Universitetet i Oslo får god karakter for informasjonssikring og personvern

Universitetet i Oslo får god karakter for informasjonssikring og personvern. Universitetet vert samtidig oppmoda til å ha jamleg oppfylging av tenesteeverandørar som det har ein avtale om databehandling med. Det er konklusjonen frå statseininga Unit.

GOD KARAKTER FOR PERSONVERN: UiO får god karakter for både informasjonssikring og personvern frå Direktorater for IKT og fellestenester for høgare utdanning og forsking (Unit)

Foto: Colourbox

Kartlegginga av informasjonsikringa og personvernet på UiO er gjennomført av Direktoratet for IKT og fellestenester i høgare utdanning og forsking (Unit). Der peikar direktoratet på at det har eit svært positivt inntrykk av UiOs arbeid med informasjonssikring og personvern i 2019. I ei oppsummering av kartlegginga , som Uniforum har ein kopi av, trekkjer Unit fram at UiO har ein dokumentert internkontroll for GDPR (EUs personvernforordning) som er i ferd med å bli innført på universitetet, og som vert fylgd opp av eigne personvernkontaktar på fakultetet og institutta. Unit tar også med at leiingsystemet (LSIS) er dokumentert og innført fleire stader på universitetet. Også dette arbeidet har direktoratet eit positivt inntrykk av, og det understrekar også sterkt at det ser ut som om det har full støtte på leiarskaps- og styrenivå.  

Trekkjer fram UiO CERT

For Unit er det viktig at støtta til dette arbeidet frå leiinga framleis er sterk, går det fram av det seksjonssjef Agnethe  Sidselrud skriv i notatet. Det vert også vist til at UiO har ein stor styrkje samanlikna med andre institusjonar som det kan samanliknast med. Det gjeld UiO CERT som vert brukt til å styrkja den digitale sikringa. “Unit mener at UiO CERT ikke bare er viktig for den digitale sikkerheten ved UiO. Data som UiO CERT registrerer om sikkerhetstruende aktivitet på internettet, er også et viktig bidrag til Unit sine vurderinger av trusselbildet i sektoren som sådan”, skriv Agnethe Sidselrud. Også det faktum at UiO tilbyr ei teneste for sikker lagring av sensitive data i forskingsprosjekt, vert framheva som særleg viktig i denne kartlegginga.

UiO bør styrkja ressursinnsatsen

Unit meiner likevel at UiO bør styrkja ressursinnsatsen endå meir på dette området. Samtidig tilrår Unit at UiO held fram med innføring og praktisering av leiingsystemet for informasjonssikring og internkontrollen for GDPR. UiO vert også bede om å sørgja for at medarbeidarane får tilbod om opplæring og kompetanseheving på dette området. Det oppfordrar dessutan universitetet til å styrkja personvernkontaktane si evne til å hjelpa einingane sine på område som informasjonssikring og personvern. Ei anna tilråding går ut på at UiO må setja i verk planlagt arbeid med BIA (brukarstyrt innovasjonsarena) og samtidig etablera ein plan for vidare drift av nøkkelfunksjonar i kjølvatnet av alvorlege brot på informasjonssikringa. I tillegg rår Unit UiO til å styrkja kapasiteten for å kunne fylgja opp pliktene sine som databehandlar for andre institusjonar og verksemder i sektoren.

Til slutt vert UiO også rådd til å setja i verk tiltak for jamleg oppfylging av tenesteleverandørar som det er inngått databehandlaravtalar med, går det fram av kartlegginga til Unit.

– Bygd opp sterk funksjon sidan byrjinga av 2000-talet

Lars Oftedal er direktør for Universitetets senter for informasjonsteknologi (USIT). Han forklarar den gode karakteren UiO får frå Unit når det gjeld informasjonssikring og personvern med at dei har arbeidd målretta med dette i mange år.

IT-direktør Lars Oftedal ved UiO (Foto: Magnus Taraldsen/USIT) 

– Frå byrjinga av 2000-talet og fram til i dag er det bygd opp ein liten, men kompetansemessig sterk funksjon hos den sentrale IT-avdelinga, USIT, med både IT-sikring og IT-juridisk kompetanse. Denne funksjonen har vore prioritert, og leiinga har vore villige til å satsa på området. I tillegg har UiO over mange år gitt USIT høve til sentralisert drift av viktige delar av IT-infrastrukturen. Dette har også vore viktig, gjer Lars Oftedal klart overfor Uniforum.

– Unit framhevar systemet med UiO CERT. Kor viktig er det for at data- og informasjonssikring er så godt verna ved UiO? 

– UiO-CERT er veldig viktig for på ein god måte å kunna følgja opp brot på informasjonssikringa og andre IT-sikringssaker. UiO-CERT blei oppretta i 2005, og er med det eit av dei tidlegast etablerte hendingsresponsteama i Noreg. Over åra har UiO-CERT opparbeidd seg ein stor verktøykasse som gjer at hendingar kan handterast på ein rask og formålstenleg måte. UiO-CERT har berre ansvaret for oppfølging av hendingar, det proaktive arbeidet og policy-arbeidet vert utført av IT-sikringsgruppa i staben til IT-direktøren, svarar Lars Oftedal.

Trur UiO også ville ha kome godt ut av ei vurdering i 2020

Kartlegginga til Unit blei gjennomført i 2019. Etter at koronatiltaka blei innførte frå 12. mars 2020, har det vore ein eksplosjon i bruken av digitale løysingar på UiO. IT-direktør Lars Oftedal trur likevel at UiO hadde kome like godt ut av vurderinga av informasjonssikringa og personvernet, også om kartlegginga hadde blitt gjort dei første tre og ein halv månadane av 2020.

– Me meiner at innføringa av nye digitale tenester no har blitt gjort på ein god og sikker måte. Informasjonssikringa ved UiO skal ikkje vera noko dårlegare no, men USIT og resten av IT-organisasjonen på UiO har måtta omstilla seg og arbeida annleis på fleire felt. Fordi informasjonssikring er tett bakt inn i arbeidsmetodikken, har me kunna innføra nye digitale løysingar utan at det har gått ut over informasjonssikringa, understrekar han.

Jobbar med ekstra gjennomgang rundt Zoom

– No er den digitale plattforma Zoom i utstrekt bruk. Det er blitt avdekt nokre veikskapar med den plattforma, mellom anna kom det opp ein video med barnepornografi på eit nettkurs organisert av Karrieresenteret. Har USIT og UiO full kontroll med at det ikkje vil skje liknande ting med Zoom og andre digitale plattformer på UiO? 

– Det er vanskeleg å sikra seg 100 % mot slike svært uheldige og beklagelege hendingar. UiO har hatt fokus på problemstillinga, og det vert no jobba med ein ekstra gjennomgang av dokumentasjon og informasjon rundt Zoom og me vil ha betre opplæring av møteleiarar i Zoom. Me vil gjera det me kan for å forhindra at tilsvarande skjer igjen. Det er utfordrande å sikra eit ope møte, men med riktig bruk av dei moglegheitene verktøyet gir og god kunnskap, skal ein kunna bruka Zoom på ein sikker og trygg måte, er Lars Oftedal heilt sikker på.

Emneord: USIT, Universitetspolitikk Av Martin Toft
Publisert 22. apr. 2020 05:30 - Sist endra 23. apr. 2020 14:15
Legg til kommentar

Logg inn for å kommentere

Ikkje UiO- eller Feide-brukar?
Opprett ein WebID-brukar for å kommentere