6 Informasjonssikkerhet og personvern
Informasjon behandles i et samspill mellom mennesker, prosesser og teknologi. Informasjonssikkerhet15 handler om å sikre denne informasjonsbehandlingen og dermed verdiene som informasjon representerer. Det er ledelsen ved den enkelte virksomhet som har ansvaret for å etablere og opprettholde tilfredsstillende informasjonssikkerhet. Informasjonssikkerhet skal være en integrert del av det øvrige sikkerhetsarbeidet i virksomheten og skal inngå i den helhetlige virksomhetsstyringen.16 I kapittel 7, om sikkerhetsloven, beskrives det hvordan arbeidet med informasjonssikkerhet, forebyggende sikkerhetsarbeid og virksomhetsstyring kan samordnes.
KD har økt oppmerksomhet om dette området som følge av et skjerpet digitalt risikobilde, og forventer at arbeidet med informasjonssikkerhet og personopplysningssikkerhet gis høy prioritet hos alle virksomhetene i sektoren.
Som i kapittel 7, stilles det flere krav i dette kapittelet. Der det står "skal" må dette leses som "bør" for de virksomhetene som ikke er direkte underlagt departementet. Å kunne dokumentere etterlevelse av krav er en viktig del av internkontrollarbeidet innenfor informasjonssikkerhet og personvern.
Virksomheter som er omfattet av Kunnskapsdepartementets styringsmodell for informasjonssikkerhet og personvern i høyere utdanning og forskning skal følge kravene i rundskriv F-04-20 Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning.17 Formålet med policyen er å beskrive hvilke overordnede krav som stilles til arbeidet med informasjonssikkerhet og personvern i virksomhetene. Kravene i policyen følger av lovpålagte krav til arbeidet med informasjonssikkerhet og personvern, og øvrige nasjonale føringer for disse områdene. Policyen går ikke detaljert inn på hvilke regler som gjelder, men oppsummerer de overordnede kravene. Departementet forutsetter at virksomhetene er kjent med gjeldende lovgivning og retningslinjer på området og etterlever disse.18 Siste versjon av policyen er til enhver tid tilgjengelig på regjeringens nettsider under Kunnskapsdepartementets rundskriv. HK-dir har ansvar for den løpende sektorstyringen av arbeidet med informasjonssikkerhet og personvern i høyere utdanning og forskning, og skal følge opp at kravene i policyen etterleves. NOKUT fører uavhengig kontroll med etterlevelse av policyen. Sikt leverer viktige tjenester som skal styrke sikkerheten, i tråd med disse kravene.
Virksomhetene som ikke er omfattet av styringsmodellen for informasjonssikkerhet og personvern i høyere utdanning og forskning oppfordres til å se hen til de overordnede kravene beskrevet i policyen.
Et viktig grunnlag for arbeidet med informasjonssikkerhet, både i KD og i virksomhetene i sektoren, er: Nasjonal strategi for digital sikkerhet, Nasjonal strategi for digital sikkerhetskompetanse, Digitaliseringsstrategi for grunnopplæringen med handlingsplan, Strategi for digital omstilling i universitets- og høyskolesektoren.
|
Følge gjeldende regelverk, inkludert forvaltningsloven med e-forvaltningsforskriften, offentlighetsloven med forskrifter, sikkerhetsloven med forskrifter, personopplysningsloven med forskrifter, helseregisterloven med forskrifter, ekomloven med forskrifter, esignaturloven med forskrifter og reglement for økonomistyring i staten. |
|
|
|
|
6.1 Risikostyring og ledelse av informasjonssikkerhet og personvern
Gjennom sin kjernevirksomhet skaper, forvalter og deler KDs sektor informasjonsverdierav stor betydning for samfunnet. Eksempler på dette er store mengder personopplysninger og helsedata, og nye banebrytende teknologier og sensitive forskningsområder. Sektoren har verdifulle IKT-infrastrukturer, og svært avanserte informasjonsbærende laboratoriefasiliteter. Med sitt brede samfunnsoppdrag representerer også sektoren tjenester og aktiviteter som er viktige for landets daglige funksjon. Informasjonssikkerhet handler om å beskytte disse informasjonsverdiene.
De overordnede målene for informasjonssikkerhet er å ivareta informasjonens konfidensialitet, integritet og tilgjengelighet:
Konfidensialitet innebærer at informasjonen ikke blir kjent for uvedkommende
Integritet innebærer at informasjonen ikke blir endret utilsiktet eller av uvedkommende
Tilgjengelighet innebærer at informasjonen er tilgjengelig ved behov
Ulike regelverk krever at konfidensialiteten, integriteten og tilgjengeligheten til informasjon og informasjonssystemer er forsvarlig sikret.19 I de tilfellene der informasjonssikkerheten kan ha konsekvenser for liv og helse er også fysisk sikkerhet et helt sentralt sikkerhetsmål.
Disse målene reflekteres også i krav til informasjonssikkerhet som er innlemmet i flere lover og forskrifter, inkludert forvaltningsloven med e-forvaltningsforskriften, offentlighetsloven med forskrifter, sikkerhetsloven med forskrifter, personopplysningsloven med forskrifter, helseregisterloven med forskrifter, ekomloven med forskrifter, esignaturloven med forskrifter og reglement for økonomistyring i staten. Lovverket stiller krav til forsvarlig informasjonsbehandling og riktig beskyttelsesnivå, noe som blir særlig gjeldende i møte med økt digitalisering.Digitalt sårbarhetsutvalg (Lysneutvalget) viste tidlig til at Norge har ligget langt fremme når det gjelder digitalisering, noe som gjør at vi som samfunn også tidlig har møtt sårbarhetsutfordringer.20 Flere viktige systemer har blitt koblet på nett, og inngangsportene for en angriper er i dag mange. Leverandørkjeder kan bli lange og krevende å følge opp. Digitale avhengigheter har fått komplekse sammenhenger, og medfører nye sårbarheter.21 Manglende totaloversikt over informasjon, systemer, behandlingsprosesser og mulige sikkerhetshull krever etablering av fungerende helhetlig risikostyring.
Risikostyring av informasjonssikkerhetforutsetter nødvendig oversikt over egne informasjonsverdier, hvilke lovkrav som er knyttet til dem, og hvilke uønskede hendelser og trusler det er som må forhindres. Det innebærer å ha oversikt over egne sårbarheter, og å ha nok kunnskap om truslene som kan utnytte disse sårbarhetene for å ramme informasjonsverdiene. Tekniske sikkerhetstiltak alene vil ikke stoppe trusselaktørene, det er også nødvendig med helhetlig sikkerhetsstyring i virksomheten og god sikkerhetskultur blant brukere av systemer og virksomhetens ansatte. Dette øker robusthet, men også bevissthet og forståelse for sikkerhet hos den enkelte.22
Tiltaksområdene omfatter både menneskelige, tekniske og organisatoriske aktiviteter og investeringer, innenfor både IKT-infrastrukturen, forsvarlig informasjonsbehandling og arbeidsprosesser, og robuste responsmiljø. Det er nødvendig å bygge en sikkerhetskultur hvor oppmerksomhet og kunnskap om informasjonssikkerhet er en del av den strategiske organisasjonsutviklingen. Informasjonssikkerhet og personvern favner dermed bredt, og må sees på som et viktig internkontrollområde og et ansvar som strekker seg ut over virksomhetens IT-avdeling.
Alle KDs underliggende virksomheter skal ha et helhetlig ledelsessystem for informasjonssikkerhet. Omfanget av ledelsessystemet bør tilpasses virksomhetens størrelse og organisering, og de informasjonsverdier, aktiviteter og den egenart som virksomheten besitter. Ledelsessystemet skal beskrive virksomhetens mål og strategier for informasjonssikkerheten, og tydeliggjøre de roller og ansvarsområder som sikkerhetsarbeidet fordeles på. Ledelsessystemet skal beskrive alle de prosesser og aktiviteter en virksomhet samlet skal gjøre av planlagte og systematiske tiltak for risikostyring av informasjonssikkerhet, og være basert på anerkjente standarder som ISO/IEC 27001. Det er toppledelsens ansvar at det er nok ressurser til å støtte et tilfredsstillende arbeid med informasjonssikkerhet og personvern i virksomheten.
6.2 Håndtering av hendelser
Håndtering av alvorlige informasjonssikkerhetsbrudd og personvernhendelser inngår i ledelsessystemet for informasjonssikkerhet og internkontrollen for personvern. Alle virksomheter må ha en beredskapsplan for å kunne håndtere de hendelsene som kan inntreffe (se også kap. 5.2). Formålet med beredskap er å styrke virksomhetenes motstandsdyktighet når de utsettes for store, negative påkjenninger til tross for forebyggende sikkerhetsarbeid. Beredskap oppnås ved at virksomhetene har planlagt og øvd på hvordan ekstraordinære påkjenninger best kan mestres. Planer og øvelser skal sette virksomhetene i stand til raskt å oppdage, kontrollere, begrense skadene av og fjerne årsakene til informasjonssikkerhetsbrudd og personvernhendelser. Det skal også bidra til at virksomhetene kan videreføre kritiske oppgaver samtidig som håndtering av hendelser og gjenoppretting av normal drift pågår. Utdanningsinstitusjonenes håndtering av Covid 19-situasjonen er et eksempel på at evnen til å gjennomføre viktige deler av samfunnsoppdraget under vanskelige og unormale omstendigheter, for eksempel undervisning og eksamensavvikling, har stor verdi for studenter og ansatte.23
En IKT-sikkerhetshendelse kan ha følgekonsekvenser langt ut over den virksomheten som er rammet. Flere virksomheter kan også rammes hver for seg av den samme hendelsen f.eks. når det avdekkes sårbarheter i digitale tjenester som utnyttes bredt av trusselaktører. I et samfunn med en rekke digitale avhengigheter og lange, uoversiktlige verdikjeder stiller dette store krav til effektiv håndtering av alvorlige IKT-sikkerhetshendelser på nasjonalt nivå (jf. Lysneutvalgets NOU 2015:13). NSM har utviklet et rammeverk for å sette samfunnet bedre i stand til å håndtere alvorlige IKT-sikkerhetshendelser som rammer på tvers av sektorer. Rammeverk for håndtering av IKT-sikkerhetshendelser skal bidra til mer effektiv håndtering av alvorlige hendelser, fra virksomhetsnivå til politisk nivå, gjennom god utnyttelse av samfunnets samlede ressurser. Det skal videre bidra til å skape god situasjonsoversikt gjennom aggregering og koordinering av informasjon om alle relevante IKT-sikkerhetshendelser.
KD har innført dette rammeverket for virksomhetene som er omfattet av KDs styringsmodell for informasjonssikkerhet og personvern i høyere utdanning og forskning.24 Cybersikkerhetssenter for forskning og utdanning (tidligere Uninett CERT) er utpekt som sektorvist responsmiljø for virksomheter underlagt rammeverket. Disse virksomhetene har egne lokale responsteam, og et tett samarbeid med sektorvist responsmiljø gjør at disse nå er bedre forberedt til å håndtere fremtidige trusler og hendelser. Departementet er i gang med prosesser for å beslutte om rammeverket også skal gjøres gjeldende for de øvrige virksomhetene underlagt KD.
6.3 Forsvarlig behandling av personopplysninger
Personvern dreier seg om ivaretakelse av personlig integritet; ivaretakelse av enkeltindividers mulighet for privatliv, selvbestemmelse (autonomi) og selvutfoldelse.25
Personvern og informasjonssikkerhet er et kontinuerlig arbeid, og må derfor gis løpende oppmerksomhet. Endringer i systemer og rutiner kan få konsekvenser for virksomhetens evne til å behandle personopplysninger på en god måte. Personvern og informasjonssikkerhet handler om kultur og bevissthet. Det er derfor viktig at ledelsen tar ansvar og gir arbeidet med personvern og informasjonssikkerhet prioritet.
Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre in-formasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å av-klare om eksisterende sikkerhetstiltak er tilfredsstillende.26
Artikkel 5 i GDPR stiller krav om overholdelse av personvernprinsippene:
Prinsippet om lovlighet, rettferdighet og åpenhet: Personopplysninger skal behandles på en lovlig, rettferdig og gjennomsiktig måte. Behandlingen skal ha et rettslig grunnlag, og de registrertes rettigheter skal ivaretas.
Prinsippet om formålsbegrensning: Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål, og ikke behandles på en måte som er uforenlig med disse formålene.
Prinsippet om dataminimering: Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for.
Prinsippet om opplysningskvalitet: Personopplysningene skal være korrekte og oppdaterte.
Prinsippet om lagringsbegrensning: Personopplysningene skal ikke lagres lenger enn det som er nødvendig for å oppfylle formålet som personopplysningene behandles for.
Prinsippet om integritet og konfidensialitet: Hensynet til integritet og konfidensialitet skal ivaretas ved behandlingen. Personopplysningene skal behandles på en sikker måte, ved bruk av egnede tekniske eller organisatoriske tiltak.
Prinsippet om ansvarlighet: Virksomhetene skal kunne dokumentere at de ovennevnte personvernprinsippene blir overholdt ved behandling av personopplysninger.
All behandling av personopplysninger forutsetter tilpassede informasjonssikkerhetstiltak. Dette er et viktig, men ikke nødvendigvis tilstrekkelig element i godt personvern. Regelverket forutsetter at sikringstiltakene er tilpasset opplysningenes art, omfang, behandlingsformål og behandlingskontekst. Det skal tas hensyn til både sannsynlighet for og konsekvens av eventuelle brudd på personopplysningssikkerheten når sikringstiltak velges. Virksomhetene skal kunne dokumentere at personopplysninger behandles i tråd med personvernprinsippene, jf. artikkel 5 i personvernforordningen. Dette gjøres ved å etablere og vedlikeholde tiltak for å sikre at personopplysningene behandles i samsvar med regelverket, ved å etablere internkontroll. Virksomhetene har varslingsplikt til Datatilsynet og den registrerte ved brudd på personopplysningssikkerheten.
KD legger til grunn at virksomhetene i kunnskapssektoren er bevisst det ansvaret som påligger den enkelte virksomhet i etterlevelse av personvernlovgivningen.
6.4 Særlig om tjenesteutsetting
Det må gjøres særskilte vurderinger når en skal sette ut tjenester til eksterne leverandører, som for eksempel ved bruk av skytjenester.27 NSM er bekymret for tjenesteutsetting av samfunnskritiske IKT-tjenester uten tilstrekkelige risikovurderinger og sikringstiltak, og at data flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger. NSM har utarbeidet temarapporten Sikkerhetsfaglige anbefalinger ved tjenesteutsetting, med anbefalinger til offentlige og private virksomheter som vurderer å tjenesteutsette basisdrift, applikasjonsdrift eller applikasjonsforvaltning til en ekstern tjenesteleverandør.
Tjenesteutsetting som omfatter overføring av personopplysninger ut av EØS, til såkalte tredjeland, krever et særskilt grunnlag for å være lovlig. Formålet er å sikre at personopplysningsvernet blir det samme ved overføring til stater som ikke har det samme beskyttelsesnivået, som innenfor EØS-området. Det er viktig at virksomheten vurderer om overføringsgrunnlaget faktisk vil fungere slik det skal i forkant av en behandling. Hvis overføringsgrunnlaget ikke sikrer god nok beskyttelse for personopplysningene i seg selv, må man i tillegg iverksette andre tiltak.28
Overføring av personopplysninger til USA kunne tidligere skje dersom mottakeren var sertifisert etter EU-US Privacy Shield-rammeverket. Denne avtalen ble kjent ugyldig av EU-kommisjonen i den såkalte Schrems II-dommen 16.7.20. Dette innebærer at overføringer til USA må baseres på andre overføringsgrunnlag, jf. personvernforordningen kapittel V. Det er derfor særlig grunn for virksomhetene til å gå gjennom sine avtaler med tjenesteleverandører («tilbydere av elektroniske kommunikasjonstjenester») for å sikre at behandling av personopplysninger er i henhold til gjeldende regelverk.
For veiledning om forpliktelser ved overføring av personopplysninger utenfor EØS, henstiller vi virksomhetene til å rådføre seg med Datatilsynet, og holde seg orientert om veiledningsmaterialet på deres nettsider. Nasjonalt ressurssenter for deling av data/Digitaliseringsdirektoratet leder i tillegg et koordineringsarbeid med offentlige virksomheter, der formålet er å utveksle erfaringer og veilede offentlige virksomheter om tiltak og tilnærming til utfordringene som følge av Schrems II-dommen.
6.5 Råd og anbefalinger for å styrke informasjonssikkerhet og personvern
Det er utviklet et fellesprodukt med ti anbefalte tiltak som virksomheter i offentlig og privat sektor bør gjennomføre – se kapittel 3 i tiltaksoversikten til Nasjonal strategi for digital sikkerhet. Tiltakene er hentet frem gjennom et samarbeid bestående av virksomheter fra både offentlig og privat sektor. Tiltakene gir norske virksomheter et godt utgangspunkt for hva de bør tenke på, uavhengig av størrelse, modenhet og kompetanse om informasjonssikkerhet.
NSMs "Grunnprinsipper for IKT-sikkerhet" er et sett med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. De er et utvalg av de prinsippene og tiltakene NSM mener er mest relevante for norske virksomheter, men de omfatter ikke alle tenkelige tiltak. Utvelgelsen er gjort i samarbeid med norske offentlige og private virksomheter. Ved å implementere de anbefalte tiltakene mener NSM at virksomheter vil etablere et godt forsvar mot cybertrusler, men det er ingen garanti for at de ikke blir rammet.
Datatilsynet har utarbeidet en rekke veiledere, blant annet om internkontroll og informasjonssikkerhet, som kan være nyttige for virksomhetene i kunnskapssektoren. For veiledning i gjennomføringen av ledelsessystem for informasjonssikkerhet viser departementet til Digitaliseringsdirektoratets praktisk rettede veiledningsmateriell for internkontroll i praksis - informasjonssikkerhet og veiledningstjenestene til Sikt.
I forbindelse med sitt ansvar for den løpende sektorstyringen i UH-sektoren gjennomfører Direkto-ratet for høyere utdanning og kompetanse (HK-dir) årlige kartlegginger av arbeidet med informa-sjonssikkerhet og personvern hos den enkelte virksomhet. På bakgrunn av dette mottar virksom-hetene anbefalinger fra HK-dir for det videre arbeidet som det forventes at de følger.
HK-dir utgir resultatene fra kartleggingen i en årlig risiko- og tilstandsrapport. Virksomhetene kan benytte rapporten til å vurdere egen etterlevelse av «Policy for informasjonssikkerhet og person-vern i høyere utdanning og forskning» opp mot tilstanden i sektoren. Virksomhetene oppfordres også til å legge vurderingene av risiko til grunn for sin egen risikostyring på informasjonssikker-hets- og personvernområdet.
Cybersikkerhetssenteret for forskning og utdanning ble etablert i 2021. Uninett (Sikt, etter 2021) er ansvarlig for arbeidet, og utfører dette i tett samarbeid med UiO, NTNU og Norsk Senter for Forskningsdata (Sikt, etter 2021). Cybersikkerhetssenteret utvikler sektortilpassede tiltak og tjenester innenfor tre hovedområder: Analyse, respons og rådgiving. Områdene utfyller hverandre og tilbyr helhetlige og målrettede leveranser til sektoren. Leveransene skal bidra til at virksomhetene kan møte de føringer som er gitt i gjeldende Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning. I arbeidet til senteret ligger også de oppgaver som er tilknyttet rollen som «sektorvist responsmiljø», i henhold til Rammeverk for håndtering av IKT-sikkerhetshendelser i UH-sektoren. Cybersikkerhetssenteret vurderer sektorfellesskapet som den viktigste verdien for å skape økt beskyttelse og robusthet mot cybertrusselen, både på sektornivå og for hver virksomhet.
Nasjonalt cybersikkerhetssenter (NCSC) i NSM er den nasjonale responsfunksjonen for alvorlige digitale angrep. NCSC er knutepunkt for nasjonalt og internasjonalt samarbeid innen deteksjon, håndtering, analyse og rådgivning knyttet til digitale angrep.
NSM tilbyr også konkrete tjenester for å redusere sårbarheten for dataangrep. Blant disse er varslingssystem for digital infrastruktur (VDI), et nasjonalt sensornettverk på internett. I første omgang var sensornettverket rettet mot å avdekke forsøk på datainnbrudd mot kritisk infrastruktur. NSM anbefaler nå at også virksomheter som ikke har kritisk infrastruktur vurderer å skaffe seg en slik sensor. I den sammenheng har KD bedt alle sine underliggende virksomheter om å vurdere egen risiko og sårbarhet, for på denne bakgrunn å avgjøre om den enkelte bør søke om deltakelse i VDI.
KD anbefaler at sektoren benytter de ressurser innenfor informasjonssikkerhet og personvern som utvikles og tilgjengeliggjøres gjennom Sikresiden.no. Digitaliseringsdirektoratet har også en samling ressurser om informasjonssikkerhet som virksomheter i sektoren kan dra nytte av.
Prosjektet «SkoleSec», hvor kommuner og fylkeskommuner har gått sammen om å styrke arbeidet med personvern og informasjonssikkerhet knyttet til digitalt læringsmiljø i grunnopplæringen, tilbyr veiledere og ressurser for kompetanseutvikling. Foreningen kommunal informasjonssikkerhet (KiNS) har som formål å bidra til økt informasjonssikkerhet i kommuner og fylkeskommuner, og tilbyr kurs og verktøy til bruk i lokalt arbeid med informasjonssikkerhet og personvern. I tillegg inneholder Utdanningsdirektoratets nettsider om sikkerhet og beredskap nyttig informasjon om personvern i barnehage og skole.
I arbeidet med sikkerhetskultur og opplæring anbefaler KD at universiteter og høgskoler benytter seg av de kurs og opplæringstilbud som Cybersikkerhetssenteret tilbyr.