Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

4. Lärosätenas utformning av informationssäkerhetsarbetet

I det här kapitlet besvarar vi frågan om huruvida universitet och högskolor har utformat informationssäkerhetsarbetet på ett effektivt sätt för att hantera skyddsvärda forskningsdata. Nedan sammanfattar vi våra huvudsakliga iakttagelser.

Avsnitt

4.1 Riksrevisionens huvudsakliga iakttagelser

  • Flera lärosäten håller på att bygga upp eller revidera sina ledningssystem för informationssäkerhet. Policydokument och riktlinjer finns på plats, men de är inte alltid aktuella. Många lärosäten anger resursbrist och flera har vakanser i organisationen som ska arbeta med informationssäkerhet.
  • Roll- och ansvarsfördelning för informationssäkerhetsarbetet är ofta otydlig, vilket försvårar arbetet. Den funktion som är ansvarig för att samordna informationssäkerhetsarbetet är placerad på it-avdelningen på nästan hälften av de 24 lärosätena i granskningen. Det kan försvåra den strategiska och kravställande som rollen behöver ha. Informationssäkerhetsansvariga rapporterar inte heller alltid till rektor eller styrelse.
  • Medarbetarnas kompetens inom informationssäkerhet varierar stort, men är överlag inte tillräcklig. Det finns begränsad kunskap om vilken typ av forskningsdata som kan vara skyddsvärd och vilka regelverk som reglerar hanteringen. Få medarbetare har gått de utbildningar som erbjuds i informationssäkerhet. Det är otydligt för lärosätena vad som ska ingå i den bakgrundskontroll som enligt MSB:s föreskrifter ska göras av personal som en av flera åtgärder för att säkerställa att information behandlas på ett säkert sätt.
  • Lärosätena erbjuder stöd för korrekt hantering av forskningsdata, men det utnyttjas inte i så hög utsträckning av forskare. Viktiga stödfunktioner är inte tillräckligt samordnade och når inte alltid ut till de forskare som behöver stöd. Vidare saknas stöd för att hantera forskningsdatas hela livscykel eftersom det finns brister i såväl riktlinjer som det tekniska stöd som lärosätena kan erbjuda forskare för lagring och långsiktigt bevarande av forskningsdata.

4.2 Styrningen av informationssäkerhetsarbetet har brister

Granskningen visar att många lärosäten håller på att bygga upp en organisation, eller revidera befintlig, för att styra informationssäkerhetsarbetet. Centrala styrdokument är inte alltid uppdaterade. Flera lärosäten uppger att de har svårt att rekrytera personal med kompetens inom informationssäkerhetsområdet.

4.2.1 Flera lärosäten har varit senfärdiga i implementeringen av ett ledningssystem för informationssäkerhet

Trots att det funnits föreskriftskrav sedan 2008 finns det lärosäten som anger att de håller på att bygga upp eller införa nya ledningssystem för informationssäkerhet, vad gäller både dokumentation och organisation.[160]

Redan 2003 kritiserade internrevisionen institutionerna vid Lunds universitet (LU) för bristande informationssäkerhet. Internrevisionen kopplade många av de konstaterade bristerna till lärosätets decentraliserade organisation och kraven på öppenhet. Som svar angav LU bland annat att man skulle inleda ett arbete med att ta fram ett ledningssystem för informationssäkerhet.[161] I Riksrevisionens granskning 2010 framkom fortsatta brister och LU påbörjade då en universitetsövergripande process med att återigen upprätta ett ledningssystem för informationssäkerhet.[162] I internrevisionens granskning 2014 av styrning av informationssäkerhet var slutsatsen bland annat att det fanns behov av ytterligare riktlinjer och att gällande styrdokument inte tillämpades fullt ut på fakultets- och institutionsnivå.[163] 2017 fattade rektor beslut om reviderade riktlinjer för informationssäkerhet.[164] 2019 påbörjades arbetet på nytt med att bygga upp ett heltäckande ledningssystem för informationssäkerhet.[165] I en uppföljning samma år konstaterades att flertalet av internrevisionens rekommendationer genomförts.[166] I mars 2022 fastställde rektor ett ledningssystem för informationssäkerhet.[167]

Även vid Kungl. Tekniska högskolan (KTH) har internrevisionen återkommande fört fram brister i lärosätets informationssäkerhetsarbete. 2014 rekommenderade internrevisionen KTH att implementera ett ledningssystem för informationssäkerhet.[168] 2020 konstaterade internrevisionen att KTH:s ledningssystem för informationssäkerhet i flera avseenden inte uppfyllde kraven trots ett arbete som pågått under ett antal år. Vid KTH integrerades it- och informationssäkerhetsarbetet på den centrala it-avdelningen 2017 och en ny roll som chef för it- och informationssäkerhet inrättades.[169] I april 2023 rekryterade KTH en säkerhetschef som fått i uppdrag att bygga upp en helt ny säkerhetsorganisation på lärosätet. Bland annat rekryteras en informationssäkerhetsspecialist under hösten 2023.[170]

Riksrevisionens granskning av informationssäkerhet vid Blekinge tekniska högskola (BTH) 2009 visade att väsentliga riktlinjer som bör finnas i ett ledningssystem för informationssäkerhet saknades, bland annat riktlinjer för informationsklassning, riskanalys och incidenthantering.[171] I sitt svar till Riksrevisionen meddelade rektor att högskoldirektören fått i uppdrag att bland annat utveckla befintliga policyer och riktlinjer till en säkerhetspolicy.[172] Informationssäkerhetspolicyn upprättades 2010 och har inte reviderats sedan dess, men arbete pågick under våren 2023 med att uppdatera den, bland annat gällande begrepp.[173]

4.2.2 Styrdokument inom informationssäkerhet är inte alltid uppdaterade

Samtliga 24 lärosäten i vår granskning har en informationssäkerhetspolicy eller motsvarande, men de uppdateras i olika omfattning: ibland sällan och i vissa fall inte alls. Hälften av policyerna upprättades 2018 eller senare och de flesta lärosäten anger att de reviderades 2021 eller 2022. 2 lärosäten upprättade sin policy 2010 respektive 2014 utan att ha reviderat dem sedan dess. I några fall är centrala dokument för informationssäkerhet fortfarande under framtagande.[174] I knappt hälften av informationssäkerhetspolicyerna anges rektor som ytterst ansvarig.[175] När styrdokument som informationssäkerhetspolicyer är inaktuella riskerar de att tappa i relevans och därmed inte fungera styrande som avsett. Dessutom riskerar kunskapen om dem i organisationerna att vara låg.

Andra styrdokument utöver informationssäkerhetspolicyer som förekommer är regler för bevarande och gallring av forskningshandlingar, delegationsordningar, riktlinjer för olika administrativa processer, juridiska riktlinjer för forskningssamarbeten, säkerhetspolicyer, avtal rörande internationalisering och styrdokument för gallring, se figur 4.[176] Riksrevisionen konstaterar att mängden styrdokument av relevans för informationssäkerhet och forskningsdatahantering kan göra det svårare för medarbetare att hitta rätt information för den praktiska hanteringen av forskningsdata.

Figur 4 Upprättade styrdokument inom informationssäkerhet och forskningsdatahantering vid de 24 lärosätena

Stapeldiagram som redovisar svar på fråga i Riksrevisionens enkät. Se bilaga 4 fråga 7 för en tabell med svarsalternativ och antal svar.

Källa: Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
Anm.: Andel som upprättat respektive styrdokument, antal lärosäten inom parentes.

4.2.3 Informationssäkerhetsarbetet konkurrerar med andra mål i forskningsverksamheten

Granskningen visar att det inte alltid är tydligt för lärosätena hur frågan om informationssäkerhet för forskningsdata ska hanteras i relation till andra mål, som exempelvis internationalisering och öppen vetenskap. Flera lärosäten menar att regelverk står i konflikt med varandra och att det kan vara svårt att prioritera.[177] Det finns en uppfattning att informationssäkerhet och skydd av forskningsdata handlar om kostsamt administrativt extraarbete, som därmed får lägre prioritet i konkurrens med andra frågor. Uppfattningen finns också att det övergripande målet är att tillgängliggöra data och att utmaningen snarare handlar om externa samarbetspartners önskemål om att hålla information konfidentiell.[178] I Vetenskapsrådets årliga kartläggning av arbetet med öppen tillgång till forskningsdata framkommer att det finns en osäkerhet bland forskare hur man ska hantera frågor om integritet, etik, säkerhet och GDPR, stora datamängder och kvalitativa data.[179]

Vidare menar många lärosäten att det är svårt att följa MSB:s föreskrifter eftersom verksamheten skiljer sig från den vid många andra myndigheter, bland annat i fråga om stora och diversifierade datamängder med krav på öppenhet och tillgängliggörande.[180] Enligt MSB har lärosätena många gånger utvecklat system på ad hoc-basis utan att ha föreskrifterna i åtanke, trots att de funnits sedan 15 år. Det har fått till följd att det på många håll krävs ett stort omtag vad gäller exempelvis it‑lösningar vid lärosätena för att leva upp till föreskriftskraven.[181]

4.2.4 Många lärosäten anger resursbrist för informationssäkerhetsarbetet

Granskningen visar att lärosätena generellt anser att de saknar resurser för att bedriva ett tillräckligt bra informationssäkerhetsarbete. Flera lärosäten anger att de har pågående rekryteringar inom området.

60 procent av lärosätena kan inte ange hur mycket personalresurser eller finansiella resurser som budgeterades 2023 för informationssäkerhet på central lärosätesnivå.[182] Av de 11 som svarat anges belopp mellan 1,6 och 8,9 miljoner kronor. I enkätsvaren framträder ingen tydlig relation mellan resurser och storlek på lärosäte. Två mindre högskolor anger det högsta respektive lägsta beloppet. Ett universitet pekar på svårigheten att ange ett belopp eftersom man har som ambition att integrera informationssäkerhetsarbetet i övrig verksamhet. Exempelvis inkluderar inte lärosätet kostnaderna för representanter i arbetsgruppen för dataskydd och forskningskoordinatorer i it- och datahantering, även om deras arbete till stor del relaterar till informationssäkerhet. Flera lärosäten anger att de kommer tillsätta resurser framöver för bland annat utveckling av ledningssystem för informationssäkerhet.[183]

Sex lärosäten nämner specifikt att de har vakanser inom informationssäkerhetsområdet. Flera lärosäten uppger att de har svårt att rekrytera och behålla medarbetare med rätt kompetens inom informationssäkerhetsområdet. Några anledningar som uppges är brist på tillräckligt kompetenta sökande och att de inte kan konkurrera lönemässigt med den privata sektorn.[184] I intervjuer framkommer att LU har haft svårt att anlita informationssäkerhetskonsulter. Medarbetare med centrala roller har också avslutat sina tjänster efter kort tid.[185] Vid KTH har det nyligen anställts en säkerhetschef efter att tjänsten varit vakant en längre period.[186] Vid BTH är vissa roller som är centrala för informationssäkerhetsarbetet deltidstjänster.[187]

4.3 Roll- och ansvarsfördelning för informationssäkerhetsarbetet är ofta otydlig

Riksrevisionens granskning visar att det råder oklarheter i forskningsverksamheterna om vem som är ansvarig för informationssäkerheten. Det kan vara en särskild utmaning när ansvaret finns inom såväl förvaltning och verksamhetsstöd som i den akademiska organisationen. Funktionen som ansvarar för att driva och samordna arbetet med informationssäkerhet är ofta placerad på it‑avdelningen, vilket kan försvåra möjligheten att arbeta strategiskt eftersom det ingår i rollen att vara granskande och kravställande. Dessutom rapporterar informationssäkerhetsansvariga inte heller alltid regelbundet till rektor eller styrelse.

4.3.1 Informationssäkerhetschef rapporterar inte alltid till rektor eller styrelse

Granskningen visar att det varierar vem informationssäkerhetschef/motsvarande[188] rapporterar till. 10 lärosäten uppger att de har en formaliserad återkommande rapportering mellan informationssäkerhetschef och rektor eller styrelse. 4 lärosäten anger att ingen reglerad rapportering från informationssäkerhetschef sker över huvud taget.[189]

Att ledningen håller sig informerad om informationssäkerhetsarbetet är en förutsättning för att den ska kunna fatta informerade beslut. I regeringens beslut om att se över sammansättningen av lärosätenas styrelser framhålls att säkerhetspolitisk kompetens behöver finnas i styrelsen.[190] Riksrevisionen gör ingen bedömning av ändamålsenligheten i regeringens beslut. Vi konstaterar dock att det är avgörande för ett framgångsrikt säkerhetsarbete att erforderlig kompetens och expertis finns i den operativa verksamheten och att kommunikation och samarbete mellan ledningen och säkerhetsansvariga är god.

Enligt MSB behöver informationssäkerhetschefens strategiska funktion vara åtskild från organisationens interna it‑produktion eftersom rollen ska vara kravställande och granskande gentemot denna.[191] Av vår enkät framgår att knappt hälften av informationssäkerhetscheferna har sin placering på it-avdelningen. Andra organisatoriska placeringar är rektors kansli, förvaltningschefs stab/motsvarande, säkerhetsavdelningen, enheten för digital utveckling och styrning och avdelningen för infrastruktur. Vid 4 lärosäten innehas rollerna informationssäkerhetschef och it-säkerhetschef av samma person.[192]

Organisationen vid de tre exempellärosätena visar på variationen i informationssäkerhetschefens ansvar och placering. KTH har en it-säkerhetschef som också ansvarar för att samordna informationssäkerhetsarbetet, med en lång bakgrund vid lärosätets it-avdelning.[193] Vid LU innehas befattningen Chief Information Security Officer sedan 2019 av en externrekryterad person med bakgrund i näringslivet. Funktionen är placerad vid rektors stab.[194] Vid BTH är informationssäkerhetsansvarig placerad under högskoledirektören. Rollen är ett deltidsuppdrag på 40 procent vid sidan av ordinarie tjänst som ekonom. Uppdraget gavs muntligt 2018.[195]

I den rådgivningstjänst som MSB tillhandahåller sedan 2022 kommer det in frågor från lärosäten bland annat om kategorisering av informationstyper och tekniska säkerhetsåtgärder. Utöver det anger MSB att återkommande frågor från lärosätena handlar om att informationssäkerhetschef/motsvarande önskar stöd för att komma vidare i sitt arbete. Informationssäkerhetschefer vid lärosätena upplever enligt MSB att det är svårt att nå fram till ledningen och få förståelse för informationssäkerhetsarbetet. Det förekommer också att it-chefer kontaktar MSB direkt för stöd att tolka föreskrifter utan att först ha kontaktat informationssäkerhetsansvarig på lärosätet.[196]

Inom det statliga nätverket för informationssäkerhet (Snits) har det förekommit diskussioner om huruvida lärosätena ska utgöra en egen grupp. MSB uppger att de som deltar i nätverket för lärosätenas räkning snarare arbetar med it-drift än har en informationssäkerhetsfunktion. Det påverkar vilken möjlighet de har att ta sig an rollen som strategisk och samordnande funktion.[197]

4.3.2 Det finns olika uppfattningar om vem som är ansvarig för informationssäkerheten på institutionerna

Granskningen visar att prefekter ser olika på sitt ansvar och att det förekommer olika uppfattningar om vem som är formellt ansvarig för informationssäkerheten på institutionerna. Det kan försvåra implementeringen av ett systematiskt informationssäkerhetsarbete.

Riksrevisionen konstaterar att både akademiska och administrativa högre chefer samt informationssäkerhetsmedarbetare ofta utgår från att prefekter för vidare information till institutionernas forskare om säker hantering av forskningsdata i enlighet med styrdokument.[198] Granskningen visar dock att prefekter har varierande kunskap om informationssäkerhet och ser olika på sitt uppdrag och sitt ansvar för informationssäkerhet. Flera prefekter anger att de litar på att forskarna gör rätt och att forskarna själva lyfter informationssäkerhetsfrågor till prefektnivå om och när de uppstår. Prefekter ser sig ofta som ansvariga men framhåller att ett stort ansvar även ligger på medarbetarna, och att relationen bygger på ett förtroende dem emellan.[199]

Riksrevisionen konstaterar att prefektens uppdrag som tillfälligt och ofta kollegialt tillsatt kan försvåra såväl kontinuitet som viljan att agera som en överordnad, exempelvis vid uppföljning av efterlevnaden av informationssäkerhetsarbetet. Vidare kan uppdragets tidsbegränsning medföra en avsaknad av ägarskap för frågan. Riksrevisionen konstaterar vidare att frågor om informationssäkerhet inte alltid är inkluderade i lärosätenas delegations- och arbetsordningar.[200] Dessutom kan det variera vem som anges som informationsägare; ofta anges prefekt, forskningsledare, föreståndare för forskningscentrum eller chef över ett område.[201]

Vid KTH finns inte informationsägare med som begrepp i anvisningen för informations- och it-säkerhet, men det framgår att ansvaret för informationssäkerheten ligger hos de verksamhetsansvariga, dvs. skolcheferna. Vid varje skola ska det finnas en ansvarig för informationssäkerheten.[202] På vissa skolor delegeras detta ansvar till prefekter, som i sin tur kan delegera vidare till forskargrupper. På en annan skola ser skolchefen sig själv som operativt ansvarig. Ytterligare en annan skola har inte utsett formellt ansvariga, utan ansvaret har istället informellt delegerats till prefekter och administrativa chefer.[203] Från centralt håll har skolornas administrativa chefer setts som ansvariga på respektive skola, men det är inte ett ansvar som de har tilldelats formellt.[204] Internrevisionen vid KTH konstaterade 2020 brister i KTH:s informationssäkerhetsarbete, bland annat gällande otydligheter i ledningens ansvar och att nödvändiga befogenheter inte var tilldelade för berörda roller.[205]

LU använder begreppet informationsriskägare.[206] Där är chefer ansvariga för informationssäkerheten inom det egna ansvarsområdet.[207] LU:s interna analyser har dock visat att chefer på olika fakulteter har olika uppfattning om vem som är ansvarig, men att det är vanligt att prefekten anses vara det.[208] Informationssäkerhetsansvaret nämns dock inte i lärosätesövergripande delegationsordningar eller arbetsordningar.[209]

På BTH är respektive arbetsenhetschef ansvarig för informationssäkerheten inom sin verksamhet. För institutioner innebär det prefekten.[210] Vid intervjuer framkommer att det även finns en uppfattning att det är på den enskilda forskaren som ansvaret vilar.[211] Inte heller vid BTH nämns informationssäkerhet i delegations- eller arbetsordningar.[212]

4.4 Medarbetarnas kompetens inom informations­säkerhet med fokus på forskningsdata varierar stort

Granskningen visar att graden av kompetens och kunskap om informationssäkerhet varierar stort inom lärosätena. Det finns otillräcklig kunskap om vad som kan utgöra skyddsvärda data och vilka åtgärder som behövs för att begränsa åtkomsten. De utbildningsinsatser som lärosätena genomför får inte tillräckligt genomslag bland forskarna. Det kan få till följd att skyddsvärda forskningsdata inte hanteras korrekt.

4.4.1 Det finns begränsad kunskap om vilken typ av forskningsdata som kan vara skyddsvärd

Det finns överlag en begränsad kunskap om vilken typ av forskningsdata som kan vara skyddsvärd, både bland forskare och andra anställda, liksom att åtkomsten till sådan information kan behöva begränsas från obehöriga. Enligt Säkerhetspolisen har lärosätena bristande kompetens att bedöma vad som är skyddsvärt.[213] Även vid lärosätena finns uppfattningen att det saknas tillräcklig kompetens för att göra de bedömningarna.[214]

16 av 24 lärosäten uppger i vår enkät att de har kartlagt vilka rättsliga krav och andra externa krav som påverkar hanteringen av forskningsdata.[215] Det är vanligt att forskare tänker i första hand på personuppgifter som skyddsvärda forskningsdata, men även andra aspekter vägs in vid bedömningen.[216] Det kan enligt Riksrevisionen bero på uppmärksamheten kring dataskydd och de rättsliga skärpningarna som följde av införandet av den nya dataskyddsförordningen.

Även om man som forskare kan sitt forskningsfält uppger forskare i våra intervjuer att det kan vara svårt att bedöma skyddsvärden eller möjliga framtida användningsområden för ens forskning.[217] Ytterligare en försvårande omständighet är att vissa forskningsdata har låga skyddsbehov separat, men tillsammans med annan information uppstår skyddsvärden och förhöjda skyddsbehov. Exempel på det kan vara vissa dataset som innehåller koordinater, vilket i kombination med andra databaser kan härledas till specifika markägare.[218] Det är också något som Myndigheten för digital förvaltning lyfter som en risk vid tillgängliggörande av information som öppna data.[219] Även externa förutsättningar, som till exempel hotbilder, kan förändra skyddsbehov under forskningsprojektets gång. I KTH:s och LU:s modeller för informationsklassning finns det ingen vägledning för hur forskningsdatas livscykel ska beaktas.[220]

4.4.2 Lärosätena tycker att det är svårt att bedöma vad som faller under regelverket om säkerhetsskydd

Det är verksamhetsutövarna, i det här fallet lärosätena, som själva ska utreda behovet av säkerhetsskydd om de till någon del bedriver säkerhetskänslig verksamhet.[221] I granskningen framkommer att lärosätena tycker att det kan vara en utmaning att göra den bedömningen. Granskningen visar att lärosätena gör olika bedömningar av likvärdiga verksamheter och information när det gäller säkerhetsskydd. Exempelvis har två lärosäten av liknande storlek och med samma forskningsbredd gjort olika bedömningar. Sammantaget ger våra iakttagelser en bild av att flera lärosäten inte vet om de hanterar säkerhetsskyddsklassificerade uppgifter eller inte. Riksrevisionen konstaterar att det kan leda till att sådana uppgifter eller säkerhetskänslig verksamhet i övrigt inte får tillräckligt skydd.

2 lärosäten uppger i Riksrevisionens enkät att de inte vet om de hanterar säkerhetsskyddsklassificerade uppgifter och 4 lärosäten att de inte vet om de bedriver verksamhet som i övrigt behöver ett säkerhetsskydd. 8 av 24 lärosäten uppger att de hanterar säkerhetsskyddsklassificerade uppgifter. Det är däremot 9 lärosäten som har anmält till sin tillsynsmyndighet att de bedriver verksamhet som faller under säkerhetsskyddslagen. Det är till viss del inte samma lärosäten som svarat ja i enkäten respektive anmält till sin tillsynsmyndighet.[222] Endast 4 lärosäten uppger i vår enkät att de har en beslutad säkerhetsskyddsplan, vilket är ett krav om verksamhetsutövaren i säkerhetsskyddsanalysen kommer fram till att den bedriver verksamhet som faller under säkerhetsskyddslagen.[223]

Om en verksamhet hanterar uppgifter eller bedriver verksamhet som faller under säkerhetsskyddslagen är säkerhetsskyddsåtgärder inte frivilliga. Beroende på vad som framkommer i säkerhetsskyddsanalysen kan det finnas lagkrav på säkerhetsskyddsåtgärder.[224] Säkerhetspolisen tillhandahåller vägledning i säkerhetsskydd som stöd i arbetet.[225] Enligt länsstyrelserna ses säkerhetsskydd på vissa håll som en fråga man helst inte vill vidröra vid lärosätena. Det beror dels på att det potentiellt kan försvåra ens dagliga verksamhet eftersom det kräver särskilda säkerhetsskyddsåtgärder, dels på att det kan vara känsligt i en verksamhet som vanligtvis präglas av öppenhet och internationalisering.[226] Lärosäten har även uttryckt att det behövs mer stöd för att göra bedömningar om antagonister och externa hot.[227]

Säkerhetspolisen anger att de håller föreläsningar om hot för i första hand lärosätenas säkerhetschefer, men sällan för fakultetsrepresentanter. Länsstyrelserna (Norrbotten, Skåne, Stockholm och Västra Götaland) ansvarar sedan december 2021 för tillsynen av säkerhetsskyddet, och kontakterna med lärosätena beskrivs hittills som begränsade. Några länsstyrelser beskriver att vissa lärosäten har varit svåra att få tag på. Hittills har ingen tillsyn initierats på något lärosäte.[228] Däremot kartlägger länsstyrelserna om lärosätena bedriver säkerhetskänslig verksamhet i enlighet med deras kartläggningsuppdrag som tillsynsmyndighet.[229]

4.4.3 Lärosätena har bristande kunskap om produkter med dubbla användningsområden och exportkontroll

Produkter med dubbla användningsområden (PDA) är produkter som kan användas både civilt och militärt. Vid export av PDA ut ur EU krävs alltid tillstånd. Granskningen visar på bristande rutiner för och kunskap om PDA och exportkontroll på lärosätena. Som en konsekvens läggs stort ansvar ofta på enskilda forskare och prefekter vilket ställer höga krav på att det finns tillräcklig kompetens bland berörda.

10 av 24 lärosätena uppger i sitt enkätsvar att de har en policy eller riktlinjer för exportkontroll.[230] Forskare uppger i intervjuer att det kan vara svårt att avgöra om ens forskningsdata kan komma att falla under regelverk för exportkontroll.[231] Vid KTH anger stödfunktionen för exportkontroll att fokus ligger på att hitta riskaktiviteter, exempelvis genom att vid förfrågan från forskare påtala riskerna med en viss finansiering i kombination med ett visst universitet och ämne.[232]

Myndigheten Inspektionen för strategiska produkter (ISP) inledde en särskild tillsyn mot universitet och högskolor 2018. Tillsynen beskrivs av både ISP och lärosäten som ett startskott för att arbeta mer strukturerat med frågor om PDA och exportkontroll.[233] ISP gjorde bedömningen att den svenska forskningssektorn bedriver framstående forskning inom känsliga forskningsområden som omfattas av exportkontroll, och sannolikt exporterar och överför exportkontrollerade produkter. Det innebär en reell risk för att känsliga exportkontrollerade produkter sprids för användning som går emot svensk utrikes- och säkerhetspolitik, såsom inom program for att utveckla massförstörelsevapen eller militär slutanvändning hos känsliga aktörer.[234]

ISP beskriver att okunskap och oklarheter rörande vilka produkter som är klassificerade fortfarande är utmaningar för lärosätena, liksom lärosätenas ofta decentraliserade struktur och en ovana att förhålla sig till externa regelverk som kan uppfattas inskränka den akademiska friheten. Det är också en utmaning att i ett tidigt stadium i forskningsprocessen kunna peka ut känsliga samarbeten.[235] En försvårande omständighet vid bedömning i exportkontrollärenden är dessutom att en falsk slutanvändare ibland uppges, vilket är svårt för lärosätena att kontrollera.[236]

4.4.4 Lärosätena har svårt att bedöma vad som avses med bakgrundskontroller i MSB:s föreskrifter

Granskningen visar att lärosätena tycker att det är oklart vilka bakgrundskontroller som avses i MSB:s föreskrifter, utöver vanlig referenstagning inför anställning. Oklarheter kan leda till att bakgrundskontrollerna som görs inte uppfyller sitt syfte. Olika tolkningar av samma regelverk inom och mellan lärosäten kan också leda till att åtkomsten till skyddsvärda data inte hanteras likvärdigt.

Av MSB:s föreskrifter om informationssäkerhet för statliga myndigheter framgår att bakgrundskontroller är en av flera säkerhetsåtgärder avseende behandling av information för att säkerställa att personal behandlar information på ett säkert sätt. Myndigheten ska därför ”anpassa bakgrundskontroller av egen och inhyrd personal utifrån vilken information personalen ska få åtkomst till”. Enligt allmänna råd bör bakgrundskontroller ske ”genom intervju, kontakt med referenser samt verifiering av akademiska, yrkesmässiga och övriga kvalifikationer”.[237] I bakgrundskontroller inkluderas inte den typ av säkerhetsprövning som görs inom ramen för säkerhetsskyddslagen även om det finns visst överlapp. För både säkerhetsprövning och bakgrundskontroll är syftet att den som anställer ska få en uppfattning om huruvida personen är pålitlig samt vilket behov som finns av utbildning i informationssäkerhet (eller säkerhetsskydd) för att personen i fråga ska kunna utföra sina arbetsuppgifter korrekt.[238]

Lärosätenas bakgrundskontroller tar sikte på akademiska meriter i samband med nyanställningar och rekrytering av doktorander. Det kan även ske intervjuer på initiativ av verksamheten när man bedömer att personen kan komma i kontakt med information som är skyddsvärd, uppger en intervjuad vid LU. På ledningsnivå vid LU har man börjat diskutera om de kontroller man hittills gjort kan behöva utökas, men menar att man inte har kompetensen att göra ytterligare bakgrundskontroller och efterlyser kompetens på central lärosätesnivå.[239]

4.4.5 Lärosätena efterlyser stöd vid riskbedömningar i internationella samarbeten

Både forskningsledare och prefekter i vår granskning påtalar behov av tydlig vägledning från såväl lärosätet som regering och ansvariga myndigheter när det gäller vissa internationella samarbeten.[240] Frågan har blivit högaktuell i och med de senaste årens säkerhetspolitiska utveckling.

BTH, KTH och LU har en hög grad av internationalisering i sina verksamheter.[241] Ett exempel på när mer stöd efterfrågas är det kinesiska stipendieprogrammet China Scholarship Council (CSC), som var aktuellt under tiden för våra intervjuer. Lärosätena som tog emot doktorander från CSC-programmet gjorde olika bedömningar av huruvida de skulle fortsätta, säga upp eller pausa samarbetet efter medias avslöjande om etiska tveksamheter i programmet i januari 2023.[242] I Sveriges Kinastrategi lyfts utmaningarna i forsknings- och utbildningssamarbete rörande etik, akademisk frihet, immaterialrättsskydd samt kopplingar till den militära sektorn i Kina. Samtidigt framgår att ansvaret att hantera utmaningarna ligger på lärosätena och det forskningsintensiva näringslivet.[243]

Vi har i granskningen iakttagit exempel på att lärosäten själva tar initiativ till riktlinjer och checklistor som stöd vid internationella samarbeten.[244] Ett pågående regeringsuppdrag syftar också till att stötta lärosätena att göra bedömningar av internationella utbildnings- och forskningssamarbeten, se avsnitt 2.5.[245]

4.4.6 Lärosätenas utbildningar i informationssäkerhet får inte tillräckligt genomslag i forskningsverksamheten

Trots att ökad kunskap hos anställda har varit en av lärosätenas prioriteringar de senaste två åren har få medarbetare gått de utbildningar som ges.[246] Många universitet och högskolor konstaterar att det fortfarande finns stora behov av kompetenshöjning i informationssäkerhet.[247] 23 av 24 lärosäten erbjuder sina medarbetare utbildning i informationssäkerhet i form av fysiska eller digitala utbildningar. Som framgår av figur 5 nedan anger hälften av lärosätena att färre än 25 procent av medarbetarna har gått utbildningarna. Nästan tre fjärdedelar av lärosätena anger att färre än 50 procent har gjort det.[248]

Figur 5 Andel av lärosätets medarbetare som gått utbildning i informationssäkerhet

Stapeldiagram som redovisar svar på fråga i Riksrevisionens enkät. Se bilaga 4 fråga 30 för en tabell med svarsalternativ och antal svar.

Källa: Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
Anm.: Antal lärosäten inom parentes.

En utmaning för lärosätena är att den kompetens som byggs inom informationssäkerhet bland prefekter och dekaner kontinuerligt försvinner. Chief Information Security Officer vid LU beskriver det som att alla chefer därför måste “läras om från början” vart tredje eller fjärde år.[249] Riksrevisionen konstaterar att kontinuiteten därmed riskerar att gå förlorad, vilket kan påverka hur framgångsrikt informationssäkerhetsarbetet kan bedrivas.

75 procent av lärosätena uppger att de erbjuder utbildning i personuppgiftshantering och ungefär hälften erbjuder utbildningar i exempelvis forskningsdatahantering, forskningsetik och sekretess.[250] Utbildningarna som tillhandahålls är sällan obligatoriska. Vid LU erbjuds riktade utbildningar om datahanteringsplaner till nystartade forskningsprojekt men dessa är inte ett krav, även om projekten aktivt söks upp av ansvariga för forskningsdatahantering vid fakultetsbiblioteken.[251] Även vid KTH görs riktade utskick från biblioteket till forskare som beviljats anslag från externa finansiärer som kräver datahanteringsplaner.[252]

Det förekommer sällan någon systematisk uppföljning eller krav på att medarbetare ska uppdatera eller bibehålla sin kunskap i informationssäkerhet. Riksrevisionen har inte heller iakttagit att det sker någon systematisk uppföljning rörande medarbetares deltagande i informationssäkerhetsutbildningar.[253]

4.4.7 Lärosätena har initierat flera nätverk och samarbetsgrupper kring säkerhet och informationssäkerhet först på senare år

Riksrevisionen konstaterar att det är först på senare år som lärosätena har tagit initiativ till ökat samarbete inom säkerhets- och informationssäkerhetsområdet. Ett nätverk för säkerhet vid svenska lärosäten bildades 2020.[254] Samma år tog Sveriges universitets- och högskoleförbund (SUHF) initiativ till en säkerhetsutbildning i samarbete med Försvarshögskolan och Säkerhetspolisen. Det skedde efter uppmaningen från dåvarande ministern för högre utbildning och forskning att bedriva ett systematiskt säkerhetsarbete.[255] Utbildningen i säkerhets- och verksamhetsanalys fick dock ställas in på grund av bristande intresse. En förklaring till det låga intresset uppges vara att utbildningen vände sig till säkerhetsskyddschefer, vilket många lärosäten inte har. Under 2022 kom flera förfrågningar från lärosäten om nya kurstillfällen, men ingen ny utbildning riktad till högskolesektorn planeras. Försvarshögskolan har hänvisat till ordinarie kursverksamhet, men lärosätena har inte varit prioriterade och ofta inte fått plats.[256]

I oktober 2022 bildade SUHF en arbetsgrupp för informationssäkerhet inklusive it‑/cybersäkerhet som en undergrupp till Expertgruppen för fastighets- och säkerhetsfrågor. Gruppen ska identifiera och föreslå åtgärder på informationssäkerhetsområdet, bland annat om strategier, handlingsplaner och regelverk inom sektorn, säker molnlagring samt samarbete kring klassning av informationstillgångar och risk- och sårbarhetsanalyser.[257] I oktober 2023 var gruppen i färd med bland annat att bilda ett nätverk för dem som arbetar med informationssäkerhet på lärosätena.[258]

4.5 Lärosätenas stöd för säker forskningsdatahantering är inte tillräckligt ändamålsenligt

Granskningen visar att det finns ett omfattande administrativt stöd för datahantering på olika organisatoriska nivåer, men forskare vet inte alltid vart de ska vända sig för att få stöd. Bristen på samordning mellan stöd för informationssäkerhet och stöd för tillgängliggörande av forskningsdata är ibland ineffektiv. Det finns också brister i det it-stöd som lärosätena erbjuder på central lärosätesnivå eftersom man inte kan tillhandhålla ytor för säker lagring och bevarande av stora mängder forskningsdata.

4.5.1 Stödet till forskare för säker datahantering har begränsat genomslag

Forskare och prefekter i vår granskning uppger att de inte alltid vet vem de ska vända sig till vid informationssäkerhetsfrågor som uppstår i det dagliga forskningsarbetet, exempelvis i fråga om forskningsdatabaser, datadelning med andra lärosäten och exportkontroll.[259]

Många lärosäten arbetar med att skapa en enda ingång för forskningsrelaterade frågor på sina webbplatser för att underlätta för anställda.[260] Forskare som vi intervjuat i granskningen verkar dock föredra stöd i form av en personlig kontakt. Ofta associerar man stödfunktioner för informationssäkerhet specifikt till it‑området.[261] I granskningen nämner både forskare och prefekter att de i första hand vänder sig till lokala it-samordnare på institutionerna vid LU[262] eller de administrativa cheferna på KTH:s skolor vid olika frågor som relaterar till informationssäkerhet. I granskningen nämndes också stödfunktioner vid förnamn eller refererades till som “it-killen” och “GDPR-ansvarig”.[263]

Granskningen visar att det inte är tillräckligt att tillhandahålla skriftligt material om informationssäkerhet. Många forskare vet inte om att det finns eller läser det inte. Förståelse och efterlevnad av beslutade arbetssätt kan underlättas av att det finns tillgängliga medarbetare som man kan vända sig till för stöd. Ett exempel är just den utbredda kännedomen om dataskydd på grund av kravet på att utse dataskyddsombud.[264]

Flera av de vi intervjuat upplever att det kan saknas information om informationssäkerhet på engelska, vilket är ett problem för de många internationella forskare som finns på lärosätena.[265] I granskningen nämner också forskare att de söker stöd externt, eller stöd från mer seniora kollegor.[266] Vetenskapsrådet beskriver att man får frågor direkt från forskare om områden som lärosätena själva ska ha kunskap om.[267] Det tyder på att det kan finnas behov av förtydliganden hos lärosätena. Risken med att ta hjälp av kollegor är att de ger stöd som inte är i enlighet med lärosätenas centrala riktlinjer och därmed kan felaktig eller bristfällig kunskap spridas i organisationen.

Riksrevisionen har också noterat att forskarna inte alltid sätter sig in i det administrativa stöd som erbjuds och att det kan uppfattas som kostsamt administrativt extraarbete. Som vi tidigare redogjort för finns det exempelvis forskare som tycker att datahanteringsplaner är onödiga. Forskare vi intervjuat vet i många fall om att det finns styrdokument om informationssäkerhet, men inte vad de innehåller eller hur de ska användas i praktiken.[268] Vid flera intervjuer letade intervjupersonerna vid sittande bord efter vägledningar på respektive lärosätes intranät och kunde konstatera att det fanns information de inte tagit del av tidigare. I några fall hade intervjupersonerna precis innan vår intervju blivit varse att det fanns ett omfattande stödmaterial, eller blivit informerade av vår kontaktperson på lärosätet om materialet.

4.5.2 Stödet i frågor som rör säker datahantering är inte alltid samordnat men det finns initiativ för ökad samverkan

Stödet inom informationssäkerhet respektive hanteringen av forskningsdata har traditionellt varit uppdelat mellan it och bibliotek vilket ställer krav på samordning. 22 av 24 lärosäten i granskningen anger att de har forskningsdatateam eller motsvarande, ofta kallade Data Access Units (DAU:er) som erbjuder stöd till forskare i frågor som rör bland annat tillgängliggörande och bevarande av forskningsdata. Forskningsdatateamen är normalt sett organiserade på biblioteken och kan finnas på olika nivåer i organisationen. Av Riksrevisionens enkät framgår att det oftast saknas någon person med särskild kompetens i informationssäkerhet i forskningsdatateamen. På motsvarande sätt saknar ofta informationssäkerhetsgrupper vid lärosätena särskild kompetens inom forskningsdatahantering.[269] Riksrevisionen konstaterar att bristande samordning kan vara ineffektivt och försvåra det dagliga arbetet för forskarna.

Granskningen visar att det vid KTH och LU finns initiativ för att få med informationssäkerhetsaspekten i stödet rörande forskningsdatahantering. LU har forskningsdatastöd på universitetsbiblioteket och på fakultetsbiblioteken. Forskningsdatastödet vid universitetsbiblioteket har kontakt med andra relevanta funktioner, inklusive Chief Information Security Officer.[270] Fakulteternas forskningsdatastöd jobbar mer forskarnära, exempelvis med att stötta forskare i upprättandet av datahanteringsplaner.[271]

Fakultetsbibliotekens forskningsdatastöd vid Naturvetenskapliga fakulteten och Lunds tekniska högskola uttrycker att de har behov av tillgång till ytterligare kompetens eftersom de ofta får frågor rörande it, arkivering och juridik som de inte kan besvara direkt. Forskningsdatastödet vid Naturvetenskapliga fakulteten vid LU har på eget initiativ skapat en arbetsgrupp som inkluderar funktioner från arkiv och it som träffas en gång i månaden. Stödet har också tagit fram en självstudiekurs om hur man upprättar en datahanteringsplan och lät funktionerna it och arkiv granska manus under framtagandet. När kursen var klar erbjöd man de andra fakultetsbiblioteken att använda den, men man vet inte om den faktiskt används.[272] Riksrevisionen konstaterar att det kan vara ineffektivt om den här typen av erfarenheter och kunskap inte delas i tillräcklig utsträckning.

KTH inrättade en grupp för forskningsdatastöd kring tillgängliggörande som ett internt utvecklingsprojekt 2019, som därefter permanentats. 2019 inrättades även en tjänst som forskningsdatakoordinator för att koordinera arbetet i gruppen som består av personal från bibliotek, forskarstöd och it-avdelning. 2021 kompletterades denna grupp med ytterligare en arbetsgrupp för forskningsdata med fokus på skydd av forskningsdata som består av forskningsdatakoordinator, it-och informationssäkerhetschef, informationssäkerhetsspecialist och dataskyddsombud. Denna grupp arbetar operativt med ärenden i samarbete med relevanta funktioner som jurister samt i mån av tid med att ta fram anvisningar för informationshanteringen i forskningsverksamheten.[273]

19 lärosäten uppger i enkäten att de har särskilda informationssäkerhetsgrupper. I dessa grupper ingår sällan personer med särskild kompetens inom forskningsdatahantering.[274] Mot bakgrund av våra iakttagelser ovan kan det finnas skäl att även inkludera funktioner inom forskningsdatahantering (vanligtvis organiserade vid biblioteken) i dessa informationssäkerhetsgrupper. Det kan stärka samordningen mellan stödfunktionerna när det gäller forskningsdatahantering.

4.5.3 Lärosätena erbjuder inte säkra ytor för lagring och bevarande av forskningsdata

Inget lärosäte erbjuder kompletta tjänster för långsiktigt bevarande av forskningsdata och forskningsresultat. Lärosätena har också utmaningar att tillhandhålla lagring av stora datamängder under pågående forskningsprojekt. Följden blir ad hoc-lösningar beroende på vilka behov enskilda forskningsprojekt har.

Avsaknaden av säkra molntjänster för att hantera till exempel känsliga personuppgifter nämns som problematiskt av flera lärosäten.[275] Det finns också begränsningar när det gäller hur stora datamängder som kan lagras till en rimlig kostnad. Forskare beskriver hur stora datamängder därför förvaras på forskares egna servrar eller servrar och beräkningsdatorer på institutionen och säkerhetskopieras på externa hårddiskar som placeras på olika platser.[276] Det förekommer också att riktigt stora datamängder har backup hos externa samarbetspartner som SciLifeLab eller Cern i Schweiz eftersom lärosätena inte kan tillhandahålla lagring i den storleksordningen.[277]

En annan konsekvens av avsaknaden av lärosätesgemensamma lagringslösningar är att enskilda forskningsprojekt själva får vara med och bekosta lagring av forskningsdata under pågående projekt. Resultatet blir att informationssäkerhet vägs mot forskarens kostnad för datalagring och i flera intervjuer har frågan kommit upp vem som ska betala för säkerheten när data lagras.[278] Det finns möjlighet att i forskningsansökningar ansöka om medel för att täcka kostnader för lagring av data. Beviljade ansökningar ger dock finansiering för tre till fyra år i normala fall, medan behoven av lagring ofta sträcker sig betydligt längre än så.[279]

LU är i färd med att införa en lösning på central lärosätesnivå för långtidslagring av forskningsdata. Det är dock oklart hur stora mängder data som kommer att kunna hanteras där. LU uppskattar att det läggs cirka en miljard kronor om året på it. Det finns en förhoppning om att mer centraliserade it-lösningar kommer att bidra till att kostnaderna reduceras. Flera prefekter vid LU framhåller att obligatoriska krav på forskarna från den centrala lärosätesledningen även bör medföra finansiellt stöd från centralt håll.[280]

På nationell nivå har Sveriges universitetsdatanätverk (Sunet) i uppgift att tillhandahålla datanät för landets universitet och högskolor. Sunet erbjuder också ett antal onlinetjänster för forskning och utbildning.[281] Sunet Drive är en tjänst som erbjuds av Sunet för att lagra och dela data. I november 2023 hade tjänsten 18 kunder, varav alla var lärosäten. Det pågår ett arbete för att göra det möjligt att koppla åtkomst till känsliga dokument mot förstärkt inloggning.[282] Sunet säger att de har outnyttjad kapacitet men att tjänsterna inte efterfrågas av lärosätena.[283]

I SUHF:s Färdplan för öppen vetenskap rekommenderas lärosätena att senast 2025 ”erbjuda forskare prisvärda, adekvata och säkra infrastrukturella tjänster – som uppfyller gällande regelverk (framför allt tryckfrihetsförordningen, offentlighet- och sekretesslagen, arkivlagen och GDPR) och FAIR-principerna – för hantering, lagring, tillgängliggörande och bevarande av forskningsdata och forskningsresultat där arkivering och gallring ingår som en integrerad del i forskningsprocessen och arbetet med öppen tillgång”.[284] I en enkät om arbetet med att implementera färdplanen framgår att 2 lärosäten under 2023 har ”en heltäckande och behovsanpassad uppsättning av e-infrastrukturtjänster, arbetsprocesser och arbetsflöden samt rådgivning kring god hantering av forskningsdata”. 25 lärosäten har påbörjat arbetet och 3 har inte påbörjat arbetet.[285]

  • [160] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1. Internrevisionen vid flera lärosäten konstaterar detsamma.
  • [161] Lunds universitet, Internrevisionen, Årsrapport från internrevisionen år 2003, 2004-02-06; Lunds universitet, Förvaltningschefen, Kommentar till årsrapport från internrevisionen 2003, 2004-02-11.
  • [162] Riksrevisionen, Granskning av intern styrning och kontroll av informationssäkerheten vid Lunds universitet, 2010-01-22; Lunds universitet, Svar på revisionsrapport 2010-01-22 granskning av intern styrning och kontroll av informationssäkerheten vid Lunds universitet, 2010-04-21.
  • [163] Lunds universitet, Internrevisionen, Styrning av informationssäkerhet, 2014-06-19, s. 8.
  • [164] Lunds universitet, Riktlinjer för informationssäkerhet vid Lunds universitet, 2017-06-22.
  • [165] Intervjuer LU1; LU2; LU3; LU7.
  • [166] Lunds universitet, Uppföljning av Yttrande över Internrevisionens rapport ”Styrning av informationssäkerhet”, 2019-10-11.
  • [167] Lunds universitet, Ledningssystem för informationssäkerhet vid Lunds universitet, 2022-03-24.
  • [168] Ernst & Young, Granskning av informationssäkerhet på KTH, juni 2004; KTH, Internrevisionen, Arbetet med informationssäkerhet vid KTH, Internrevisionsrapport 1/2014, 2014-10-17.
  • [169] KTH, Internrevisionen, Granskning av KTH:s ledningssystem för informationssäkerhet, Revisionsrapport 1/2020, 2020-10-01.
  • [170] KTH, ”Så bygger hon KTH:s nya säkerhetsavdelning”, hämtad 2023-08-27; KTH, ”Lediga jobb, CISO - informationssäkerhetsspecialist till KTH”, hämtad 2023-09-10.
  • [171] Riksrevisionen, Granskning av intern styrning och kontroll av informationssäkerheten vid Blekinge tekniska högskola 2009, 2010-01-26.
  • [172] Blekinge tekniska högskola, Information med anledning av Riksrevisionens rapport ”Granskning av intern styrning och kontroll av informationssäkerheten vid Blekinge tekniska högskola 2009”, 2010-03-01.
  • [173] Intervju BTH1.
  • [174] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [175] Riksrevisionens sammanställning av 24 lärosätens informationssäkerhetspolicyer/motsvarande.
  • [176] Riksrevisionens sammanställning av 24 lärosätens informationssäkerhetspolicyer/motsvarande; Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1. Andra dokument av relevans för informationssäkerhetsarbetet (som 75 procent av lärosätena anger att de har) är t.ex. mejl- och lösenordsregler, styrdokument inom it och it-säkerhet, datahanteringsplaner, upphandlingskrav, rutiner för exportkontroll, rutiner för personuppgiftsbehandling etc.
  • [177] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [178] Intervjuer BTH3; BTH7; KTH2; KTH8; LU2; LU5, LU10; LU22; LU23.
  • [179] Vetenskapsrådet, Öppen tillgång till forskningsdata 2023. En kartläggning, analys och bedömning, 2023, s. 19.
  • [180] Intervjuer BTH5; BTH10; KTH5; KTH, KTH:s remissvar Förslag till MSB:s föreskrifter om informationssäkerhet och föreskrifter om it-säkerhet för statliga myndigheter, 2020-02-11; It-säkerhetsnätverket, Sektorsgemensam återkoppling Vägledning säkerhetsåtgärder i informationssystem v. 0.2, 2022-04-13.
  • [181] Intervju med företrädare för MSB, 2023-06-09. Som diskuteras i 4.2.1 har bristerna att efterleva föreskriftskraven påtalats i många internrevisionsrapporter under en längre tid.
  • [182] Det inkluderar personalkostnader i form av löner inklusive konsulter, projektkostnader, kurser, utbildningar, seminarier och säkerhetsåtgärder (till exempel it-tjänster) vars primära syfte är att förbättra informationssäkerheten, se Riksrevisionens enkät om informationssäkerhet, del 1.
  • [183] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [184] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [185] Intervjuer LU2; LU24; telefonsamtal med CISO Lunds universitet, 2023-08-08.
  • [186] Intervjuer KTH1; KTH5; KTH, ”Så bygger hon KTH:s nya säkerhetsavdelning”, hämtad 2023-06-13.
  • [187] Intervjuer BTH1; BTH3.
  • [188] Om informationssäkerhetschef inte finns avses istället informationssäkerhetsspecialist, informationssäkerhetssamordnare, informationssäkerhetsstrateg eller motsvarande, se Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [189] Med reglerad rapportering avses en formaliserad rutin som är regelbundet återkommande. 12 lärosäten uppger i sina enkätsvar att de har en informationssäkerhetschef/motsvarande och 18 att de har en informationssäkerhetssamordnare. 2 lärosäten uppger att inte har någon sådan befattning, men att de har en arbetsgrupp för informationssäkerhet, se Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [190] Utbildningsdepartementet, ”Pressmeddelande: Nya styrelser för 30 universitet och högskolor”, 2023-04-27, hämtad 2023-09-17.
  • [191] MSB:s metodstöd för systematiskt informationssäkerhetsarbete, informationssäkerhet.se, ”Utforma, CISO-rollens organisatoriska placering”, hämtad 2023-09-19.
  • [192] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [193] Intervju KTH1.
  • [194] Intervjuer LU1; LU2.
  • [195] Intervjuer BTH1; BTH3.
  • [196] Mejl från företrädare för MSB med svar på kompletterande frågor från Riksrevisionen om informationssäkerhet vid UoH, 2023-06-30.
  • [197] Mejl från företrädare för MSB med svar på kompletterande frågor från Riksrevisionen om informationssäkerhet vid UoH, 2023-06-30.
  • [198] Intervjuer BTH1; BTH2; BTH3; KTH2; KTH4; KTH6; KTH14; LU2; LU4; LU26.
  • [199] Intervjuer BTH5; BTH8; KTH9; KTH10; KTH13; KTH14; KTH15; LU3; LU13; LU16; LU17; LU25.
  • [200] Se Blekinge tekniska högskola, Arbetsordning för Blekinge tekniska högskola, 2022-10-01; Blekinge tekniska högskola, Rektors delegationsordning Blekinge tekniska högskola, 2021-02-10; Lunds universitet, Arbetsordning för Lunds universitet, 2022-10-28 ; Lunds universitet, Föreskrifter om fördelning av beslutsbefogenheter inom universitetsförvaltningen, 2021-05-11; Lunds universitet, Lunds universitets föreskrifter om fördelning av beslutsbefogenheter och rätt att teckna avtal vid Lunds universitet, 2022-06-09. Vid KTH tas informationssäkerhet upp i KTH, Delegationsordning för KTH, gäller från och med 2023-01-01 och i KTH, Arbets- och delegationsordning för verksamhetsstödet vid KTH, ändrad från och med 2023-01-01. I KTH, Arbetsordning vid KTH, senast ändrad från och med 2023-01-01, nämns inte informationssäkerhet specifikt men hänvisning görs till ”KTH:s informationshanteringsplan och andra styrdokument om dokumenthantering”.
  • [201] Se t.ex. Umeå universitet, ”Informationssäkerhet”, hämtad 2023-09-08; Högskolan i Borås, Ansvar och roller i ledningssystem för Informationssäkerhet (LIS) vid Högskolan i Borås, 2022-05-04.
  • [202] KTH, Anvisning för informations- och IT-säkerhet, 2014-02-01.
  • [203] Intervjuer KTH4; KTH6
  • [204] Intervju KTH1.
  • [205] KTH, Internrevisionen, Granskning av KTH:s ledningssystem för informationssäkerhet, Revisionsrapport 1/2020, 2020-10-01.
  • [206] Lunds universitet, Ledningssystem för informationssäkerhet vid Lunds universitet, fastställd av rektor 2022-03-24.
  • [207] Lunds universitet, Riktlinjer för informationssäkerhet vid Lunds universitet, 2017-06-22.
  • [208] Intervju LU2.
  • [209] Lunds universitet, Arbetsordning för Lunds universitet, 2022-10-28; Lunds universitet, Föreskrifter om fördelning av beslutsbefogenheter inom universitetsförvaltningen vid Lunds universitet, 2021-05-11; Lunds universitet, Lunds universitets föreskrifter om fördelning av beslutsbefogenheter och rätt att teckna avtal vid Lunds universitet, 2022-06-09.
  • [210] Blekinge tekniska högskola, Riktlinjer för informationssäkerhet vid Blekinge Tekniska Högskola, version 1.0, 2012-06-19.
  • [211] Intervjuer BTH6; BTH8.
  • [212] Blekinge tekniska högskola, Arbetsordning för Blekinge tekniska högskola, 2022-10-01; Blekinge tekniska högskola, Rektors delegationsordning, Blekinge tekniska högskola, 2021-02-10.
  • [213] Intervju med företrädare för Säkerhetspolisen, 2023-03-24.
  • [214] Intervjuer BTH3; BTH10; LU13; LU25.
  • [215] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [216] Intervjuer BTH5; BTH6; KTH4; KTH6; KTH9; KTH10; KTH18; LU17; LU19.
  • [217] Intervjuer BTH11; KTH9; LU19.
  • [218] Intervjuer BTH7; KTH2; KTH5; LU1; LU11.
  • [219] Myndigheten för digital förvaltning, ”Vägledning för att tillgängliggöra information”, hämtad 2023-09-15.
  • [220] KTH, Anvisning Informationsklassificering för KTH, riktlinje gäller från och med 2015-01-01; Lunds universitet, Riktlinjer för informationssäkerhet vid Lunds universitet, 2017-06-22. Riksrevisionen har inte tagit del av Blekinge tekniska högskolas informationsklassningsmodell.
  • [221] 2 kap. 1 § säkerhetsskyddslagen (2018:585).
  • [222] Riksrevisionen noterar att det är 2 lärosäten som i Riksrevisionens enkät uppger att de hanterar säkerhetsskyddsklassificerade uppgifter som inte anmält detta till sin tillsynsmyndighet. Omvänt så är det 4 lärosäten som anmält till sin tillsynsmyndighet att de bedriver verksamhet som omfattas av säkerhetsskyddslagen, men som i Riksrevisionens enkät inte uppgav att de hanterar säkerhetsskyddsklassificerade uppgifter. 13 av 24 lärosäten uppger i Riksrevisionens enkät att de har en säkerhetsskyddschef, vilket är ett krav om verksamheten omfattas av säkerhetsskyddslagen, se 2 kap. 7 § säkerhetsskyddslagen (2018:585); Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 2; information som Riksrevisionen har tagit del av via mejl från företrädare för Länsstyrelsen Norrbotten, 2023-09-13; Länsstyrelsen Stockholm, 2023-07-07; Länsstyrelsen Västra Götaland, 2023-06-29; Länsstyrelsen Skåne, 2023-08-31.
  • [223] 2 kap. 12 § Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1).
  • [224] Säkerhetsskyddslagen (2018:585); säkerhetsskyddsförordningen (2021:955); Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1). Riksrevisionen noterar att 11 lärosäten finns upptagna i säkerhetsskyddförordningens bilaga om myndigheter som beslutar om säkerhetsklass 2 och 3. Det finns dessutom lärosäten som angivit i Riksrevisioners enkät om informationssäkerhet del 2 att de bedriver säkerhetskänslig verksamhet, men som inte är upptagna i bilagan. Ytterligare ett lärosäte, som ej är med i vår granskning, har anmält till sin tillsynsmyndighet men är inte upptagna i förordningens bilaga. Regeringen har fattat beslut om att se över och föreslå förändringar av processen för säkerhetsprövningar, se dir. 2023:91 som ska redovisas senast 2024-08-15. Syftet är bl.a. att ge verksamhetsutövare tydliga förutsättningar för sitt säkerhetsskyddsarbete.
  • [225] Se t.ex. Säkerhetspolisen, ”Vägledningar säkerhetsskydd”, hämtad 2023-10-30.
  • [226] Intervju med företrädare för Länsstyrelsen Norrbotten, Länsstyrelsen Stockholm, Länsstyrelsen Västra Götaland och Länsstyrelsen Skåne, 2023-06-21.
  • [227] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1; intervju KTH4.
  • [228] Alla länsstyrelser med tillsynsuppdrag har inte lärosäten som har anmält att de bedriver säkerhetskänslig verksamhet, se mejl från företrädare för Länsstyrelsen Norrbotten, 2023-09-13; Länsstyrelsen Stockholm, 2023-07-07; Länsstyrelsen Västra Götaland, 2023-06-29; Länsstyrelsen Skåne, 2023-08-31.
  • [229] Intervju med företrädare för Länsstyrelsen Norrbotten, Länsstyrelsen Stockholm, Länsstyrelsen Västra Götaland och Länsstyrelsen Skåne, 2023-06-21. Se också 8 kap. 4 § säkerhetsskyddsförordningen (2021:955).
  • [230] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [231] Intervjuer KTH6; KTH16; LU9; LU26. Några exempel på sådana områden är artificiell intelligens, additiv tillverkning, nanovetenskap och informations- och kommunikationsteknologi. Exempel på PDA är olika slags material, kemikalier eller verktyg. Det är mindre vanligt att forskningsdata omfattas, men exempelvis källkoder samt data om grödor respektive djuphavsområden som samlas in av bildkamerasensorer och forskningsundervattenfarkoster kan utlösa exportkontroller för produkter med dubbla användningsområden. Vidare kräver en publikation exporttillstånd om den innehåller teknik som ska kontrolleras för dubbla användningsområden. Det gäller även eventuellt underlag i form av rådata, se ISP, ”Introduktion till produkter med dubbla användningsområden”, hämtad 2023-08-16. Se också Kommissionens rekommendation (EU) 2021/1700 av den 15 september 2021, avsnitt 2.2, tillägg 1 och tillägg 2.
  • [232] Intervju KTH3.
  • [233] Intervju med företrädare för ISP, 2022-09-16; intervjuer BTH6; KTH3; LU9.
  • [234] ISP, Projektrapport – universitetsprojektet, 2022-12-29, s. 3–4.
  • [235] Intervju med företrädare för ISP, 2022-09-16; ISP, Projektrapport – universitetsprojektet, 2022‑12‑29, s. 12–17.
  • [236] Intervju med företrädare för Säkerhetspolisen, 2022-10-20.
  • [237] 9 § 1 MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6) jämte tillhörande allmänna råd.
  • [238] Mejl från företrädare för MSB, 2023-09-14. En säkerhetsprövning enligt 3 kap. 2 § säkerhetsskyddslagen (2018:585) syftar även till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen,
  • [239] Intervjuer BTH2; BTH8; KTH11; LU1; LU6; LU9; LU14; LU21.
  • [240] Intervjuer KTH6; KTH8; KTH9; KTH11; KTH14; LU4; LU14.
  • [241] Exempelvis är mer än hälften av doktoranderna utländska vid BTH och KTH, se Stiftelsen för internationalisering av högre utbildning och forskning (STINT), ”STINT internationaliseringsindex”, hämtad 2023-09-18.
  • [242] Nilsson, ”Kinas hemliga avtal med studenter i Sverige – kräver lojalitet med regimen”, 2023-01-12; intervjuer BTH10; KTH3; LU27.
  • [243] Skr. 2019/20:18, s. 18.
  • [244] Stiftelsen för internationalisering av högre utbildning och forskning, Responsible internationalisation: Guidelines for reflection on international academic collaboration, R20:01; Lunds universitet, Sektionen Externa relationer, Checklista för Globalt ansvarsfullt engagemang, mars 2023; intervju LU27; mejl från rektor LTH, 2023-09-14.
  • [245] Regeringsbeslut U2023/02127.
  • [246] Även införandet av ledningssystem för informationssäkerhet samt inventering, klassning och analys har varit prioriterat, se Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1. De utbildningar som avses här är alltså de som är specifikt riktade till medarbetare vid lärosätena. För en beskrivning av andra typer av kompetenshöjande insatser inom området, se t.ex. Riksrevisionen, Regeringens styrning av samhällets informations- och cybersäkerhet – både brådskande och viktig, RiR 2023:8, 2023, s. 39.
  • [247] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1; intervjuer BTH2; BTH5; KTH4; KTH5; KTH6; KTH15; LU3; LU5; LU7; LU20.
  • [248] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [249] Intervju LU2.
  • [250] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [251] Intervju LU1.
  • [252] Intervju KTH2.
  • [253] Intervjuer BTH1; BTH11; BTH13; BTH15; KTH15; KTH16; LU3; LU7; LU17; LU19.
  • [254] Skarsgård, ”Nätverk ska förebygga spionage mot lärosäten”, 2020-02-06; Eliasson, ”Ökade hot mot lärosätena: ’Behov att växla upp säkerheten’”, 2021-10-06.
  • [255] SUHF, ”Information från SUHF angående säkerhetsutbildning i sektorn”, mejl till universitet och högskolor, 2020-05-07.
  • [256] Intervju med företrädare för Försvarshögskolan, 2022-06-27; mejl från företrädare för Försvarshögskolan 2023-10-11; intervju med företrädare för Stockholms universitet, 2022-08-25.
  • [257] SUHF, ”Arbetsgruppen för informationssäkerhet och it-/cybersäkerhet”, hämtad 2023-10-04.
  • [258] Mejl från företrädare för SUHF, 2023-10-11. Sedan tidigare finns också Sveriges universitet och högskolors it-chefsforum som syftar till erfarenhetsutbyte, samarbete och (digital) it‑utveckling inom högskolesektorn. Forumet har ett antal nätverksgrupper, bl.a. drift och infrastruktur, it-säkerhet och it-forskningsstöd, se It-chefsforum, ”ITCF i korthet”, hämtad 2023-10-04.
  • [259] Intervjuer BTH12; KTH12; KTH14; KTH17; LU17; LU18; LU19.
  • [260] Se t.ex. KTH, ”Forskningsstöd vid KTH”, hämtad 2023-10-06; LU ”Stöd till forskning vid LU”, hämtad 2023-10-06; Malmö universitet, ”Forskarstöd vid Malmö universitet”, hämtad 2023-10-06. Informationssäkerhetsfrågor finns sällan med som en egen aspekt, men kan rymmas inom de delar som beskriver datahanteringsplaner.
  • [261] Intervjuer KTH13; KTH15; LU16.
  • [262] På sikt ska lokala informationssäkerhetssamordnare utses vid behov vid LU och fungera som kontaktpunkt gentemot CISO och lokala experter i operativa frågor, se Lunds universitet, Informationssäkerhetsbloggen, ”Ledningssystem för informationssäkerhet har beslutats av rektor”, hämtad 2023-09-06.
  • [263] Intervjuer KTH1; KTH4; KTH9; KTH12, KTH11; LU17.
  • [264] Samtliga 24 lärosäten har dataskyddsombud medan 12 har en informationssäkerhetschef, se Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [265] Intervjuer BTH15; KTH5; KTH11; KTH17; LU11; LU18; LU21. Det saknas också utbildningsmaterial på engelska på nationell nivå, exempelvis de webbutbildningar om informationssäkerhet som kan nås via MSB:s webbplats. MSB har dock påbörjat ett arbete med att tillhandahålla webbutbildningen DISA med engelsk text. Föreskrifterna för informationssäkerhet finns inte heller översatta eftersom MSB inte sett det behovet. Däremot finns vägledningen till stöd för arbetet hos statliga myndigheter med säkerhetsåtgärder i informationssystem (MSBFS 2020:7) översatt till engelska, se mejl från företrädare för MSB, 2023-11-07.
  • [266] Intervjuer BTH6; BTH8; BTH12; KTH12; KTH18; LU19; LU29.
  • [267] Det handlar exempelvis om vilka typer av data som får göras öppet tillgängliga och vad som gäller för upphovsrättsligt skydd av data samt frågor om datalagring. Intervju med företrädare för Vetenskapsrådet, 2023-05-24; mejl från företrädare för Vetenskapsrådet, 2023-09-13.
  • [268] Intervjuer BTH1; BTH3; BTH5; BTH7; KTH2; KTH3; LU5; LU11; LU22; LU23. Se också bl.a. Ander, T., Informationssäkerhetskultur, 2022, s. 89 om vikten av att informationssäkerhetsarbetet inte uppfattas som ännu en pålaga av medarbetarna.
  • [269] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [270] Intervjuer LU8; LU11; LU12.
  • [271] Intervju LU11.
  • [272] Intervjuer LU11; LU12.
  • [273] Intervjuer KTH2; KTH, Svar på den inkomna rapporten från Riksrevisionen, 2023-10-26.
  • [274] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [275] Riksrevisionens enkät om informationssäkerhet till 24 lärosäten, del 1.
  • [276] Intervjuer KTH18; KTH9; LU19; LU21.
  • [277] Intervjuer KTH18; LU11.
  • [278] Intervjuer KTH9; KTH18; LU12; LU13; LU18: LU19; LU20; LU21; LU25.
  • [279] Gängse praxis på många lärosäten är en gallringsfrist på 10 år för forskningsdata och 15 år för medicinska forskningsdata. Det beror bl.a. på att forskningsinformation och forskningsdata ska sparas i minst 10 år för att kunna presenteras vid en prövning om oredlighet, se SUHF, 2022. Vissa forskningsdata ska aldrig gallras, se 6–7 §§ Riksarkivets föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet (RA-FS 1999:1)
  • [280] Intervju LU3; LU4; LU16.
  • [281] Sunet, ”Tjänster”, hämtad 2023-09-29. Utöver 40 universitet och högskolor är 16 myndigheter, 14 muséer, 3 forskningsinfrastrukturer och 18 övriga organisationer anslutna till Sunet, se Sunet, ”Anslutna organisationer”, hämtad 2023-11-12.
  • [282] Mejl från företrädare för Sunet, 2023-11-12; Sunet, Protokoll fört vid kommittésammanträdet 2023-06-01.
  • [283] Intervju med företrädare för Sunet, 2023-05-29.
  • [284] SUHF, Vägledning för implementering av färdplan för öppen vetenskap, 2022-06-30, s. 8.
  • [285] SUHF, Vägledning med åtgärdsförslag för implementering av färdplan för öppen vetenskap. Sammanställning enkät 2023. En förklaring till att lärosätena avvaktat med att ta itu med exempelvis hantering, lagring och arkivering av forskningsdata för övergången till ett system för öppen vetenskap kan vara att de statliga lärosätena inte har regleringar eller uppdrag från regeringen inom digitalisering av forskning eller digital infrastruktur för forskning, se SOU 2021:65, s. 206.

Uppdaterad: 05 december 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?