Den omställning till distansarbete som vi sett under pandemin hade i normala fall föranletts av månader – säkert år – av förarbete för att trygga informationssäkerheten. Det säger Anne-Marie Achrenius som samordnar frågorna vid Chalmers.
I stället för att arbeta systematiskt och riskbaserat har allt fokus hittills legat på att snabbt få verksamheten att över huvud taget fungera. Anne-Marie Achrenius har full förståelse för detta, men menar att lärosätena nu också måste jobba mer strategiskt och långsiktigt med informationssäkerheten i omställningen.
Foto: Joakim Pauli
– Vi behöver lösa både informationssäkerheten och arbetsmiljön i hemmen, för de sakerna hänger tätt ihop, säger hon.
Uppgifter lagras fel eller försvinner
It-säkerhet är en del av informationssäkerheten, men det senare är ett bredare begrepp som även handlar om att rätt personer ska ha tillgång till rätt information och att GDPR och andra lagar om bland annat sekretess och arkivering ska följas.
Riskerna som kan uppstå vid distansarbete är till exempel att verksamhetens information sparas – och på sikt kanske försvinner – på privata molntjänster eller hårddiskar utan back-up, personuppgifter sparas på ett olagligt sätt, handlingar som ska diarieföras eller arkiveras försvinner, sekretesskyddade uppgifter råkar lämnas ut för att man inte lätt kunde gå in till en kollega och stämma av frågan, känsliga uppgifter mejlas till en utomstående för att man själv inte kan skriva ut hemma, och så vidare.
Anne-Marie Achrenius tror att forskningsverksamheter som till vardags arbetar med skyddsvärd information har varit bättre rustade för att jobba mer säkert hemifrån – och vet vad som inte får lämna lärosätets skydd – men de är en minoritet.
Orimligt stort ansvar
Vad gäller antagonistiska hot är det välkänt att de svagaste länkarna ofta används för att komma in i gemensamma system. Lärosäten brukar ha listor med saker att tänka på vid distansarbete, som att bara använda jobbdatorn, att den ska ha virusprogram och vara uppdaterad, att man inte ska surfa på öppna nätverk, inte spara saker i privata molntjänster, med mera.
Anne-Marie Achrenius menar att orimligt mycket ansvar läggs på den enskilda medarbetaren, och även om hen försöker göra allt rätt räcker det med att hemmaroutern har ett säkerhetshål för att någon ska kunna avläsa allt som pågår på datorn, även det som sköts över lärosätets VPN.
– Informationssäkerhetsarbetet måste bedrivas från högsta ledningen, och sedan rinna ner som vatten genom hela organisationen. Men man kan som medarbetare också stå på sig inför sin chef när man inser att vissa uppgifter kan och får man inte utföra i den här arbetsmiljön eller med den här utrustningen.
Förtroendefråga
Lärosätena behöver hitta fungerande, säkra lösningar för att inte varje individ ska behöva lösa sitt arbete på eget sätt och digital suveränitet är en fråga som diskuteras alltmer. Anne-Marie Achrenius tror också att lärosäten framöver kan behöva förse anställda med mer av jobbutrustningen i hemmet, som säkra routrar.
– Informationssäkerhet är även viktigt för att bibehålla allmänhetens förtroende för lärosäten och statliga myndigheter.
