjøtt-Pedersen.

Ifølge rapporten er har mange av institusjonene bedret seg de seneste årene, men for mange har kommet sent i gang eller er på etterskudd.

Fakta

Disse ble undersøkt

  • Nord universitet
  • Norges idrettshøgskole (NIH)
  • Norges teknisk-naturvitenskapelige universitet (NTNU)
  • Norsk utenrikspolitisk institutt (NUPI)
  • Universitetet i Bergen (UiB)
  • Universitetet i Oslo (UiO)
  • Universitetet i Stavanger (UiS)
  • Universitetet i Sørøst-Norge (USN)
  • Universitetet i Tromsø – Norges arktiske universitet (UiT)
  • Universitetssenteret på Svalbard AS (UNIS)

Følg UA på Facebook og Instagram.