Der er høje trusselsniveauer mod uddannelses- og forskningssektoren, og derfor bør der tages forholdsregler.
Den danske myndighed DKcert, som samarbejder med de danske universiteter, er kommet med sin årlige trendrapport for cybersikkerhedslandskabet i uddannelses- og forskningssektoren.
Og her peges der på en række tendenser inden for området.
Tidligere har rapporten været rettet mod ledelsen og it-ansvarlige på disse institutioner i Danmark, men nu er forskere, undervisere og teknisk-administrativt personale blevet tilføjet.
”Det er ledelsen, der ud fra risikovurderingen skal beslutte sikkerhedsniveauet og sætte ressourcer af til at implementere og drive sikkerhedsinitiativerne. Men vi kommer ikke uden om, at medarbejderne også har en væsentlig rolle at spille, når det handler om vurdering af værdien af eget arbejde og beskyttelsen af det,” udtaler chef for DKcert, Henrik Larsen, i en meddelelse.
Han fortæller, at når forskningssektoren skaber god værdi for det danske samfund, vil det også være attraktivt for ondsindede aktører.
Derudover har danske forskningsinstitutioner en række internationale samarbejder, og disse samarbejdspartnere vil også forvente et højt niveau af sikkerhed, så resultater og data ikke falder i forkerte hænder.
"Vi må se i øjnene af vores sektor er meget attraktiv i en international kontekst, når det handler om vores viden, forskningsresultater og den værdi, vi tilfører samfundet. Når det har værdi for os, har det også værdi for andre. Ikke kun cyberkriminelle, men måske også i særlig grad cyberspionage," udtaler Henrik Larsen.
Listen med anbefalinger
Rapporten giver en lang række anbefalinger personer med forskellige jobfunktioner i sektoren. Disse anbefalinger kan ses nedenfor:
Anbefalinger til ledelsen på uddannelses- og forskningsinstitutter:
Først og fremmest anbefaler DKcert, at ledelsen sørger for at sætte de fornødne midler af til cybersikkerhed.
Dernæst følger denne liste.
- Gør det tydeligt, at ledelsen er aktivt og løbende involveret i arbejdet med informationssikkerhed.
- Samtænk og integrer i videst muligt omfang de processer og procedurer (risikovurdering, implementering af standarder, tilsynsførelse og underretning om sikkerhedshændelser), hvor cyber, it- og informationssikkerhed og GDPR har snitflader med hinanden.
- Understøt en kultur, hvor dialog om informationssikkerhed er en del af dagligdagen, og hvor risiko og sikkerhed er tænkt ind fra starten i udviklingen af produkter og tjenester.
- Del viden og erfaringer og bidrag til den fælles styrkelse af informationssikkerheden i sektoren ved at anvende de tjenester, som DKCERT stiller til rådighed.
- Adressér informationssikkerhed i den langsigtede strategiske planlægning og udarbejd i tilknytning til det en strategi for kommunikations- og læringsindsatsen i forhold til cyber- og informationssikkerhed, som også indtænker studerende og ansatte, før de får tilknytning til institutionen.
- Sørg for løbende at adressere behovet for at efterleve retningslinjer for informationssikkerhed i organisationen og monitorer efterlevelsen. Det er ikke nok, at medarbejderne undervises.
- Tag stilling til risikoen for, at ansatte, studerende med videre bliver rekrutteret til uvederhæftige handlinger og overvej tiltag mod dette.
- Overvej evt. disciplinære forholdsregler og mulige konsekvenser ved overtrædelse af sikkerhedspolitikken ved fejl begået som følge af ubevidsthed eller uagtsomhed.
- Efterspørg beredskabsplaner, test og øvelser.
- Synliggør risikostyring gennem løbende risikovurderinger af forretningskritiske systemer – også ved hændelser, der rammer lignende institutioner.
- Lær informationssikkerhedspolitikken og lokale retningslinjer at kende.
- Vær bevidst om værdien af arbejdet og konsekvenserne ved kompromittering af fortrolighed, integritet og tilgængelighed.
- Tænk på, om arbejdsområder er tilstrækkeligt beskyttet i forhold til værdien – for eksempel i forhold til dataindsamlende apps på såvel arbejds- som private enheder.
- Vurder i hvilken grad jeres samarbejdspartnerne og interessenter stiller krav til en forøgelse af jeres informationssikkerhedsniveau.
- Understøt en kultur i områderne og blandt kolleger, hvor dialog om informationssikkerhed er en del af hverdagen.
- Beton vigtigheden af at gennemføre regelmæssige sårbarhedsscanninger.
- Anvend kommunikationshjælp til at gennemføre læringsrettede tiltag, og indarbejd det i planlægning af året.
- Tænk sikkerhed ind i relationen til leverandører og samarbejdspartnere og følg op med kontrol.
- Hav fokus på sikkerheden ved udvikling af applikationer og tjenester samt tilretninger af eksisterende systemer, eksempelvis med udgangspunkt i principperne om security og privacy by design.
- Anvend single sign-on suppleret med to-faktor-autentifikation. Overvej de forskellige typer to-faktorløsninger.
- Tilbyd en passwordmanager til brugerne.
- Hold øje for initiativer som følge af sektorens cyber- og informationssikkerhedsstrategi.
- Vær bevidst om at et vellykket angreb på én uddannelses- og forskningsinstitution sandsynligvis vil blive prøvet på en anden.
- Overvej brugen af persondata og beskyttelse af disse ved implementering af nye systemer. Vær opmærksom på princippet om dataminimering inden for GDPR.
- Afsæt ressourcer til deltagelse i og anvendelse af sektorens fælles tjeneste.