Sensitive forskningsdata kan komme på avveie

Inntrengingstestene er del av Riksrevisjonens undersøkelse av informasjonssikkerheten hos 10 av i alt 24 universiteter, høyskoler og andre forskningsinstitusjoner under Kunnskapsdepartementet.

At vi fikk full kontroll over IT-infrastruktur ved to av institusjonene innebar blant annet tilgang til all informasjon i disses nettverk, også sensitiv forskningsinformasjon. Kontrollen med forskeres IT-utstyr og skylagring ved den tredje institusjonen ga også Riksrevisjonen mulighet til å hente ut eller manipulere lagret informasjon.

– Våre tester viser at mange forskningsinstitusjoner ikke er godt nok beskyttet mot dataangrep. Da kan sensitive data med personopplysninger, forretningsmessig verdi eller data som av ulike grunner kan være av interesse for fremmede staters etterretning, komme på avveie, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

Enkelte av institusjonene forvalter også utstyr og systemer av nasjonal betydning, eller kunnskap og teknologi som er underlagt eksportkontroll.

Grunnprinsipper for IT-sikkerhet blir ikke fulgt

I tillegg til inntrengingstestene, har Riksrevisjonen undersøkt tekniske sikkerhetstiltak ved alle de ti forskningsinstitusjonene. Rapporten viser blant annet manglende kontroll med brukerkontoer og tilgangsrettigheter, og svake krav til brukerautentisering.

– Det er for store svakheter i grunnleggende tekniske sikkerhetstiltak, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

Også de organisatoriske sikkerhetstiltakene har flere svakheter. For eksempel har forskningsinstitusjonene manglende oversikt over sensitive forskningsdata som ikke omfatter personopplysninger, og det er lite veiledning rundt håndtering av slike data.

– Forskningsinstitusjoner har blitt bedre på behandling av personopplysninger. Når det gjelder beskyttelse av andre sensitive data har de kommet kortere, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

På etterskudd i informasjonssikkerhetsarbeidet

– Vi ser at forskningsinstitusjonene har gjort forbedringer de seneste årene, men mange har kommet sent i gang og er på etterskudd i arbeidet, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

De ti forskningsinstitusjonene som er undersøkt har nå i stor grad etablert rammene for informasjonssikkerhetsarbeidet, blant annet gjennom å tydeliggjøre ansvar internt og utarbeide retningslinjer med overordnede krav som skal følges opp ute i organisasjonen.

Det er imidlertid fortsatt mye arbeid som gjenstår med å gjennomføre dette i mange av virksomhetene, og mange sliter med å få gjennomført sikkerhetstiltak som er besluttet.

– Vi ser også at Kunnskapsdepartementet i begrenset grad har lyktes med sin informasjonssikkerhetssatsing. Virkemidlene deres treffer i for liten grad de små forskningsinstitusjonene som har størst behov for støtte, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

Les hele undersøkelsen her.

Sladdet rapport, usladdet oppsummering

Noe informasjon i rapporten er unntatt offentlighet fordi innsyn ville lette gjennomføring av dataangrep, og enkelte opplysninger er i tillegg gradert begrenset etter sikkerhetsloven.

Riksrevisjonen offentligjør en oppsummering av undersøkelsen – Dokument 3:11 (2023─2024), og en offentlig, sladdet versjon av rapporten. Stortinget har mottatt en fullstendig versjon av rapporten.

─ Vi strekker oss langt for å sikre åpenhet om våre rapporter. Samtidig må vi følge lovverket. Jeg vil understreke at det vi legger frem i dag gir et relativt fullstendig bilde av saken, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

Han understreker at Riksrevisjonen har hatt en god dialog med Kunnskapsdepartementet og Nasjonal sikkerhetsmyndighet (NSM) om hva slags informasjon som kan offentliggjøres.

Undersøkelsen ble levert til Stortinget 16. januar.

Disse ti forskningsinstitusjonene er omfattet av undersøkelsen:

• Nord universitet
• Norges idrettshøgskole (NIH)
• Norges teknisk-naturvitenskapelige universitet (NTNU)
• Norsk utenrikspolitisk institutt (NUPI)
• Universitetet i Bergen (UiB)
• Universitetet i Oslo (UiO)
• Universitetet i Stavanger (UiS)
• Universitetet i Sørøst-Norge (USN)
• Universitetet i Tromsø – Norges arktiske universitet (UiT)
• Universitetssenteret på Svalbard AS (UNIS)