Sensitive forskningsdata kan komme på avveie
Riksrevisjonen har gjennomført inntrengingstester mot tre forskningsinstitusjoner under Kunnskapsdepartementet. – Testene ga oss full kontroll over IT-infrastruktur ved to av dem og kontroll over forskeres IT-utstyr og skylagring ved den tredje. Det er kritikkverdig at forskningsdata ikke er tilstrekkelig sikret mot angrep, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Inntrengingstestene er del av Riksrevisjonens undersøkelse av informasjonssikkerheten hos 10 av i alt 24 universiteter, høyskoler og andre forskningsinstitusjoner under Kunnskapsdepartementet.
At vi fikk full kontroll over IT-infrastruktur ved to av institusjonene innebar blant annet tilgang til all informasjon i disses nettverk, også sensitiv forskningsinformasjon. Kontrollen med forskeres IT-utstyr og skylagring ved den tredje institusjonen ga også Riksrevisjonen mulighet til å hente ut eller manipulere lagret informasjon.
– Våre tester viser at mange forskningsinstitusjoner ikke er godt nok beskyttet mot dataangrep. Da kan sensitive data med personopplysninger, forretningsmessig verdi eller data som av ulike grunner kan være av interesse for fremmede staters etterretning, komme på avveie, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Enkelte av institusjonene forvalter også utstyr og systemer av nasjonal betydning, eller kunnskap og teknologi som er underlagt eksportkontroll.
Grunnprinsipper for IT-sikkerhet blir ikke fulgt
I tillegg til inntrengingstestene, har Riksrevisjonen undersøkt tekniske sikkerhetstiltak ved alle de ti forskningsinstitusjonene. Rapporten viser blant annet manglende kontroll med brukerkontoer og tilgangsrettigheter, og svake krav til brukerautentisering.
– Det er for store svakheter i grunnleggende tekniske sikkerhetstiltak, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Også de organisatoriske sikkerhetstiltakene har flere svakheter. For eksempel har forskningsinstitusjonene manglende oversikt over sensitive forskningsdata som ikke omfatter personopplysninger, og det er lite veiledning rundt håndtering av slike data.
– Forskningsinstitusjoner har blitt bedre på behandling av personopplysninger. Når det gjelder beskyttelse av andre sensitive data har de kommet kortere, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
På etterskudd i informasjonssikkerhetsarbeidet
– Vi ser at forskningsinstitusjonene har gjort forbedringer de seneste årene, men mange har kommet sent i gang og er på etterskudd i arbeidet, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
De ti forskningsinstitusjonene som er undersøkt har nå i stor grad etablert rammene for informasjonssikkerhetsarbeidet, blant annet gjennom å tydeliggjøre ansvar internt og utarbeide retningslinjer med overordnede krav som skal følges opp ute i organisasjonen.
Det er imidlertid fortsatt mye arbeid som gjenstår med å gjennomføre dette i mange av virksomhetene, og mange sliter med å få gjennomført sikkerhetstiltak som er besluttet.
– Vi ser også at Kunnskapsdepartementet i begrenset grad har lyktes med sin informasjonssikkerhetssatsing. Virkemidlene deres treffer i for liten grad de små forskningsinstitusjonene som har størst behov for støtte, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Sladdet rapport, usladdet oppsummering
Noe informasjon i rapporten er unntatt offentlighet fordi innsyn ville lette gjennomføring av dataangrep, og enkelte opplysninger er i tillegg gradert begrenset etter sikkerhetsloven.
Riksrevisjonen offentligjør en oppsummering av undersøkelsen – Dokument 3:11 (2023─2024), og en offentlig, sladdet versjon av rapporten. Stortinget har mottatt en fullstendig versjon av rapporten.
─ Vi strekker oss langt for å sikre åpenhet om våre rapporter. Samtidig må vi følge lovverket. Jeg vil understreke at det vi legger frem i dag gir et relativt fullstendig bilde av saken, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Han understreker at Riksrevisjonen har hatt en god dialog med Kunnskapsdepartementet og Nasjonal sikkerhetsmyndighet (NSM) om hva slags informasjon som kan offentliggjøres.
Undersøkelsen ble levert til Stortinget 16. januar.
Disse ti forskningsinstitusjonene er omfattet av undersøkelsen:
- Nord universitet
- Norges idrettshøgskole (NIH)
- Norges teknisk-naturvitenskapelige universitet (NTNU)
- Norsk utenrikspolitisk institutt (NUPI)
- Universitetet i Bergen (UiB)
- Universitetet i Oslo (UiO)
- Universitetet i Stavanger (UiS)
- Universitetet i Sørøst-Norge (USN)
- Universitetet i Tromsø – Norges arktiske universitet (UiT)
- Universitetssenteret på Svalbard AS (UNIS)
Nøkkelord
Kontakter
Siri Bentserud WingereiKommunikasjonssjef
Tel:990 39 479sbw@riksrevisjonen.noOm oss
Riksrevisjonen er Stortingets største og eldste kontrollorgan. Gjennom revisjon av regnskap og undersøkelser sjekker vi hvordan regjeringen og statsforvaltningen gjør jobben sin.
Følg pressemeldinger fra Riksrevisjonen
Registrer deg med din e-postadresse under for å få de nyeste sakene fra Riksrevisjonen på e-post fortløpende. Du kan melde deg av når som helst.
Siste pressemeldinger fra Riksrevisjonen
NSM-saken: Brudd på Grunnloven og kritikkverdig oppfølging fra departementet30.4.2024 14:00:00 CEST | Pressemelding
Nasjonal sikkerhetsmyndighet (NSM) tok opp lån i strid med Grunnloven. Justis- og beredskapsdepartementet fulgte ikke godt nok opp. Det er kritikkverdig, mener Riksrevisjonen.
Sykehusene jobber lite systematisk med risikostyring14.3.2024 12:00:00 CET | Pressemelding
Riksrevisjonens nye undersøkelse viser at sykehusene jobber lite systematisk med kjente utfordringer. Svak risikostyring kan få konsekvenser for pasientbehandling, ventetider og samhandlingen mellom kommuner og sykehus. Riksrevisjonen mener det er kritikkverdig.
Rehabilitering: Nesten ingenting har blitt bedre siden 201215.2.2024 12:30:00 CET | Pressemelding
Nesten ingenting har blitt bedre siden Riksrevisjonen undersøkte rehabilitering i 2012. Tiltakene har ikke gitt resultater og Riksrevisjonens nye undersøkelse viser at hele seks av syv kommuner mangler lovpålagt kompetanse på området.
Pressekonferanse i dag: Får pasienter rehabiliteringen de har krav på?15.2.2024 08:00:00 CET | Pressemelding
Det har lenge vært kjent at rehabilitering er ett av helsevesenets svakeste områder. En satsing ble satt i gang i 2017, men har det gitt resultater? Får pasienter hjelpen de har krav på? Velkommen til pressekonferanse hos Riksrevisjonen i dag kl. 12.30.
Rehabilitering: Får pasienter hjelpen de har krav på?13.2.2024 11:10:56 CET | Pressemelding
For første gang på 12 år har Riksrevisjonen undersøkt rehabilitering. En satsing ble satt i gang i 2017, men har det gitt resultater? Får pasienter hjelpen de har krav på? Velkommen til pressekonferanse hos Riksrevisjonen torsdag 15. februar kl. 12.30.
I vårt presserom finner du alle våre siste pressemeldinger, kontaktpersoner, bilder, dokumenter og annen relevant informasjon om oss.
Besøk vårt presserom