– Vi må alle bidra til å bygge en sterk sikkerhetskultur


En ny faggruppe som skal styrke fokuset på personvern og informasjonssikkerhet ved UiT ble opprettet 1. januar i år. Gruppa skal blant annet jobbe med å bevisstgjøre ansatte og studenter på alt fra svindelforsøk til sikkerhetsbrister.

Faggruppa består av (fra venstre) gruppeleder Ørjan Dypvik Pettersen, Ingeborg Hellemo, Lars Slettjord, Christian Isaksen og Ingvild Stock Jørgensen. Foto: Randi Solhaug

Faggruppe for personvern og informasjonssikkerhet er plassert i Avdeling for IT, direkte under IT-direktøren, og skal gi råd, utarbeide policyer, verktøy, opplæringsmateriell og ha en internkontrollfunksjon.

– Det er strenge krav til kjernevirksomheten når det gjelder å ivareta personvern og informasjonssikkerhet, og opprettelsen av den nye faggruppa markerer derfor et sterkere fokus og en større satsing på dette feltet fra UiT sin side, forteller jurist Ingvild Stock-Jørgensen, som er en av fem ansatte i den nye faggruppa.

Sikkerhetskultur og ryggmargsrefleks

Personvern og informasjonssikkerhet henger tett sammen. Personvern er en rettighet alle har, og den omfatter retten til et privatliv og retten til å bestemme over egne personopplysninger. Informasjonssikkerheten skal blant annet sikre at informasjon (for eksempel om personer) og informasjonssystemer bare er tilgjengelig for den som skal ha tilgang. 

– Det er lett å tro at personvern og informasjonssikkerhet bare er noe IT-teknikere må bekymre seg over og ta hånd om. Det er det ikke, forteller lederen for den nye faggruppa, Ørjan Dypvik Pettersen.

Han nevner flere områder som kan være sårbare, og der mange kanskje synder:

Låser du skjermen før du forlater PC-en din? Lar du gamle notater med sensitive opplysninger ligge på kontoret i stedet for å makulere dem? Er det innsyn til møterommet når du presenterer noe på skjermen? Alle disse tingene kan virke uskyldige nok, men kan innebære en mulighet for uvedkommende å få tak i opplysninger de ikke skulle hatt.

Se også: Aleksander ble mål for direktørsvindel

– Vi må alle være med på å bygge en ansvarlig sikkerhetskultur. Denne kulturen må gjøre det naturlig for alle ved UiT å tenke sikkerhet først, sier Pettersen.

– Sikkerhet må sitte i ryggmargsrefleksen hos studenter og ansatte, for det oppdages stadig nye måter å utnytte folk og systemer på, legger Ingvild Stock-Jørgensen til.

Bedragerisak var en vekker

Rett før jul i fjor ble det kjent at UiT hadde blitt utsatt for en avansert form for faktura- og betalingsbedrageri. Dette er en type svindel hvor personer med utbetalingsmyndighet forledes til å betale en falsk faktura. Svindelen skjedde i forbindelse med mottak og betaling av en faktura på 1,2 millioner euro fra en utenlandsk leverandør.  

I den forbindelse uttalte universitetsdirektør Jørgen Fossland at slike hendelser utfordrer UiTs eksisterende systemer og rutiner, og at det er nødvendig med økt årvåkenhet ved større transaksjoner, spesielt ved kjøp fra utlandet.

– Dette var ikke et innbrudd, men svindlere benyttet teknikken sosial manipulasjon for å få endret betalingsinformasjonen. Svindlere kan være svært profesjonelle og dyktige, og mange forbereder seg godt. Svindelforsøk kan derfor ramme oss alle, og et viktig tiltak mot dette er nettopp å bygge en sterk sikkerhetskultur i organisasjonen, påpeker Stock-Jørgensen.

Se også: Informasjonssikkerhet ved UiT

Kan gi omdømmeknekk

­I 2019 vedtok UiT en ny strategi for informasjonssikkerhet

UiT er også pålagt av Kunnskapsdepartementet å ha et sterkere fokus på personvern og informasjonssikkerhet. Dette er områder som også får mye oppmerksomhet utad. Innføringen av GDPR er et eksempel. Straffen for å ikke følge lovverket kan også bli ganske stor:

– Det sier litt om alvorlighetsgraden når man kan risikere millionbøter fra Datatilsynet for de groveste forseelsene. Likevel er det ikke boten i seg selv som er det verste: Det er de alvorlige konsekvensene det kan ha for enkeltmennesker å få sine opplysninger spredt, sier Ingvild Stock-Jørgensen. 

– I tillegg kan det ha store konsekvenser for forskningsprosjekter – man kan jo risikere at år med forskning og innsats går tapt på grunn av manglende sikkerhetsrutiner. Det kan også gi en knekk i omdømmet ditt som forsker eller omdømmet til institusjonen din. Vil noen delta i dine framtidige forskningsprosjekt dersom de vet at personvernet ikke var ivaretatt i ditt forrige forskningsprosjekt?, spør Ørjan Dypvik Pettersen. 

Faggruppe for personvern og informasjonssikkerhet ved UiT er helt ny, og hadde tidligere denne uka sin første workshop . Foto: Randi Solhaug

Roser fakultetene

Gevinsten med å ha en egen faggruppe som har det overordnede ansvaret for å følge opp informasjonssikkerhet og personvern, er at det blir et helhetlig blikk på området og det følges tett opp. Men ansvaret for at regler og rutiner blir fulgt i det daglige ligger fremdeles hos den enkelte enhet.

I høst fikk fakultetene og Universitetsbiblioteket (UB) ved UiT for første gang i oppgave å rapportere hva de gjør på dette feltet, inkludert kartlegging av informasjonsverdiene, enhetenes trusselvurderinger, samt hvordan de arbeider med informasjonssikkerhet.

– Her gjorde fakultetene og UB er en veldig grundig jobb og rapporteringen viser at det gjøres mange gode vurderinger og mye godt arbeid. Det vil vi gjerne rose dem for, understreker Stock-Jørgensen og Pettersen.

Meld fra om sikkerhetsbrister

Videre forteller de at faggruppa gjerne ønsker at folk tar kontakt og melder ifra dersom de reagerer på noe når det gjelder personvern og informasjonssikkerhet. 

– Det skal være lav terskel for å ta kontakt. Ofte er det bare små justeringer som skal til for å forbedre noe, sier Ørjan Dypvik Pettersen.

Gruppa planlegger også å ha jevnlige infomøter ute i organisasjonen, og ber de som er interessert i dette om å ta kontakt via nettsiden UiT Sikkerhet.

Se også: I 2019 fikk UiT eget personvernombud

På Twitter   #norgesarktiske