Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

3. Lärosätenas arbete med att identifiera skyddsvärda forskningsdata och att analysera informationssäkerhetsrisker

I det här kapitlet besvarar vi frågan om universitet och högskolor arbetar effektivt med att identifiera skyddsvärda forskningsdata och att analysera informationssäkerhetsrisker. Våra huvudsakliga iakttagelser sammanfattas nedan.

Avsnitt

3.1 Riksrevisionens huvudsakliga iakttagelser

  • Det sker ingen systematisk klassning av forskningsdata enligt lärosätenas framtagna modeller för informationsklassning. Det kan leda till att vissa skyddsvärda forskningsdata inte identifieras. Istället värderas vissa forskningsdata mer eller mindre formaliserat av forskare på grund av externa krav, exempelvis i datahanteringsplaner. Det är dock inte alla forskningsprojekt som har datahanteringsplaner. När lärosätena saknar en överblick över skyddsvärda forskningsdata kan det leda till bristande skydd.
  • Det finns flera exempel på institutioner och enskilda forskargrupper som har egna it-lösningar utanför den centrala it-infrastruktur som lärosätet tillhandahåller, bland annat när det gäller lagring och säkerhetskopiering av data. Därmed försvåras lärosätenas möjligheter att identifiera gemensamma behov av it-lösningar vilket kan leda till varierande och bristande informationssäkerhet.
  • Eftersom klassningen av forskningsdata inte görs systematiskt saknas det underlag för riskbedömningar på institutioner och central lärosätesnivå. Riskbedömningarna inkluderar sällan informationssäkerhet kring forskningsdata. Dessutom rapporterar lärosätena få it-incidenter. Det kan leda till att lärosätena inte åtgärdar säkerhetsbrister och därmed inte heller inför ändamålsenliga säkerhetsåtgärder.

3.2 Lärosätena arbetar inte systematiskt för att inventera och klassa forskningsdata

Granskningen visar att få forskare klassar sina forskningsdata i enlighet med lärosätenas modeller för informationsklassning. Många forskare gör istället mindre formaliserade bedömningar av sina forskningsdata. De dokumenteras inte alltid, eller dokumenteras i enlighet med krav från externa samarbetspartner eller forskningsfinansiärer. Det finns ingen samlad dokumentation över dessa mindre formaliserade bedömningar. När lärosätena saknar en överblick över skyddsvärda forskningsdata kan det leda till att dessa inte skyddas på ett ändamålsenligt sätt. Eftersom det saknas systematik i inventering, klassning och riskanalys är det svårt för lärosätena att dimensionera och anpassa säkerhetsåtgärder och it-tjänster efter de behov som finns i forskningsverksamheten. Det kan i slutändan leda till att obehöriga får tillgång till skyddsvärda forskningsdata. Företrädare för Säkerhetspolisen uppger att externa aktörer otillbörligen har skaffat sig åtkomst till känslig forskning vid svenska lärosäten.[94]

3.2.1 Få lärosäten har inventerat forskningsdata

15 av 24 lärosäten uppger att de har inventerat sin information, men endast ca hälften av de 15 lärosätena uppger att inventeringen har inkluderat forskningsdata. I de flesta fall har forskningsdata endast inventerats till viss del. Det resulterar i att lärosätena inte får en helhetsbild över de forskningsdata som finns på lärosätet. Flera lärosäten anger att de på sikt ska inventera processerna för forskning.[95]

Vid Blekinge tekniska högskola (BTH), Kungl. Tekniska högskolan (KTH) och Lunds universitet (LU) sker inte inventering av information med utgångspunkt i ett systematiskt informationssäkerhetsarbete i forskningsverksamheterna. Vid KTH sker olika typer av kartläggning exempelvis genom arkivfunktionen, informationshanteringsplaner och diverse initiativ till kartläggning från informationssäkerhetschef/motsvarande.[96] Det förekommer även ärendehanteringssystem och databaser för forskningsavtal som ger viss möjlighet till kartläggning.[97] Olika funktioner vid KTH och LU försöker också inventera forskningsdata genom exempelvis enkäter, nulägesanalyser och riskanalyser.[98] Arbetet är i regel inte samordnat och sker inte med systematik. Det är heller inte heltäckande i meningen att alla forskningsdata inkluderas.

3.2.2 Forskningsdata klassas inte enligt en gemensam modell

Av intervjuer med forskare vid BTH, KTH och LU framgår att det är ovanligt att forskare klassar sina data systematiskt och enligt lärosätets beslutade modell, trots att det finns en målbild att det ska göras.[99] Brister avseende både modeller för informationsklassning och genomförande av informationsklassning har även tagits upp i internrevisionsrapporter vid LU och KTH.[100] Riksrevisionen har också tagit del av resultat från MSB:s självskattningsverktyg Infosäkkollen 2021, som visar på genomgående brister i lärosätenas arbete med informationsklassning.[101]

I Riksrevisionens enkät uppger 21 av 24 lärosäten att de har en modell för informationsklassning. Det är vanligast att modellerna ska tillämpas på it-system och it-tjänster samt informationsmängder[102] (17 lärosäten vardera). Nästan lika många lärosäten uppger att modellen ska tillämpas på informationstyper[103]. Forskningsdata kan bestå av olika informationstyper, exempelvis personuppgifter. I den meningen finns det därmed delar av forskningsdata som informationsklassas enligt lärosätenas framtagna modeller. Ett lärosäte beskriver i vår enkät att informationsklassning av forskningsprojekt sker inför start av nya forskningsprojekt. Klassningen görs med hjälp av bland annat it-säkerhetsansvariga och jurister med GDPR-kompetens. Lärosätet beskriver vidare att detta arbetssätt har gjort det möjligt att utforma ett register över alla skyddsvärda informationsbehandlingar som görs i forskningsprojekt.[104]

Bristande systematik för klassning av forskningsdata gör det överlag svårt att sammanställa vilka data som faktiskt är skyddsvärda. 8 av 24 lärosäten uppger i enkäten att de har en samlad förteckning över verksamhetens skyddsvärda informationstillgångar. Av dessa 8 är det dock bara 5 lärosäten som inkluderat vissa eller alla skyddsvärda forskningsdata. Av de som inte har upprättat en förteckning anger ett lärosäte att man bedömer att informationen inte är av den klass att det behövs en förteckning. Andra lärosäten beskriver att de endast har det för en viss typ av skyddsvärda data, som exempelvis säkerhetsskyddsklassificerade uppgifter eller personuppgifter.[105]

3.2.3 Skyddsvärda forskningsdata fångas sällan upp systematiskt på institutionerna

Granskningen visar att prefekter har otillräcklig kunskap om huruvida skyddsvärda forskningsdata hanteras vid institutionen. Det saknas ofta formaliserade arbetssätt för att identifiera, dokumentera och förmedla skyddsvärden och skyddsbehov till central lärosätesnivå. Enligt Riksrevisionen är det viktigt att skyddsvärden identifieras i forskningsverksamheten, eftersom forskarna själva känner sina data bäst. Riksrevisionen konstaterar att det är svårt för de flesta prefekter att ha tillräcklig kännedom om alla skyddsvärda data på en stor institution. Men prefekten kan följa upp att forskningsledarna regelbundet inventerar och klassar sina forskningsdata.

Prefekterna i vår granskning har olika syn på möjligheterna att ha kännedom om de skyddsvärda forskningsdata som hanteras på deras respektive institutioner. Vissa prefekter framhåller att det är forskarna själva som är ansvariga för att bedöma om deras forskningsdata är skyddsvärda och vidta nödvändiga åtgärder. Det finns också en uppfattning att det ingår i prefektens ansvar att tänka igenom vad som kan vara skyddsvärt innan ett projekt startar. Vidare beskriver vissa prefekter att de har kännedom genom signering av finansieringsplaner och genom att hålla sig uppdaterade om alla nya forskningsprojekt som startar vid institutionen.[106]

Flera prefekter menar att de vet vilka skyddsvärda forskningsdata som hanteras av forskarna vid institutionen genom att det i externa samarbeten skrivs avtal där datahantering är reglerat eller hänvisar till att skyddsvärda forskningsdata säkerhetsklassificeras av företaget forskarna samarbetar med. En del prefekter säger däremot att de omöjligen kan ha överblick över alla skyddsvärda forskningsdata vid sina institutioner, bland annat på grund av den stora mängd data som hanteras. Vid ett tillfälle hade en prefekt precis innan vår intervju tillfrågat alla forskningsledare på institutionen om de hanterade skyddsvärda data och samlat in informationen.[107] Det visar att det med en rimlig arbetsinsats går att få en överblick över om skyddsvärda forskningsdata hanteras vid institutionen.

I intervjuer anges flera orsaker till att kännedomen om skyddsvärda forskningsdata varierar mellan institutioner. Det kan exempelvis bero på olika grad av mognad avseende informationssäkerhet inom vissa forskningsområden, vilket i sin tur kan bero på att vissa områden har externa standarder och nationella eller internationella regelverk som reglerar bland annat datahantering. Andra orsaker som uppges i intervjuerna är varierande intern informationssäkerhetskultur och institutionens storlek och forskningsbredd.[108]

3.2.4 Forskare gör mindre formaliserade bedömningar av forskningsdatas skyddsvärde som inte dokumenteras

Eftersom många forskare gör mindre formaliserade bedömningar av sina forskningsdata som inte dokumenteras saknas underlag för samlade riskbedömningar på institutions- och lärosätesnivå. Vi har observerat fall där enskilda forskare med kompetens och vilja gör informationsklassningar enligt gemensam lärosätesmodell, men det är ovanligt. I flera intervjuer uppger forskare att de använder sunt förnuft för att bedöma känsligheten i sina forskningsdata. Det finns också en ”man bara vet”-mentalitet gällande om huruvida man hanterar skyddsvärda data eller inte. En annan uppfattning är att det inte finns något externt intresse för ens forskningsdata.[109]

Flera forskare beskriver dessutom att det bara är under en kortare period som det finns behov av att skydda sina forskningsdata eftersom de ändå görs tillgängliga så fort man publicerar sina resultat. Det som däremot är unikt och skyddsvärt är specifika arbetsmetoder, till exempel hanteringen av material i ett laboratorium, som inte framgår av publicerade data.[110] Andra forskare menar att rådata i form av exempelvis mätningar är obegripliga för utomstående som inte har kontexten.[111] Riksrevisionen gör ingen bedömning av rimligheten i dessa påståenden, men konstaterar att en systematisk och dokumenterad informationsklassning av ens forskningsdata möjliggör att ändamålsenliga säkerhetsåtgärder lättare kan identifieras och införas. I ovan nämnda fall skulle det vara att hantera loggböcker eller material, som behövs för att tolka rådata eller annat material och resultat, som skyddsvärda.

3.2.5 Externa samarbetspartner ställer krav på säker hantering av forskningsdata

Externa samarbetspartner och finansiärer ställer olika krav på att forskningsdata ska hanteras i enlighet med skyddsvärdet. Det dokumenteras ofta i en datahanteringsplan eller i särskilda sekretessavtal. Granskningen visar att denna dokumentation inte finns samlad vid lärosätena. Därmed saknas underlag för samlade riskbedömningar på institutions- och lärosätesnivå.

Vidare visar granskningen att det råder en uppfattning om att de krav som externa samarbetspartner och finansiärer ställer på säker datahantering ofta är tydligare än lärosätenas egna krav. I granskningen framkommer också att såväl forskare som externa partner menar att en säker hantering av skyddsvärda data blir ”självreglerande” eftersom forskare som inte sköter sig riskerar att ses som säkerhetsbelastningar och därmed olämpliga forskningspartner.[112]

Den externa samarbetspartnern ansvarar för att informationsklassa sina egna forskningsdata och anpassa hanteringen efter dem. Som forskare behöver man vara medveten om vilket ansvar man har när data förs över och hanteras vid lärosätet. Det kan vara en särskild utmaning att bedöma sådana forskningsdata i kombination med andra data som finns på lärosätet. Vi har dock iakttagit att skyddsvärda forskningsdata ofta behandlas på den externa partnerns utrustning och/eller i dens lokaler. Det förekommer också att till exempel doktorander genomgår säkerhetsprövning och har sin arbetsplats hos den externa partnern. Forskare nämner även samarbeten med exempelvis Försvarets materielverk och Svenska kraftnät som kräver säkerhetsprövning för deltagande.[113] Vidare beskriver forskare vid BTH ett samarbete med Trafikverket där tillgången till data är väldigt begränsad. Liknande hantering beskrivs av verksamma vid KTH och LU. Exempelvis finns forskare vid KTH som samarbetar med Karolinska institutet (KI) där forskningsdata ligger på KI och forskare vid LU som använder data från Region Skåne.[114]

Vilken information som är konfidentiell kan regleras i ett sekretessavtal (så kallat non-disclosure agreement, NDA) mellan forskare och extern partner inför ett samarbete. Detta gäller framför allt affärshemligheter, men kan även gälla forskningssamarbeten om militär utrustning eller kritisk infrastruktur.[115]

Enligt KTH:s delegationsordning ska alla forskningsavtal granskas av affärsjurister. Som forskare ska man bland annat ange om någon av partnerna i avtalet tillför så kallad bakgrundsinformation (exempelvis tidigare genererade resultat eller material) samt om konfidentiell information kommer att utbytas.[116] Vid skolorna tar man stort stöd av det juridiska stödets rådgivande funktion.[117] Vid BTH finns ingen jurist anställd utan vid behov anlitas juriststöd.[118] LU:s juridiska stöd är frivilligt och granskar ca 800 avtal om året från hela lärosätet.[119] Vid varken KTH eller LU har det rättsliga stödet kännedom om alla avtal. Det händer att man får in avtal som forskare själva förhandlat, obehörigt skrivit under och som inte granskats av lärosätets jurister.[120] Detta kan medföra både oönskade informations­säkerhetsrisker och ekonomiska risker för lärosätena.

3.2.6 Värdering av forskningsdata kan ske i datahanterings­planer, men alla forskare använder sig inte av dem

Flera finansiärer[121] ställer krav på datahanteringsplaner vid beviljade forskningsansökningar men det finns ingen systematik vid lärosätena rörande hur dessa hanteras. I datahaneringsplanerna ska forskare beskriva hur ens forskningsdata ska hanteras under och efter forskningsprocessen.[122] Hantering av skyddsvärda data är en del i planen.[123]

Vetenskapsrådet kontrollerar inte att datahanteringsplanerna faktiskt lämnas in i samband med ansökan utan lägger ansvaret på medelsförvaltaren, det vill säga lärosätet.[124] I granskningen har vi inte iakttagit att det på de tre exempellärosätena förekommer någon systematisk uppföljning av om forskarna verkligen lämnar in sina planer, eller uppdaterar dem under forskningsprojektets gång. Riksrevisionen konstaterar att det inte heller görs någon sammanställning av upprättade datahanteringsplaner på något av de tre exempellärosätena. Det finns en ambition att datahanteringsplanerna ska diarieföras. Vid LU finns ett centralt diarieföringssystem på lärosätesnivå men det används inte till alla handlingar av alla fakulteter.[125] Det är också en utmaning att veta vilken version av datahanteringsplanen som ska diarieföras och arkiveras eftersom den löpande ska kunna uppdateras, så kallad versionering. Nuvarande ärendehanteringssystem vid KTH har exempelvis inte stöd för versionering, Vid både KTH och LU pågår arbete på central lärosätesnivå och vid fakulteter för att försöka få överblick över datahanteringsplaner i databaser eller liknande.[126]

Vid vissa universitet är hanteringen av datahanteringsplaner formaliserad via prefekten. Vid till exempel Uppsala universitet ska prefekten vid den anslagsförvaltande institutionen intyga att en datahanteringsplan är upprättad innan projektet godkänns i forskningsfinansiärernas ansökningssystem Prisma.[127] En utmaning som nämns i vår granskning är dock att man som prefekt inte har kompetens att bedöma datahanteringsplanerna.[128]

Biblioteken och delar av administrationen bedömer att datahanteringsplanerna kan fungera som ett bra stöd för forskarna. Samtliga tre exempellärosäten erbjuder stöd till forskare för att fylla i planerna.[129] KTH:s bibliotek har diskuterat att slå ihop processerna att upprätta datahanteringsplan och göra en informationsklassning.[130] Bland de forskare vi intervjuat råder det delade meningar om den praktiska nyttan med dessa planer. De ses ibland som en administrativ börda som inte påverkar hur forskare arbetar med sina data. Det finns också en frustration avseende upplevelsen att ingen ersättning ges för tiden det tar att fylla i en datahanteringsplan och att det råder osäkerheter rörande vad som avses med forskningsdata och vilka krav som ställs på dess hantering.[131]

I EU:s forskningsprogram går det att ansöka om ekonomiskt stöd för kostnader i samband med forskningsdatahantering.[132] Vetenskapsrådet ger inte möjlighet till ekonomisk ersättning för datahantering men hänvisar till att man kan ansöka om sådan finansiering om det direkt kan sägas röra projektet.[133]

Sveriges universitets- och högskoleförbund (SUHF) tog 2018 fram en rekommendation om vad en gemensam nationell mall för en datahanteringsplan bör innehålla. Målsättningen var att möta ”flera aktörers grundläggande behov av dokumentation av forskningsinformation och att förenkla forskarnas administrativa arbete”.[134] Det pågår ett arbete vid många lärosäten att använda datahanteringsplaner som praxis för att FAIR-principerna (se avsnitt 2.6) implementeras i forskningsprojekt redan från början.[135] Svenska universitetsdatanätverket (Sunet) tillhandahåller tjänsten Sunet datahanteringsplan som i november 2023 hade ca 15 lärosäten som kunder.[136] Det finns dock lärosäten som menar att de behöver ha egna planer eftersom den nationella mallen inte passar dem, alternativt att den behöver anpassas.[137]

3.3 Separata it-organisationer och egna it-lösningar försvårar ett sammanhållet informationssäkerhetsarbete

Granskningen visar att det finns utmaningar för lärosätena att hitta en bra balans mellan ett generellt it-tjänsteutbud och behovsanpassade lösningar för få eller enskilda forskare. Enskilda institutioner och forskare har många gånger egna it‑lösningar, vilket gör det svårare för lärosätena att ha överblick över vilka forskningsdata som hanteras på lärosätet. Det kan i sin tur kan leda till att skyddsvärda forskningsdata inte får ett ändamålsenligt skydd.

3.3.1 Det är vanligt att institutioner och forskare har egna it‑lösningar

På alla tre exempellärosäten har det framkommit att det är förhållandevis vanligt att forskare och institutioner har egna lösningar för till exempel datalagring och it‑säkerhet, som inte är del av lärosätets gemensamma it-infrastruktur. Det kan till exempel gälla hur data lagras, vilken utrustning som köps in och integreras i lärosätets befintliga it-miljö, vilka externa it-tjänster som används och att egna institutioner sätter upp egna servrar. Både forskare och prefekter som vi intervjuat nämner att de är medvetna om de risker som följer av att skapa egna it-lösningar, exempelvis för datalagring, och att det har uppstått problem med it-säkerhet när anställda väljer egna lösningar.[138]

Det finns exempel på forskare som blir hänvisade av sitt lärosäte att hantera data hos en extern samarbetspartner (till exempel företag eller annat universitet) eftersom det egna lärosätet inte har ändamålsenliga it-lösningar eller säkerhetsåtgärder på plats. Det kan handla om forskningsprojekt som hanterar säkerhetsskyddsklassificerade uppgifter, eller känsliga personuppgifter i form av patientuppgifter.[139]

På vissa håll har lokala lösningar vuxit fram organiskt i decentraliserade organisationer där it-ansvaret och tillhörande it-stöd ligger eller har legat på institutionen. I andra fall har speciallösningar skapats av forskare själva till följd av ett missnöje med befintliga lösningar på central lärosätesnivå. Det finns även exempel på lösningar som har vuxit fram underifrån för att senare bli universitetsövergripande. I vissa fall kan de centrala lösningarna även upplevas som för komplicerade eller kostsamma, och därför väljas bort.[140]

Separata it-organisationer och egna it-lösningar är en konsekvens av att många lärosäten – och särskilt de äldre och större – har en tradition av decentralisering. Det är också en konsekvens av att lärosätena inte har prioriterat informationssäkerhet och datahantering, och därmed inte har tillgodosett forskningsverksamhetens diversifierade behov.

3.3.2 It-förvaltningar på fakultets- och institutionsnivå gör det svårare för funktioner på central lärosätesnivå att identifiera forskares gemensamma behov

Forskare i vår granskning använder alltså ofta både lärosätesövergripande och fakultets- och institutionsgemensamma it-system. De kan samtidigt ha egna it‑lösningar, till exempel för att lagra forskningsdata, som inte it-förvaltningarna på olika nivåer känner till. Som en följd blir det svårare för lärosätena att veta vilka data som hanteras i de separata systemen och vilka gemensamma behov som finns av it-tjänster. För att kunna dimensionera säkerhetsåtgärder på ett ändamålsenligt sätt behöver it-organisationerna på lärosätet ha kunskap om vilka forskningsdata som har skyddsvärden, samt vilka behov forskare har i relation till dessa data. Riksrevisionen konstaterar att separata it-system försvårar detta.

Central förvaltning och it-förvaltning uppger att det ofta är önskvärt att så många anställda som möjligt använder samma it-tjänster.[141] Det är kostnadseffektivt och skapar bättre förutsättningar för ett sammanhållet säkerhetsarbete. Genom grundläggande ”it-hygien” i form av exempelvis uppdaterad mjukvara och begränsade administratörsrättigheter, går det att uppnå ett visst mått av säkerhet i den it-miljö som lärosätet använder. Men lärosätens möjlighet till sammanhållen teknisk säkerhet begränsas när separata it-system upprättas. Några av de större lärosätena lyfter lärosätenas storlek, decentraliserade organisationer och it‑förvaltningar som de största utmaningarna för att kunna bedriva ett systematiskt informationssäkerhetsarbete.[142] Samtidigt uppfattas inte decentralisering nödvändigtvis som ett problem i sig, utan kan även underlätta mer behovsanpassade lösningar vid institutioner för att hantera skyddsvärda data säkert.[143] Detta behov blir större om man vid lärosätets gemensamma it-avdelning inte tydligt förankrar de system och tjänster som erbjuds hos användarna. Vid KTH, exempelvis, finns vissa institutioner som har egna it-ansvariga direkt underställda prefekten trots att it-driften ska vara på central lärosätesnivå.[144]

3.4 Lärosätenas riskbedömningar inkluderar sällan informationssäkerhet för forskningsdata

Eftersom många forskare inte klassar sina forskningsdata saknas det tillräckliga underlag för riskbedömningar på institutioner och lärosätesnivå. Informationssäkerhet specifikt rörande forskningsdata inkluderas sällan i riskanalyserna på central lärosätesnivå även om informationssäkerhet tas upp. Dessutom rapporterar lärosätena få it-incidenter. Det kan leda till att lärosätena inte åtgärdar säkerhetsbrister och därmed inte heller inför ändamålsenliga säkerhetsåtgärder.

3.4.1 Lärosätena gör riskanalyser på central nivå men informationssäkerhet kopplat till forskningsdata ingår inte alltid

Riskanalyserna på central lärosätesnivå inkluderar inte alltid informationssäkerhet. Det är en brist som även uppmärksammades av Riksrevisionen 2009 och 2010. I Riksrevisionens enkät uppger 14 lärosäten (58 procent) att de årligen genomför och dokumenterar riskbedömning kopplat till informationssäkerhet på lärosätesövergripande nivå (se figur 3). Som framgår av figuren är det ovanligt att sådana riskbedömningar görs på fakulteter och institutioner. Vart fjärde lärosäte uppger att det inte görs några organisatoriska riskbedömningar inom informationssäkerhet vid vare sig institutioner, fakulteter eller på lärosätesövergripande nivå.[145]

Figur 3 Riskbedömning inom informationssäkerhet
Fråga: På vilka organisatoriska nivåer genomförs och dokumenteras en riskbedömning inom informationssäkerhet minst en gång per år?

Stapeldiagram som redovisar svar på fråga i Riksrevisionens enkät. Se bilaga 4 fråga 18 för en tabell med svarsalternativ och antal svar.

Källa: Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
Anm.: Andel som angett respektive nivå, flera nivåer kan anges, antal lärosäten inom parentes.

Knappt hälften av de 24 lärosätena uppger i Riksrevisionens enkät att forskningsdata ingår i riskbedömningen inom informationssäkerhet på någon av nivåerna. Det är ett riskområde som på vissa håll saknas helt och hållet, och som i de flesta fall inte beaktas tillräckligt.[146]

Vid de tre exempellärosätena finns informationssäkerhet med i de lärosätesövergripande riskanalyserna och hanteringen av forskningsdata tas upp i viss mån.[147]

Ordningen i riskarbetet är i regel att den centrala lärosätesnivån försöker samla upp risker organisatoriskt genom fakulteter och institutioner. Denna process är särskilt beroende av hur väl prefekterna (eller annan ansvarig på institutionsnivå) samlar upp riskerna från sina medarbetare på institutionen. Vid de tre exempellärosätena är det vanligt att prefekter ombeds bidra till fakultetens gemensamma övergripande riskanalys, men informationssäkerhet lyfts inte alltid i de analyserna.[148] Vid LU genomförde Chief Information Security Officer år 2022 organisatoriska riskworkshoppar med fakulteterna på universitetet, med ambitionen att i framtiden även genomföra motsvarande på institutionsnivå.[149] De flesta prefekter vi intervjuat på KTH uppger att de får komma med inspel till den skolgemensamma riskanalysen.[150] Vid BTH uppger vissa prefekter att det görs riskanalyser på institutionsnivå, medan andra säger att det inte görs.[151]

3.4.2 Många risker som löpande identifieras inom olika delar av lärosätena fångas inte upp i det systematiska riskarbetet

Få institutioner på de tre exempellärosätena har en systematisk och formaliserad intern process för att identifiera, analysera och värdera risker som dokumenteras. I intervjuer framkommer att de riskprocesser som är mer formaliserade i första hand rör andra frågor än informationssäkerhet och forskningsdata. Det kan exempelvis handla om kompetensförsörjning, studentrekrytering, forskningsfinansiering, personalsäkerhet, fysiskt skydd, skalskydd, arbetsmiljö, kemikaliehantering och skaderisk i experimentella miljöer. Detta återspeglas också i Riksrevisionens enkät.[152]

Flera lärosäten beskriver i enkäten hur forskare löpande gör riskbedömningar rörande forskningsdata som inte dokumenteras i en samlad organisatorisk riskanalys. Riskbedömningar görs till exempel när datahanteringsplaner och forskningsavtal upprättas samt vid personuppgiftsbehandling. Liknande utsagor om löpande riskbedömningar i det dagliga arbetet framkommer i intervjuer med forskande och administrativ personal på lärosätena.[153] Exempelvis väcks frågeställningar om datalagring och lokalsäkerhet när ett forskningsprojekt inleds. Forskare refererar också till att man löpande gör ”mjukare bedömningar” rörande risk, att man har ett riskminimerande beteende i allmänhet samt att risk är något som det förs diskussioner om men som inte dokumenteras.[154]

3.4.3 Lärosätena rapporterar få informationssäkerhetsincidenter

De flesta lärosäten har system och rutiner för att rapportera informationssäkerhetsincidenter, men det finns skäl att tro att mörkertalet för incidenter är stort. Det är också otydligt vad som skiljer en it-incident från en informationssäkerhetsincident.[155] Det kan bero på att det historiskt varit fokus på it‑incidenter. Incidentrapportering är viktig eftersom den utgör underlag för framtida säkerhetsåtgärder. När incidenter inte rapporteras kan det innebära att säkerhetsbrister inte åtgärdas.

Rapporteringsplikt för it-incidenter framgår både i MSB:s föreskrifter och i säkerhetsskyddsförordningen (2021:955). Det finns däremot inget krav på att rapportera informationssäkerhetsincidenter i MSB:s föreskrifter. I säkerhetsskyddsförordningen (2021:955) finns dock en anmälningsplikt bland annat om det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts.[156]

I MSB:s självskattningsverktyg Infosäkkollen 2021 rapporterade 10 lärosäten och forskningsinstitut att de upptäckt mellan 2 och 664 informationssäkerhetsincidenter de senaste två åren. De flesta rapporterade knappt 10 incidenter.[157] Att så få rapporterat informationssäkerhetsincidenter och den stora variationen tyder på stora skillnader i hur lärosätena tolkar vad som ska rapporteras.

Riksrevisionens intervjuer vid de tre exempellärosätena bekräftar bilden av att det finns brister i kännedomen om vad en informationssäkerhetsincident är, vilka incidenter som ska rapporteras och hur de ska rapporteras. Dessutom saknas ändamålsenliga system för att rapportera informationssäkerhetsincidenter. Vid BTH och LU finns system för att rapportera it-incidenter och vid KTH görs rapporteringen via pdf-mallar.[158]

Av Riksrevisionens enkät framgår att 18 av 24 lärosäten, det vill säga 75 procent, har ett centralt incidentrapporteringssystem som inkluderar alla typer av incidenter. De allra flesta lärosäten har också rutiner för hur informationssäkerhetsincidenter ska hanteras och dokumenteras, samt rapporteras. Något färre har rutiner för hur de ska identifieras och bedömas samt följas upp (14 respektive 15 av 24).[159]

  • [94] Intervju med företrädare för Säkerhetspolisen, 2023-03-24.
  • [95] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [96] Intervju KTH7.
  • [97] T.ex. CASE på KTH, intervju KTH4.
  • [98] Intervjuer KTH12; LU7.
  • [99] Intervjuer BTH3; BTH9; BTH10; KTH2; KTH4; LU7; LU15; LU25; Blekinge tekniska högskola, Riktlinjer för informationssäkerhet vid Blekinge Tekniska Högskola, version 1.0, 2012-06-19; KTH, Anvisning Informationsklassificering för KTH, gäller från och med 2015-01-01; Lunds universitet, Riktlinjer för informationssäkerhet vid Lunds universitet, 2017-06-22. Den beslutade modellen vid LU implementerades aldrig och var i vissa delar föråldrad i förhållande till MSB:s föreskriftskrav. Det pågår därför ett arbete med att ersätta modellen uppger CISO vid Lunds universitet i mejlsvar, 2023-09-13.
  • [100] Lunds universitet, Internrevisionen, Granskning av cyber- och informationssäkerhet, 2019-12-13; Lunds universitet, Internrevisionen, Granskning av fysisk säkerhet i IT-utrymmen, 2022-12-20; KTH, Granskning av KTH:s ledningssystem för informationssäkerhet, Revisionsrapport 1/2020, 2020-10-01.
  • [101] 15 lärosäten inkom med svar på Infosäkkollen 2021.
  • [102] Se ordlista.
  • [103] Se ordlista.
  • [104] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1. En stor del av lärosätena uppger att de arbetar med att ta fram interna rutinbeskrivningar och metodstöd eller reviderar informationsklassningsmodeller. En tredjedel av lärosätena uppger att informationsklassning prioriterats de senaste två åren. Bara 1 av 24 lärosäten lyfter informationsklassning som något som fungerar bra vid en öppen fråga om vad i lärosätets informationssäkerhetsarbete som fungerar bra.
  • [105] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 2.
  • [106] Intervjuer BTH6; BTH8; KTH11; KTH9; KTH10; KTH13; LU17.
  • [107] Intervjuer BTH5; BTH6; BTH8; KTH13; KTH15; LU16; LU17.
  • [108] Intervjuer BTH8; KTH2; KTH3; KTH6; KTH13.
  • [109] Intervjuer BTH3; BTH11; BTH13; KTH6; KTH9; KTH10; KTH16; KTH18; KTH20; LU28; LU29.
  • [110] Intervjuer KTH9; LU21. Innovationsrådgivare vid ett lärosäte beskriver att det ofta är ett verktyg eller metod som använts för att komma fram till resultat som forskare vill ta patent på, snarare än resultatet som sådant. Intervju med företrädare för innovationskontoret Fyrklövern, 2022-09-21.
  • [111] Intervjuer KTH10; KTH13; LU21.
  • [112] Intervjuer BTH8; BTH11; BTH13; BTH14; KTH4; KTH9; KTH14; KTH17; LU17; intervju med företrädare för SBAB, 2022-11-02; intervju med företrädare för Jernkontoret, 2022-11-05; intervju med företrädare för RISE Research Institutes of Sweden, 2022-11-25.
  • [113] Intervjuer BTH3; BTH13; KTH2; KTH4; KTH6; KTH9; KTH13; KTH20. En befattning placeras i säkerhetsklass utifrån tillgång till säkerhetsskyddsklassificerade uppgifter eller den skada den kan åsamka den säkerhetskänsliga verksamheten. En anställning i staten, en kommun eller en region som är placerad i säkerhetsklass 1 eller 2 får endast innehas av den som är svensk medborgare, se 3 kap. 5–9, 11 §§ säkerhetsskyddslagen (2018:585). Säkerhetsprövning kan också genomföras utan inplacering i säkerhetsklass, se mejl från företrädare för Länsstyrelsen Stockholm med synpunkter på rapportutkast från Riksrevisionen, 2023-10-25.
  • [114] Intervjuer BTH8; BTH13; KTH10; KTH18; KTH17; LU27.
  • [115] Intervjuer KTH4; KTH12; KTH14; KTH15.
  • [116] KTH, ”Avtalshantering”, hämtad 2023-09-05.
  • [117] Intervju KTH4.
  • [118] Intervjuer BTH1; BTH2.
  • [119] Intervju LU10.
  • [120] Intervjuer KTH8; LU10. Den avtalsdatabas som sattes upp vid KTH 2019, CASE, har underlättat överblicken och att identifiera avtalen, eftersom alla avtal inte diarieförs i lärosätets ärendehanteringssystem, intervju KTH8.
  • [121] Bl.a. Vetenskapsrådet (sedan 2019), Forskningsrådet för miljö, areella näringar och samhällsbyggnad (Formas) och EU:s forskningsprogram Horisont 2020 (från 2017).
  • [122] Vetenskapsrådet, ”Datahanteringsplaner”, hämtad 2023-05-24.
  • [123] I planen kan det finnas kontrollfrågor om immateriella rättigheter, känsliga personuppgifter och diverse etiska och juridiska frågeställningar. I Vetenskapsrådets mall finns två rubriker som rör säker hantering av data, nämligen Lagring och säkerhetskopiering samt Rättsliga och etiska aspekter. En vägledning utvecklar frågorna i mallen, se Vetenskapsrådet, 2022; Vetenskapsrådet, ”Mall för datahanteringsplaner”, hämtad 2023-04-25. I den mall som tillhandahålls av Svensk nationell datatjänst (SND) lyfts konfidentiell information som en aspekt, exemplifierat med persondata och säkerhetsklassade data. (Riksrevisionen noterar att säkerhetsklassad data bör avse säkerhetsskyddsklassificerade data.) SND har en mer utvecklad vägledning i form av en checklista som under rubriken Skydda forskningsdata specifikt nämner informationssäkerhet och informationsklassning, se vidare Svensk nationell datatjänst, Checklista för Datahanteringsplan, 2021-01-26.
  • [124] Vetenskapsrådet, ”Ta fram en datahanteringsplan”, hämtad 2023-04-25. I de generella bidragsvillkoren ska medelsförvaltare intyga att en datahanteringsplan kommer att finnas på plats när forskningsprojektet påbörjas och att planen underhålls. Vetenskapsrådet beskriver i en intervju 2023-05-24 att en av anledningarna till att planerna inte begärs in är att de då skulle behöva bedömas som en del av ansökan. Det kräver särskild kompetens som inte finns i nuläget.
  • [125] Intervju LU10.
  • [126] Mejl från företrädare för KTH, 2023-09-13; intervjuer LU8; LU12.
  • [127] Uppsala universitet, ”Datahanteringsplan (DHP)”, hämtad 2023-09-05.
  • [128] Intervju LU16. Vid Karolinska institutet följs datahanteringsplaner upp inom lärosätet. När forskaren fyllt i en plan går den till Forskningsdatastöd som ger feedback och sedan meddelar ansvarig prefekt att planen är på plats. Karolinska institutet, ”Datahanteringsplaner”, hämtad 2023-09-17.
  • [129] Intervjuer BTH7; KTH2; LU8; LU11; LU12; LU24.
  • [130] Intervju KTH2.
  • [131] Intervjuer KTH16; KTH17; LU18; LU22; LU21. I EU:s forskningsprogram kan man ansöka om ekonomiskt stöd för kostnader i samband med att hantera forskningsdata.
  • [132] European Commission, Horizon Europe (HORIZON) Programme Guide, Version 3.0, 1 April 2023, s. 46–48.
  • [133] Intervju med företrädare för Vetenskapsrådet, 2023-05-24.
  • [134] SUHF, Reviderad rekommendation för datahanteringsplan, REK 2018:1 REV, 2019-06-26.
  • [135] SUHF, Vägledning med åtgärdsförslag för implementering av färdplan för öppen vetenskap. Sammanställning enkät 2023, SUHF.
  • [136] Mejl från företrädare för Sunet, 2023-11-15. Tjänsten är baserad på datahanteringsverktyget DMPonline från Digital Curation Centre (DCC) vid University of Edinburgh, se Sunet, ”Datahanteringsplan”, hämtad 2023-11-15.
  • [137] Intervju med företrädare för SUHF:s forskningsdatagrupp, 2022-08-23; LU8.
  • [138] Intervjuer BTH8; BTH11; BTH13; BTH14; KTH1; KTH5; KTH10; KTH15; KTH18; LU9; LU13; LU16; LU17; LU18; LU20; LU21; LU22; LU29.
  • [139] Intervjuer LU3; KTH9; KTH17.
  • [140] Intervjuer BTH12; KTH17; KTH18; LU2; LU13; LU16; LU17; LU18; LU21.
  • [141] Intervjuer KTH5; LU13; LU14; LU27.
  • [142] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [143] Intervju LU15.
  • [144] Intervju KTH13.
  • [145] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [146] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [147] Blekinge tekniska högskola, Riskhantering vid BTH, verksamhetsanalys och riskkostnadsberäkning avseende 2021/2022; KTH, KTH:s risker 2022, riskanalys 2021, 2022-01-17; KTH, KTH:s riskanalys 2022 – intern styrning och kontroll, 2023-01-18; Lunds universitet, Riskarbetet 2022.
  • [148] Intervjuer BTH5; BTH8; KTH9; KTH10; KTH11; KTH13; KTH14; KTH15.
  • [149] Intervju LU1.
  • [150] Intervjuer KTH9; KTH10; KTH11; KTH13; KTH14; KTH15.
  • [151] Intervjuer BTH5; BTH8.
  • [152] Intervjuer BTH5; KTH10; KTH11; KTH14; LU16; LU17; LU26. Vissa lärosäten arbetar dessutom inte med riskanalyser inom informationssäkerhet utifrån organisatoriska enheter, som institutioner, utan istället utifrån t.ex. förvaltningsobjekt, såsom informationssystem; Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [153] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1; intervjuer BTH8; KTH4; KTH10; LU3; LU20.
  • [154] Intervjuer BTH12; BTH13; KTH4; KTH10; KTH17; LU19.
  • [155] It-incidenter utgör dock rimligen den absolut största delen av inträffade informationssäkerhetsincidenter eftersom den mesta informationen hanteras i it-system.
  • [156] MSB:s föreskrifter om rapportering av it-incidenter för statliga myndigheter (MSBFS 2020:8); 2 kap. 4 § säkerhetsskyddsförordningen (2021:955). År 2022 rapporterades 330 it-incidenter till MSB, varav 231 rapporterades av myndigheter. Totalt 69 myndigheter rapporterade minst en incident vardera, se MSB, 2022a, s. 16.
  • [157] Genomgång av underlag till MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, Resultatredovisning Infosäkkollen 2021, 2022b, 2022-08-26.
  • [158] Intervjuer BTH1; BTH8; BTH13; KTH1; LU2.
  • [159] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.

Uppdaterad: 05 december 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?