Främmande staters underrättelsearbete mot svenska universitet och högskolor har intensifierats under senare år. Behovet av ett effektivt informationssäkerhetsarbete har därmed ökat, konstaterar Riksrevisionen.
Riksrevisionens granskning av de 24 lärosäten som bedriver naturvetenskaplig och teknisk forskning visar att de inte arbetar effektivt för att identifiera och hantera skyddsvärda forskningsdata – trots krav på detta i föreskrifter ända sedan 2008.
– Informationssäkerhetsarbetet kring forskningsdata har varit eftersatt vid lärosätena under lång tid och har inte bedrivits effektivt. Ansvaret för detta vilar i första hand på lärosätena, men regeringen och andra myndigheters åtgärder för att följa upp och stärka lärosätenas informationssäkerhetsarbete har varit otillräckliga, säger riksrevisor Helena Lindberg.
En övervägande del av forskningsdata behöver inte skyddas utan kan vara tillgänglig för alla. Men för att kunna identifiera vilka data som är skyddsvärda behövs kännedom om de forskningsdata som hanteras i verksamheterna. Eftersom lärosätena har bristande kännedom om vilka skyddsvärda data som de hanterar, och om det sker på rätt sätt, saknas underlag för korrekta riskbedömningar. Det försvårar i sin tur beslut om att införa ändamålsenliga säkerhetsåtgärder.
Många forskare har otillräckliga kunskaper och kompetens i frågor som rör informationssäkerhet. Det gäller bland annat kunskap om hur information ska skyddas rent praktiskt och hur forskningsdata ska klassas i förhållande bland annat till gällande regelverk och externa krav – inklusive säkerhetsskyddslagen, enligt granskningen.
Dessutom har regeringen varit senfärdig i sin uppföljning av informationssäkerheten vid lärosätena. Först 2019 började regeringen följa upp dessa frågor mer systematiskt i myndighetsdialoger med lärosätena och genom olika återrapporteringskrav.
De olika utbildningsinsatser och stöd som bland andra Myndigheten för samhällsskydd och beredskap (MSB) tillhandahåller har heller inte haft tillräckligt genomslag i högskolesektorn, menar Riksrevisionen.
Rekommendationer i korthet:
Riksrevisionen rekommenderar regeringen bland annat att ge MSB i uppdrag att genomföra kompetenshöjande insatser till ledningarna för universitet och högskolor.
Dessutom bör universitet och högskolor få i uppdrag att inrätta en gemensam stödfunktion för informationssäkerhet. Etableringen bör ske i samråd med MSB och andra relevanta myndigheter.
De 24 högskolor och universitet som ingår i granskningen rekommenderas att se till att roller och ansvarsfördelning är tydliga – från ledningsnivå till enskilda medarbetare – så att alla känner till sitt ansvar för att hantera forskningsdata korrekt.
Dessutom bör lärosätena se till att det finns kompetens att analysera informationssäkerhetsrisker kopplade till forskningsdata.
– Lärosätenas ledningar har inte prioriterat arbetet med informationssäkerhet i tillräcklig utsträckning och beslutade riktlinjer, rutiner och arbetssätt har inte implementerats fullt ut, säger Sara Monaco, projektledare för granskningen.