Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

5. Slutsatser och rekommendationer

Riksrevisionens övergripande slutsats är universitet och högskolor inte bedriver ett effektivt informationssäkerhetsarbete för att skydda forskningsdata. Trots att föreskriftskrav funnits sedan 2008 och bristerna varit kända sedan länge saknas fortfarande väsentliga delar av ett systematiskt informationssäkerhetsarbete. De åtgärder som regering, lärosäten och andra berörda myndigheter hittills vidtagit har inte varit tillräckliga.

Avsnitt

5.1 Lärosätena arbetar inte effektivt för att identifiera skyddsvärda forskningsdata

En övervägande del av forskningsdata behöver inte skyddas utan kan vara öppen och tillgänglig för alla. Men för att kunna identifiera vilka data som är skyddsvärda behövs kännedom om de forskningsdata som hanteras i verksamheterna. Riksrevisionen bedömer att lärosätena har otillräcklig kännedom om verksamheternas skyddsvärda forskningsdata, och om dessa data hanteras enligt sina skyddsbehov och gällande regelverk. Det beror bland annat på bristande systematik i inventering och klassning av forskningsdata. Det leder till otillräckliga underlag för såväl riskbedömning som införande av ändamålsenliga säkerhetsåtgärder.

5.1.1 Bristande systematik i hur lärosätena identifierar skyddsvärda forskningsdata

Få forskare klassar sina forskningsdata enligt lärosätenas beslutade modeller för informationsklassning. Bristande rutiner för inventering och klassning av forskningsdata riskerar att leda till att vissa skyddsvärda forskningsdata inte identifieras. Att det finns olika rutiner inom samma lärosäte kan också leda till olika bedömningar av vad som är skyddsvärt. Avsaknaden av informationsklassning enligt en lärosätesgemensam modell kan även innebära dubbelarbete och vara tidskrävande.

En konsekvens av att informationsklassningar inte genomförs systematiskt och dokumenteras är att lärosätena får ett bristfälligt underlag för införandet av säkerhetsåtgärder. Det kan till exempel göra det svårare att få en uppfattning om vilka tjänster – såsom ytor för datalagring – som forskare behöver för att kunna hantera sina data säkert. Vidare visar granskningen att avsaknaden av ändamålsenligt utformade it-tjänster och säkerhetsåtgärder bidrar till att forskare tar fram egna lösningar. Riksrevisionen bedömer att det kan få konsekvensen att forskningsdata inte skyddas från obehöriga och att likvärdig information får olika skydd.

Trots bristerna sker viss inventering och värdering av forskningsdata genom diverse arbetsprocesser och av flera olika funktioner inom lärosätena. Det förekommer att hanteringen av forskningsdata regleras genom att finansiärer och externa samarbetspartner ställer krav på datahanteringsplaner där forskningsdata ska klassas. Dessa planer sammanställs dock normalt inte av lärosätena. Det är inte heller alla forskningsprojekt som berörs. Det är också vanligt att forskarna gör egna mindre formaliserade bedömningar av skyddsvärden och skyddsbehov som inte dokumenteras.

Riksrevisionen bedömer att bristerna till stor del beror på att lärosätena inte har prioriterat arbetet med att inventera och klassificera forskningsdata. Lärosätesledningarna har inte i tillräcklig omfattning infört ändamålsenliga lärosätesövergripande arbetssätt för att identifiera skyddsvärd information. De har inte sett till att det finns ett tillräckligt bra stöd till prefekter och forskare för att kunna genomföra arbetet. Den kollegiala styrningen och lärosätenas ofta decentraliserade organisationsstruktur skapar utmaningar i styrning och implementering av ett systematiskt informationssäkerhetsarbete. Den stora andelen extern forskningsfinansiering och de olika krav som följer kan också bidra till att förklara avsaknaden av lärosätegemensamma arbetssätt.

5.1.2 Informationssäkerhet för forskningsdata är inte integrerat i lärosätenas riskanalyser

För att kunna göra ändamålsenliga riskbedömningar som inkluderar forskningsdata måste dessa först ha klassats. Riksrevisionen konstaterar att det ofta saknas förutsättningar för att göra sådana bedömningar eftersom forskningsdata inte klassas systematiskt enligt de modeller som lärosätet beslutat om. Granskningen visar att riskbedömningar kring forskningsdata ofta saknas på lärosätesövergripande nivå. Det är också ovanligt att fakulteter och institutioner genomför och dokumenterar bedömningar av informationssäkerhetsrisker överlag. Det kan leda till att informationssäkerhetsrisker för forskningsdata inte identifieras, analyseras och hanteras. Riksrevisionen konstaterar även att informationssäkerhet för forskningsdata inte inkluderas i tillräckligt hög utsträckning i den dialog om risker som förs mellan institutioner, fakulteter och central lärosätesnivå.

Granskningen visar vidare att forskare ofta gör löpande riskbedömningar i sitt arbete som inte nödvändigtvis dokumenteras eller kommuniceras, eller dokumenteras i exempelvis en datahanteringsplan eller i avtal med extern samarbetspartner. En förutsättning för ett effektivt riskarbete som tar hänsyn till hela verksamheten, inklusive forskningsdata, är att institutionernas riskbedömningar samlas upp och kommuniceras vidare. Riksrevisionen bedömer att lärosätenas brister i riskhanteringen rörande forskningsdata kan innebära högre risknivåer än vad man är medveten om eller är villig att acceptera.

5.2 Lärosätena har otillräcklig kunskap och kompetens att bedöma vad som är skyddsvärt

Riksrevisionen bedömer att kunskap och kompetens i frågor kopplade till informationssäkerhet överlag är bristfälliga hos många medarbetare. Det gäller kunskap såväl om hur man praktiskt ska arbeta för att skydda sin information, som om att klassa sina forskningsdata och förhålla sig till gällande regelverk och externa krav. Utbildningsinsatser når bara en liten del av lärosätenas personal. Lärosätena följer generellt sett heller inte upp genomgången utbildning.

Det saknas samsyn och kunskap både inom och mellan lärosäten om vad som är skyddsvärt och vilka skyddsvärden som finns kopplade till olika regelverk, exempelvis säkerhetsskyddslagen (2018:585). Bedömningen av skyddsvärden och skyddsbehov kräver inte bara förståelse för forskningen och dess värde, utan även kunskap om interna och externa intressenter, antagonister, hotbilder och juridiska krav.

Det räcker dessutom inte alltid att forskare har kännedom om skyddsvärden och risker kopplade till sina egna forskningsdata. Vissa risker uppstår först när data aggregeras, till exempel om en obehörig får tillgång till forskningsdata från olika verksamheter. Utan kunskap om vilka forskningsdata som är skyddsvärda på grund av exempelvis nationell säkerhet eller personlig integritet kan inte säkerhetsåtgärder dimensioneras på ett ändamålsenligt sätt.

Riksrevisionens granskning visar att medarbetare med dessa kompetenser, som till exempel informationssäkerhetschefer, säkerhetschefer och jurister, inte samverkar i tillräcklig utsträckning med forskarna för att bedöma risker relaterade till skyddsvärd information. Det är i sammanhanget en utmaning att dekaner och prefekter byts ut regelbundet eftersom det påverkar kontinuiteten i den kompetens som byggs upp i organisationen. För att upprätthålla kontinuiteten behöver det därför finnas rutiner och arbetssätt som inte är personberoende.

5.3 Lärosätesledningarna har inte styrt och organiserat informationssäkerhetsarbetet på ett effektivt sätt

I granskningen har Riksrevisionen sett exempel på otydligt ansvar, oklara delegationer och otydliga mandat. Det förekommer att lärosätena har informationssäkerhetspolicyer och delegationsordningar som inte är uppdaterade och som anger roller som inte finns i praktiken. Riksrevisionen konstaterar att även om ansvar för informationssäkerhet kan framgå av riktlinjer eller motsvarande kan det vara svårt för medarbetare att veta vad det innebär rent praktiskt.

Granskningen visar att nästan hälften av lärosätena har placerat den som är ansvarig för att samordna informationssäkerhetsarbetet på it-avdelningen. Det kan vara en konsekvens av att informationssäkerhetsarbetet av tradition har bedrivits med fokus på it-säkerhet. Riksrevisionen bedömer att placeringen kan utgöra ett hinder för att arbeta strategiskt på lärosätesövergripande nivå. Dessutom försvåras möjligheten att verka oberoende och kravställande i förhållande till it‑organisationen. Den informationssäkerhetsansvariga rapporterar inte alltid heller regelbundet till styrelse eller rektor.

Prefekterna innehar en nyckelroll som verksamhetsansvariga på institutionerna. Det är ofta via prefekterna som forskarnas behov av informationssäkerhetsåtgärder kan fångas upp och föras vidare. Men granskningen visar att såväl prefekter som forskare på institutioner vid samma lärosäte har olika uppfattning om sitt ansvar. Otydligheter om vem som är informationsägare och vad det ansvaret innebär leder till oklarheter i fråga om vem som ytterst ansvarar för att ändamålsenliga säkerhetsåtgärder införs och att forskningsdata skyddas i enlighet med gällande regelverk.

Att forskare inte vet vart de ska vända sig för stöd när det gäller hantering av forskningsdata kan bero på att stödet inte är lättillgängligt och verksamhetsanpassat. Men det kan också bero på att forskarna inte har förstått att det finns beslutade arbetssätt som alla förväntas jobba utefter. Riksrevisionens bedömning är att lärosätesledningarna inte gjort tillräckligt för att se till att beslutade riktlinjer implementeras i hela organisationen.

Riksrevisionen har inte gjort en bedömning av huruvida avsatta resurser för informationssäkerhet är tillräckliga men konstaterar att de varierar stort mellan lärosätena. En förklaring till det kan förstås vara skillnader i lärosätenas storlek och inriktning. Det är dock få lärosäten som kan ange hur mycket resurser som avsätts för informationssäkerhet på central lärosätesnivå, bland annat därför att arbetet är utspritt på många funktioner. Flera lärosäten uppger att de har svårt att rekrytera och behålla den kompetens de behöver för att kunna bedriva ett systematiskt informationssäkerhetsarbete.

Riksrevisionen har iakttagit att flera lärosäten brottas med liknande utmaningar när det gäller frågor om informationssäkerhet. Det gäller framför allt behovet av att höja den allmänna kunskapsnivån i informationssäkerhet bland forskande och undervisande personal, att kunna erbjuda tekniska lösningar för överföring, bearbetning och lagring av forskningsdata, samt utmaningen i att navigera i olika regelverk kring forskningsdata. Lärosätena har genom Sveriges universitets- och högskoleförbund (SUHF) tagit vissa initiativ till kompetenshöjning i sektorn, exempelvis genom samarbete med Försvarshögskolan och bildandet av särskilda expert- och arbetsgrupper inom informationssäkerhet och säkerhet. På enskilda lärosäten förekommer också kompetenshöjande aktiviteter och organisationsförändringar i syfte att förbättra informationssäkerhetsarbetet. Riksrevisionen ser positivt på dessa initiativ men bedömer att de har kommit för sent och varit otillräckliga. Sammantaget bedömer Riksrevisionen att lärosätesledningarna inte gett arbetet med informationssäkerhet tillräcklig prioritet.

5.4 Regeringens och myndigheternas åtgärder för att stärka informationssäkerhetsarbetet vid lärosätena har varit otillräckliga

Riksrevisionen konstaterar att regeringen varit senfärdig i sin uppföljning av informationssäkerheten vid lärosätena, trots att kunskap funnits om att den är bristfällig. Säkerhetsfrågor började tas upp i Regeringskansliets myndighetsdialoger med lärosätena först 2019. Regeringen har beslutat om flera uppdrag till lärosätena i form av bland annat återrapporteringskrav om informationssäkerhet 2022 och 2023. Det är för tidigt att uttala sig om effekterna av dessa uppdrag.

Regeringen har även gett uppdrag till MSB som en del av sin övergripande styrning av informationssäkerheten vid myndigheter. Riksrevisionen bedömer att dessa uppdrag och åtgärder varit otillräckliga för att stärka informationssäkerheten vid lärosätena. Genom verktyget Infosäkkollen, som MSB utvecklat, finns en begränsad möjlighet för regeringen att återkommande följa upp det systematiska informationssäkerhetsarbetet i offentlig sektor. Det beror bland annat på att Infosäkkollen är frivillig och i första hand framtagen för att organisationerna själva ska kunna utveckla sitt informationssäkerhetsarbete. I Infosäkkollen 2021 medverkade dessutom bara 15 lärosäten.

Sedan slutet av 2022 erbjuder MSB en rådgivningstjänst där myndigheter kan boka individuell rådgivning, utöver att skicka in frågor. De frågor som kommer in från lärosätena visar bland annat att förståelsen för informationssäkerhetschefens strategiska roll brister. Riksrevisionen bedömer att det är bra att Infosäkkollen och rådgivningstjänsten finns men att de inte utnyttjas i tillräckligt hög utsträckning som kompetenshöjande och rådgivande verktyg för lärosätena.

MSB har inte riktat några särskilda insatser till universitets- och högskolesektorn. Granskningen visar att lärosätena har särskilda förutsättningar exempelvis i fråga om stora och diversifierade datamängder med krav på öppenhet och tillgängliggörande. De är också decentraliserade organisationer med inslag av kollegial styrning där akademiska chefer regelbundet byts ut. Samtidigt är det tydligt i såväl MSB:s föreskrifter som MSB:s metodstöd att utformningen av informationssäkerhetsarbetet ska anpassas efter respektive verksamhets aktuella behov.

Myndigheter som Säkerhetspolisen och Inspektionen för strategiska produkter har genomfört vissa utbildningsinsatser vid lärosätena, men dessa har inte fått tillräckligt genomslag. Sedan december 2021 har de fyra länsstyrelserna Norrbotten, Skåne, Stockholm och Västra Götaland tillsynsansvar för säkerhetsskydd för lärosätena men ingen tillsyn har hittills genomförts.

5.5 Rekommendationer

Riksrevisionen bedömer att informationssäkerhetsarbetet vid universitet och högskolor gällande forskningsdata under lång tid överlag har varit eftersatt. Riksrevisionen lämnar därför nedanstående rekommendationer till regeringen och universitet och högskolor i syfte att snabbt få ett systematiskt informationssäkerhetsarbete på plats.

Till regeringen

  • Ge uppdrag till Myndigheten för samhällsskydd och beredskap att genomföra kompetenshöjande insatser till ledningarna för universitet och högskolor. Insatserna bör anpassas efter lärosätenas behov.
  • Ge uppdrag till universitet och högskolor att i samverkan inrätta en gemensam stödfunktion för informationssäkerhet. Etableringen bör ske i samråd med Myndigheten för samhällsskydd och beredskap och andra relevanta myndigheter. Dessa myndigheter bör även ge råd och stöd efter att funktionen etablerats. Stödfunktionen ska kunna bistå universitet och högskolor med bland annat följande:
    • rådgivning till dem som leder och samordnar informationssäkerhetsarbetet om bland annat utformning av informationssäkerhetsarbetet, analys, säkerhetsåtgärder samt tolkning och efterlevnad av regelverk om till exempel säkerhetsskydd och exportkontroll
    • behovsanpassade utbildningar och kurser i informationssäkerhet för samtliga medarbetare vid lärosätena
    • stöd för att analysera och bedöma sektorsgemensamma risker och externa hot till relevanta funktioner på lärosätena.

Stödfunktionen kan med fördel dra nytta av kunskap och erfarenheter från bland annat pågående lärosätesgemensamma samarbeten och nätverk inom informationssäkerhetsområdet.

Till de 24 universitet och högskolor som ingår i granskningen

  • Se till att roller och ansvarsfördelning är tydliga från ledningsnivå till enskilda medarbetare, så att varje medarbetare vet sitt ansvar när det gäller att hantera forskningsdata korrekt.
  • Se till att de som leder det strategiska informationssäkerhetsarbetet har mandat att ställa krav och granska informationssäkerhetsarbetet samt att de regelbundet rapporterar till lärosätesledning och styrelse.
  • Se till att arbetssätten för informationsklassning av forskningsdata är enhetliga.
  • Se till att det finns kompetens att analysera informationssäkerhetsrisker kopplade till forskningsdata.
  • Se till att det finns ett samordnat stöd för medarbetare att hantera forskningsdata korrekt under hela livscykeln.

Uppdaterad: 05 december 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?