Sara Monaco, projektledare för granskningen, påpekar att skyddet av data blivit extra aktuellt med tanke på omvärldsläget och att behovet av att bedriva ett systematiskt informationssäkerhetsarbete har ökat.
Sara Monaco
Projektledare, Riksrevisionen Foto: Riksrevisionen
I rapporten refererar man Säkerhetspolisens bedömning att antalet cyberattacker mot lärosätena har ökat och underrättelseverksamheten mot universitet och högskolor har intensifierats under senare år. Säpo uppskattar att det stjäls information och kunskap till ett värde av miljardbelopp varje år men att mörkertalet är stort.
Granskning av skyddet
Därför har Riksrevisionen nu granskat hur lärosätena arbetar med att skydda data.
– Den största bristen som vi ser är att lärosätena inte har koll på alla forskningsdata man hanterar och då saknas tillräckligt underlag för korrekta riskbedömningar och för att införa ändamålsenliga säkerhetsåtgärder, säger Sara Monaco.
”Lärosätena har ofta beslutat om riktlinjer och rutiner för informationssäkerhet. Men lärosätena jobbar inte efter de modeller som de själva har tagit fram. Många forskare arbetar inte efter de rutinerna och ibland vet man inte ens om att de finns.”
Sara Monaco
Sedan 2008 har alla statliga myndigheter inklusive lärosätena haft föreskrifter med krav att de ska bedriva ett systematiskt informationssäkerhetsarbete.
– Lärosätena har ofta beslutat om riktlinjer och rutiner för informationssäkerhet. Men lärosätena jobbar inte efter de modeller som de själva har tagit fram. Många forskare arbetar inte efter de rutinerna och ibland vet man inte ens om att de finns. Men det är mycket möjligt att man ändå hanterar forskningsdata säkert och bra, men alla forskare gör på olika sätt och lärosätena har ingen överblick över hur forskarna arbetar med forskningsdatahantering, säger Sara Monaco.
Skyddsvärd data behöver identifieras
Hon understryker att det gäller att veta vilken data man hanterar för att kunna identifiera de data som är skyddsvärda.
– En stor del av forskningsdata ska ju vara öppen och tillgänglig, det ligger i universitets och högskolors DNA att de ska vara öppna och dela med sig och sprida kunskap.
Men för att kunna identifiera vilka data som det går att dela med sig av och vilka som behöver skyddas, måste man veta vilka forskningsdata man hanterar, betonar Sara Monaco.
– Där vi ser att det brister, man har inte den kollen eftersom man inte inventerar och klassar alla sina forskningsdata och då kan man missa just sådan data som är skyddsvärd.
Varför finns de här problemen?
– Vår bedömning är att lärosätesledningarna inte har prioriterat det här arbetet, trots att man sedan 2008 haft krav på sig att bedriva ett systematiskt informationssäkerhetsarbete. Och att även om det finns beslutade riktlinjer har man inte säkerställt att medarbetarna jobbar efter de riktlinjer som finns och man har inte heller gett tillräckligt stöd till forskare och prefekter att få dem att förstå: Vad är det som krävs av mig som forskare som har de här forskningsdata? Hur ska jag hantera forskningsdata säkert? Det behöver man ju som enskild forskare få stöd och hjälp med.
Vad kan man göra åt det här?
– Vår bedömning är att man framför allt behöver höja kompetensen på alla nivåer på lärosätena, säger Sara Monaco.
Riksrevisionens rekommendationer
-
Regeringen bör ge Myndigheten för samhällsskydd och beredskap i uppdrag att genomföra kompetenshöjande insatser till ledningarna för universitet och högskolor.
-
Universitet och högskolor bör få i uppdrag av regeringen att inrätta en gemensam stödfunktion för informationssäkerhet.
-
Lärosätena rekommenderas se till att roller och ansvarsfördelning är tydliga – från ledningsnivå till enskilda medarbetare – så att alla känner till sitt ansvar för att hantera forskningsdata korrekt.
-
Lärosätena bör se till att det finns kompetens att analysera informationssäkerhetsrisker kopplade till forskningsdata.
Skyddsvärd forskningsdata
Med skyddsvärda forskningsdata avses sådan data som i första hand behöver skyddas på grund av sekretess, dataskyddsreglering eller annan specialreglering.
Det kan exempelvis röra stora mängder eller känsliga personuppgifter, företagshemligheter eller säkerhetskänslig verksamhet.
Källa: Riksrevisionen