Åtgärder med anledning av utredning avseende informationssäkerhet

2013-11-07 BESLUT Dnr LiU-2012-02219 1(2) Åtgärder med anledning av utredning avseende informationssäkerhet på institutionsnivå Internrevisionen har i revisionsrapport den 16 januari 2013 valt att fästa universitetsstyrelsens uppmärksamhet på ett antal frågor rörande hanteringen av informationssäkerheten på institutionsnivå. Som resultat uppdrog styrelsen rektor att tillsätta utredningen Stärkt informationssäkerhet på institutionsnivå. Utredarna, universitetsstyrelseledamöterna Jan-Erik Ögren och Margareta Josefsson, har i rapport till rektor den 26 oktober 2013 föreslagit en rad åtgärder rörande hanteringen av informationssäkerheten på LiU. Universitetsstyrelsen vill genom detta beslut understryka vikten av att brister rörande informationssäkerheten inom LiU kontinuerligt åtgärdas samt uppdra åt rektor att säkerställa en robust IT-organisation och teknisk infrastruktur. Rektor ska pröva möjligheten att så långt det bedöms lämpligt genomföra utredarnas förslag. Vidare vill styrelsen peka på behovet av en bred verksamhetsförankring i genomförandet av detta beslut, ytterst i syfte att säkerställa bibehållen hög kvalitet i undervisning och forskning. Styrelsen delar utredarnas syn på att en uppdaterad IT-strategi som tar sin utgångspunkt i LiUs strategikarta samt arbetet med det pågående arbetet med det pedagogiska språnget långsiktigt behöver utarbetas. Universitetsstyrelsen beslutar, i syfte att stärka universitetets informationssäkerhet: 1. att uppdra till rektor att åstadkomma en gemensam, robust, teknisk hantering av LiUs IT-verksamhet och infrastruktur. 2. att uppdra till rektor att införa en gemensam IT-organisation på LiU. Universitetsstyrelsen

2(2) Beslut i detta ärende har fattats av universitetsstyrelsen vid dess sammanträde denna dag. I beslutet har deltagit ordföranden Anna Ekström, universitetets rektor Helen Dannetun och övriga ledamöterna, Sebastian Becker, Carin Franzén, Magnus Hall, Paul Håkansson, Margareta Josefsson, Tobias Karlsson, Albin Mannerfelt, Helena Persson, Kerstin Wigzell, Jan-Erik Ögren och Karin Öllinger. Vidare har närvarit prorektor Karin Fälth- Magnusson, personalföreträdarna Krzysztof Marciniak och Gabriel Thott, styrelsens sekreterare Jenny Ljung, chefsjuristen Göran Hessling, kommunikationsdirektören Mariethe Larsson, f.d. studeranderepresentant Niclas Söör, universitetsdirektören Kent Waltersson, samt biträdande IT-direktören Joakim Nejdeby, den sistnämnde föredragande. Anna Ekström Joakim Nejdeby

Informationssäkerhet vid Linköpings universitet 15 november 2013 Margareta Josefsson Jan-Erik Ögren

Denna version av rapporten har två tillägg jämfört med den rapport som lämnades till rektor den 26 oktober 2013 och som utgjorde bilaga till punkt 67 vid universitetsstyrelsens sammanträde den 7 november 2013. Båda tilläggen avser organisationen av nät för kommunikation vid universitetet. Det ena tillägget återfinns i kapitel 6.3 Den tekniska ITmiljön under rubriken Universitetsgemensamt nät, den andra i kapitel 7 som rekommendation 7. Sakinnehållet i tilläggen fanns med tillsammans med övriga rekommendationer vid den föredragning som universitetsstyrelsen tog del av. 2

Informationssäkerhet vid Linköpings universitet 1. Sammanfattning Den här rapporten är resultatet av ett uppdrag som rektor lämnade till oss i april 2013. Uppdraget föranleddes av en rapport från internrevisionen om informationssäkerhet på institutionsnivå och det därpå följande beslutet 1 i universitetsstyrelsen. Eftersom rapporten är relativt kortfattad nöjer vi oss med att som sammanfattning hänvisa till förslagen i kapitel 7 samt motiven till dessa i kapitel 6. 2. Bakgrund Mängden information har under den senaste tioårsperioden ökat dramatiskt och fortsätter att öka. Sätten att bearbeta, lagra, kommunicera och mångfaldiga information har utvecklats kraftigt med hjälp av ny teknik. Informationssäkerhet har därför blivit en angelägenhet för hela samhället. Inte minst för ett universitet är god informationssäkerhet av stor betydelse. Brister kan till exempel leda till att viktiga forskningsresultat försvinner eller kommer i orätta händer eller att studenter drabbas av förlust av dokumentation om sina studieresultat. Riksdagen beslutade våren 2004 om en ny strategi för informationssäkerheten i samhället. Strategin skulle i huvudsak bäras upp av fyra myndigheter, Krisberedskapsmyndigheten, Postoch telestyrelsen, Försvarets materialverk samt Försvarets radioanstalt. För att underlätta samarbetet mellan dessa bildades 2003 Samverkansgruppen för informationssäkerhet, SAMFI. År 2009 bildades Myndigheten för samhällsskydd och beredskap, MSB, den myndighet som nu har regeringens uppdrag att bland annat verka för hög informationssäkerhet i samhället. Det gör den bland annat genom webbplatsen informationssäkerhet.se. Myndigheter under regeringen har krav på sig att tillämpa ett systematiskt arbete med informationssäkerhet utifrån en standard, Ledningssystem för informationssäkerhet, LIS. Riksrevisionen har sedan 2009 granskat hur olika myndigheter uppfyller detta krav. Linköpings universitet granskades 2009, vilket ledde till en rapport i januari 2010 2. I denna konstaterar Riksrevisionen att ett ramverk finns på plats i form av en policy, men att de fastställda riktlinjerna och kunskaperna hos de ansvariga inte är tillräckliga. Man ansåg också att LiU inte har genomfört riskanalyser och att kontrollåtgärder och rutiner för uppföljning saknas. Påpekandena ledde till att universitetet arbetade igenom Ledningssystemet för informationssäkerhet och fastställde ett antal styrande dokument. Under 2012 genomförde internrevisionen vid Linköpings universitet en granskning av informationssäkerheten på institutionsnivå. Rapporten 3 lämnades till universitetsstyrelsen i januari 2013. I den konstaterades några brister gällande outsourcing av system, styrning och övervakning av forskningsprojekt, information och utbildning samt hantering av mobila 1 Universitetsstyrelsens beslut 2013-04-12 Dnr LiU-2012-02219 2 Granskning av intern styrning och kontroll av informationssäkerheten vid Linköpings universitet 2009. Dnr 32-2009-643 3 Informationssäkerhet på institutionsnivå. Rapport från Internrevisionen. Dnr LiU-2012-02219 3

enheter och molnapplikationer. Rapporten innehåller också förslag att söka lösningar för en ökad gemensam teknisk hantering av IT för att på så sätt öka informationssäkerheten. På grundval av denna rapport uppdrog rektor till oss att utreda frågan och komma med förslag till lämpliga åtgärder. 3. Uppdraget Rektor beslutade den 4 april 2013 att med anledning av internrevisionens rapport ge oss följande uppdrag 4 : Se över och föreslå hur ansvaret för kontroll och uppföljning av informationssäkerheten ska vara fördelat inom universitetet. Som en följd härav föreslå de förändringar som kan behövas av organisation och delegationsordning. Se över och föreslå möjligheter till ökad gemensam teknisk hantering av IT med syfte att nå hög informationssäkerhet. Särskild uppmärksamhet ska ägnas åt hanteringen av mobila enheter. Se över och föreslå förändringar av processen för outsourcing av IT-lösningar. Särskild uppmärksamhet ska ägnas åt riskanalys, upphandling och uppföljning. Utredningen förutsätts också ta del av exempel på hur andra lärosäten hanterar frågor om informationssäkerhet. 4. Underlag och metod Det styrande underlaget för vårt arbete har varit rektors uppdrag, som beskrivs under kapitel 3. Den underliggande rapporten från Internrevisionen samt MSB:s föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2009:10 5 har också varit vägledande. I arbetet har vi gått igenom de policy och riktlinjer med mera som universitetsstyrelse eller rektor fattat beslut om. Vi har också genomfört ett antal intervjuer samt gjort besök vid några andra lärosäten. 4.1 Policy och riktlinjer Vi har studerat följande policyer: IT-strategi för Linköpings universitet. Dnr LiU 319/02-14. Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet. Dnr LiU-2010-01529. Informationssäkerhetspolicy. Dnr LiU-2010-01689. Förvaltningsmodell för informationsbehandlande system vid Linköpings universitet. Dnr LiU- 2010-01692. Fastställande av objektägare för universitetets förvaltningsobjekt. Dnr LiU-2010-01693. Användning av molntjänster ett principbeslut. Dnr LiU-2012-00700. 4 Uppdrag avseende utredning kring informationssäkerhet på institutionsnivå. Dnr LiU-2913-00686 5 Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet. MSBFS 2009:10 4

4.2 Intervjuer Vi har under arbetets gång intervjuat följande personer: Margareta Fallsvik och Leif Blomberg, Internrevisionen Kent Waltersson, universitetsdirektör Joakim Nejdeby, IT-direktör Margaretha Grahn och Anders Fåk, Universitetsbiblioteket P-O Bremer, prefekt IEI Birgitta Öberg, prefekt IMH Stefan Samuelsson, prefekt och Maj-Britt Remneblad adm chef, IBL Lars Nielsen, prefekt ISY Mariam Kamkar, prefekt IDA Mattias Severin, prefekt ITN Roger Klinth, prefekt TEMA David Byers och Johannes Hassmund, LiU-IT Robert Ericsson, f d chef LiU-IT, nu chef studieadministrativa enheten Peter Eriksson, IT-chef IFM Magnus Glänneskog, adm chef ITN Kristina Arkad, teknisk chef ISY Alf Segersäll, supportchef IEI Sussane A Larsson, f d IT-samordnare och Petra Hallqvist, adm chef IMH Peter J Nilsson, ansvarig IT-strategi, IDA 4.3 Andra universitet Vi har besökt fyra andra lärosäten, Chalmers, Luleå tekniska universitet, Umeå universitet och Örebro universitet, för att informera oss om hur de arbetar med informationssäkerhet. 5. Informationssäkerhet vid några andra universitet 5.1 Chalmers Informationen är hämtad från en intervju med Tony Ottosson-Gadd, CIO. IT-organisation Chalmers har en avdelning för IT-styrning, som består av fyra personer med Tony Ottosson- Gadd som chef, och en avdelning för IT-service som består av ca 80 personer. ITorganisationen är centraliserad, en centralisering som påbörjades 2005 och har skett successivt sedan dess. Vinsterna är kostnadseffektivitet och förbättrad leveransförmåga. Den totala IT-kostnaden i dag är på 2004 års nivå. IT-infrastruktur Chalmers har ca 400 servrar, Linux och Windows. PC svarar för ca 80% av alla klienter, Mac för ca 20%, en andel som ständigt ökar. Linuxförekommer enbart marginellt och är på väg ut. För mobila enheter används IOS, Android och Windows. Centralt rekommenderas ca 10 mobila val. 5

Chalmers har ett centralt fillager och en gemensam katalogfunktion eller motsvarande och erbjuder ett antal varianter av arbetsplatser, Windows, IOS, Android och Linux. Styrande dokument Chalmers har en policy för informationssäkerhet. Eftersom lärosätet är ett aktiebolag har man ett annat styr- och ledningssystem att förhålla sig till. Revisioner utförs av Ernst&Young AB. Införande, uppföljning och rapportering Ledningen satsar mycket på att få ut informationen om informationssäkerhet till forskargrupperna. Den har däremot inte så stor tilltro till många centrala dokument som ingen läser. CIO gör en årlig rapportering till rektor, där eventuella varningssignaler tas upp. Incidenthantering CIO är ansvarig för incidenthantering, IRT. Resurserna köps från IT-service och motsvarar 1,5 heltidstjänst. Näten övervakas, men aldrig en enskild dator. Övervakning av en enskild dator görs enbart på order från Chalmers säkerhetschef. Chalmers har inte så mycket problem med virus och lösenord, däremot med copyright. Största oron är för säkerhetskopiering och därtill hörande återställningsrutiner. Det kan ta månader att komma upp i full drift efter ett haveri. Genomförda revisioner Revisioner görs inom ramen för Chalmers kvalitetssystem av Ernst&Young AB. En revision av informationssäkerhet kommer att göras 2014 med fokus på säkerhetskopiering. Hantering av molntjänster Box är en godkänd molntjänst, Microsoft Office 365 är under utvärdering. CIO tror mycket på lagring med molntjänster på sikt. Ett viktigt skäl är att hanteringen av egna fillager blir för tungrodd på sikt. Ytterligare avtal av typ Box kan bli aktuella. Framgångsfaktorer Följande faktorer är viktiga framgångsfaktorer: Verksamhetskritiska tjänster, som fillager och e-post måste ha central styrning. Det är viktigt att följa utvecklingen och vara proaktiv när det gäller nya tjänster. Vara noga med riskhantering vid införandet av nya tjänster Kunna erbjuda en palett av tjänster men under ordnade former, styrd valfrihet. 5.2 Luleå tekniska universitet Informationen från Luleå tekniska universitet är hämtad från intervju med universitetsdirektör Staffan Sarbäck och IT-chef Anders Nordin Anders Nordin är CIO och leder en stabsfunktion som består av ytterligare tre personer. Funktionen arbetar strategiskt och med beställarroll mot IT-service, som består av ca 60 personer. Organisatoriskt ser det alltså ut som det gjorde i Linköping före den senaste förändringen av organisationen. Anders uppfattar att ungefär hälften av universiteten har valt att organisera sig med en strategisk avdelning och en supportavdelning som är sidoställda. LTU har sedan några år tillbaka arbetat med att effektivisera sin organisation och sitt arbetssätt. Universitetet har sex institutioner. Den administrativa personalen vid institutionerna och de administrativa medarbetarna hör till den centrala organisationen för 6

verksamhetsstöd. I samband med den förändringen har man också flyttat såväl organisatoriskt som fysiskt alla som arbetar med IT-stöd till den centrala enheten IT-service. Det fungerar bra utan stor opposition. Det finns någon institution inom datasidan som vill ha egen support. Varje institution har en IT-samordnare som är kontaktperson mot de centrala funktionerna. Utgångspunkten för arbetet med informationssäkerhet har varit MSBs råd och anvisningar. När arbetet började anlitade man en extern konsult som på ett bra sätt kunde beskriva vad informationssäkerhet handlar om. En styrgrupp tillsattes med fokus på de administrativa delarna. Nu letar man en person som till 30-40% ska kunna arbeta med att driva och stödja det fortsatta arbetet. På sikt behövs också kontaktpersoner vid institutionerna. Arbetet har så här långt lett till att man befinner sig i införandefasen. Anders räknar med att det tar ytterligare ett par år innan allt är genomfört. När det gäller klassificeringen av dokument menar Anders att det måste ske enkelt genom att skapa typer av olika dokument. Än så länge har man arbetat med prefekter och administrativ personal, inte med lärare och forskare. Rektor har delegerat genom universitetsdirektören till CIO att vara ansvarig för informationssäkerhet. På fråga hur stora befogenheter CIO har blir svaret att befogenheterna finns, men att det sedan kan vara svårt att i praktiken peka med hela handen på en institution. En tydlig delegationsordning är av stor vikt. Några institutioner har kvar vissa egna forskningsrelaterade servrar. Gemensam katalogfunktion och e-post är helt centraliserat. Universitetet har inte tagit något beslut om molntjänster men Box rekommenderas. Anders menar att man aldrig kan vara helt säker på en molntjänst, men dessa kommer alltmer att ta över. Ett sätt att öka säkerheten är att kryptera när filer laddas upp i molnet. Det finns inga rekommendationer vad gäller mobila enheter. Biblioteket använder den gemensamma katalogfunktionen. Tekniskt går det även då att lösa att personer utanför universitetet får tillgång till bibliotekets tjänster. Universitetets datorsalar hanteras centralt. I flera fall behöver datorerna innehålla många applikationer. Totalt räknar man med att det finns 1 000 olika program på datorer i datasalarna. Institutionen lämnar in en lista på vilka programvaror som behövs och IT-service ser till att installera och ge support. Det stöd som studenterna behöver vid användningen av datorerna ges av respektive institutions lärare. Sammantaget verkar arbetet vid LTU vara mycket väl strukturerat. Det finns en genomgående idé och en plan för hur man ska komma framåt. Tillräckliga resurser verkar också vara avsatta. Den centraliserade organisationen är en stor fördel i sammanhanget. 5.3 Umeå universitet Informationen om Umeå universitet är hämtad från intervjuer med Sören Berglund, IT-chef och Karoline Westerlund, IT-strateg. Informationssäkerhet har de senaste åren varit ett aktuellt ämne i Umeå liksom på de flesta andra lärosäten i landet. Orsaken är framför allt de påpekanden som Riksrevisionen gjort. I Umeås fall har brister i informationssäkerheten påpekats vid de tre senaste årens revisioner. Universitetet tycker sig ha åtgärdat bristerna, men tydligen inte så att Riksrevisionen anser att 7

kraven är uppfyllda. Internrevisionen i Umeå har inte gjort någon granskning av informationssäkerheten. När jag vid intervjun gick närmare in på vad som gjorts och vad som återstår kunde jag konstatera att det övergripande regelverket verkar finnas på plats. Det består av följande dokument: Informationspolicy för 2002-2006. Dokumentet är inte helt aktuellt och består av anvisningar för det allmänna informationsarbetet. Handlar alltså inte specifikt om informationssäkerhet. IT-säkerhetsplan från 2011. Planen behandlar de krav som ställs på att de tekniska systemen fungerar, att lagring med mera görs utan att data försvinner eller förvrängs samt att det finns skydd mot intrång och otillåten användning. Regler för användning av universitetets IT-resurser från 2011. Reglerna tar upp frågan om behöriga användare, vad som är tillåtet och otillåtet att använda IT-resurserna till och vad man inte får göra på internet. Informationssäkerhetspolicy från 2011. Policyn beskriver övergripande vikten av informationssäkerhet för att skydda den information som finns och beskriver hur ansvaret för detta är fördelat vad avser informationsmängd och informationssystem. Policyn ska konkretiseras med regler, riktlinjer och instruktioner. Detta är inte gjort, såvitt jag kunnat utröna. Det finns också blanketter och mallar för ansvarsförbindelser, informationsklassning och riskanalyser. När jag sedan frågade om hur arbetet gått vidare på institutionsnivå verkar det som om det inte skett i någon större utsträckning. Det arbete som gjorts i Linköping för att identifiera olika informationsslag och bedöma risker har knappast alls gjorts i Umeå. Inte heller att konkretisera de olika roller som behöver finnas och bemanna dessa. En orsak till att man inte fullföljt arbetet är att det varit oklart till vem universitetsdirektören ska delegera det övergripande ansvaret för informationssäkerheten. Det har nu bildats en grupp som ska fortsätta arbetet. Den består av ett antal nyckelpersoner inom förvaltningen inklusive arkivarien. Att arkivarien deltar beror på den ändring som Riksarkivet gjort i bestämmelser om hur handlingar ska arkiveras. Ändringen går ut på att informationen ska systematiseras utifrån ett verksamhetsperspektiv istället för enbart utifrån handlingstyp. Denna systematisering kan vara en grund för den klassificering som ska göras när informationssäkerheten bedöms. Sammanfattningsvis blir min slutsats att Umeå har det grundläggande regleverket på plats, men en hel del att göra vad gäller konkretion av regelverket, implementering och förverkligande av det ute i verksamheten. 5.4 Örebro universitet I Örebro intervjuades Ann Öhrn, CIO sedan 2007, och David Hed, ansvarig för informationssäkerheten. 8

IT-organisation 2007 centraliserades all administration på Örebro universitet. All IT-personal fick söka tjänster i den nya organisationen. Målet var en 25%-ig effektivisering. 2010 fick man backa på en del befattningar, men befattningarna inom IT-området förblev centrala. Ingen ITpersonal finns ute på institutionerna. Idag består IT-avdelningen av 35 personer. Kostnaden för IT tas ut som en del av den universitetsgemensamma kostnaden. IT-budgeten är på 35 miljoner och fastställs av universitetsdirektören. All IT-upphandling sker centralt. IT-infrastruktur Örebro universitet har ett centralt fillager och central säkerhetskopiering. Fillagret beskrivs som en intern molntjänst. Universitetet har 80% PC, 20% Mac vilket ökar samt ett fåtal Linux Katalogfunktionen är gemensam vilket bland annat medger central uppdatering av nya mjukvarupaket. En standardarbetsplats är fastställd för anställda. Universitets studentportal och webb är egenutvecklade. För bärbara datorer erbjuds VPN-uppkoppling för distansarbete Institutionerna äger sina datorhallar, men de sköts av IT-avdelningen. OrU arbetar mycket efter ISO 2007. Systemförvaltningsmodellen är kärnan i styrningen. Införande, uppföljning och rapportering En systemförvaltningsmodell är införd och ca 65 Service Level Agreements, SLA, är skrivna. IT-chefen träffar systemägarna regelbundet två gånger per år. Incidenthantering Nättrafik, larm och virus följs och övervakas. Enskilda datorer övervakas inte rutinmässigt. Genomförda revisioner Riksrevisionen genomförde en granskning 2011 men hade inga kommentarer på IT-sidan. Universitetets internrevision har inte gjort någon granskning. Hantering av molntjänster För lagring och säkerhetskopiering rekommenderas i första hand det egna fillagret. Molntjänsten Box används och Microsoft Office 365 är under utvärdering. IT-avdelningen bestämmer vilken eller vilka molntjänster som får användas. Framgångsfaktorer Systemförvaltningsmodellen är kärnan i styrningen Centralisering Automatisering, det vill säga man satsar mycket på webbaserade tjänster Fjärrstyrning medger fjärrövervakning och minimerar antalet fysiska besök, samt möjliggör fjärruppdateringar av mjukvarupaket. All IT-personal är centralt placerad vilket medför att man kan hjälpas åt och skifta arbetsuppgifter. En central placering främjar dessutom kompetensutveckling. Viktigt att våga fatta tuffa beslut. 6. Nuläget vid Linköpings universitet och förslag till förändringar Den här nulägesbeskrivningen bygger på det skriftliga underlag vi utgått från samt den information vi fått under intervjuerna. De personer vi intervjuat har på ett bra sätt delat med sig av sin kunskap om hur den egna IT-miljön ser ut och är organiserad liksom om läget när det gäller arbetet med informationssäkerhet. 9

Den bild som växer fram är att IT-miljön vid Linköpings universitet är splittrad. Det beskriver vi närmare i det följande. Några har starka egna IT-miljöer och vill att det ska förbli så. Andra ser fördelar med att använda de universitetsgemensamma resurserna för till exempel IT-stöd. Flera har också synpunkter på hur samarbetet med den centrala IT-funktionen fungerar. Den enklaste beskrivningen av det är att det brister i förtroende mellan de olika nivåerna. De som har ansvaret för IT-frågorna på institutionerna känner sig till exempel inte alltid delaktiga i de förändringar som görs. Det enligt vår mening nödvändiga förändringsarbete som ligger framför måste bedrivas så att förtroendet återskapas. En förutsättning för att uppnå god informationssäkerhet är att IT-säkerheten är tillfredsställande. Detta är svårt att uppnå i en splittrad IT-organisation. Olika katalogfunktioner i olika delar av universitetet, lokala e-postservrar och decentraliserade fillager är exempel på detta, och beskrivs närmare i det följande. Vår bild är att de allra flesta ser att IT-organisationen behöver förändras. Vi har under intervjuerna ställt frågan hur IT-organisationen skulle se ut om man byggde upp ett nytt universitet. Alla menar att den då skulle vara annorlunda och mer sammanhållen. Det finns alltså en god grund för att arbeta i den riktningen. 6.1 Policy och styrdokument Det grundläggande dokumentet, Ledningssystem för informationssäkerhetssystem vid Linköpings universitet, beslutades av rektor den 22 november 2010 6. Där beskrivs och fastställs processen för styrning och ledning av informationssäkerheten vid lärosätet. Dokumentet följer de riktlinjer som finns beskrivna i relevanta ISO-standards 7 och på webbplatsen informationssäkerhet.se. I MSBs författning med föreskrifter om statliga myndigheters informationssäkerhet föreskrivs att det också ska finnas en informationssäkerhetspolicy och de övriga styrdokument som behövs. Policy beslutades samtidigt som ledningssystemet 8. I policyn beskrivs bland annat organisationen av och ansvaret för arbetet med informationssäkerheten. I femton bilagor beskrivs kontrollåtgärder för olika moment i systemen för informationsteknik. Två ytterligare beslut kompletterar LIS, nämligen fastställande av objektägare för universitetets förvaltningsobjekt 9 samt Förvaltningsmodell för informationsbehandlande system vid Linköpings universitet 10 Dokumenten beskriver hur olika informationstillgångar samlade i förvaltningsobjekt ska förvaltas och vilka som ska vara objektägare. En viktig uppgift är att kontrollera och följa upp informationssäkerheten. I informationspolicyn slås fast att det ska finnas en informationssäkerhetssamordnare som har det samlade ansvaret för arbetet med informationssäkerhet. I organisationen är det sedan prefekten eller motsvarande som är ansvarig för informationssäkerheten inom sin organisation. Det är naturligt att den som på olika nivåer är ansvarig för informationssäkerheten också arbetar med kontroll och uppföljning av densamma. Informationssäkerhetssamordnaren har ett särskilt ansvar att se till att det finns tydliga rutiner för hur denna kontroll och uppföljning ska gå till. 6 Ledningssystem för informationssäkerhet (LIS) vid Linköpings universitet. Dnr LiU-2010-01529 7 ISO/ICE 27001:2005, ISO/ICE 27002:2005 Information security Security techniques Information security management systems - Requirements 8 Informationssäkerhetspolicy. Dnr LiU-2010-01689 9 Fastställande av objektägare för universitetets förvaltningsobjekt. Dnr LiU-2010-01693 10 Förvaltningsmodell för informationsbehandlande systen vid Linköpings universitet. Dnr LiU-2010-01692 10

Men det behöver också finnas en kontroll och uppföljning som ligger vid sidan om de som har ansvar för informationssäkerheten. Denna ordnas bäst inom ramen för universitetets controllerfunktion. Även internrevisionen, som självständigt granskar universitetets styrning och kontroll, har en roll i detta avseende Universitetsstyrelsen har fattat ett principbeslut om användning av molntjänster 11. Beslutet är allmänt hållet och slår fast att universitetet inte bör motsätta sig användning av molntjänster. Styrelsen överlåter till rektor att besluta om vilka enskilda lösningar som ska tillhandahållas. Sammanfattningsvis kan vi konstatera att de styrande dokumenten vid Linköpings universitet väl fyller de krav som ställs i MSBs förordning Universitetet har en IT-strategi 12 som är fastställd i februari 2002. Strategin behöver av flera skäl uppdateras. Viktigast är att den togs fram före det att bestämmelserna om informationssäkerhet började gälla. Den utgår också från övergripande visioner och mål i den strategiska planen för 2000 2004. Det finns nu en ny strategikarta. En uppdaterad IT-strategi måste också ta hänsyn till den utveckling som skett inom IT-området de senaste tio åren. Om de förslag som vi lämnar senare i rapporten genomförs, leder också det till ett behov av uppdatering av IT-strategin. 6.2 Genomförande och implementering MSB har på sin webbplats informationssäkerhet.se ett metodstöd för hur arbetet för god informationssäkerhet bör läggas upp och genomföras. En översiktlig beskrivning av de olika stegen beskrivs i följande bild. För varje steg finns en beskrivning av hur arbetet bör bedrivas för att nå goda resultat. 11 Användning av molntjänster ett principbeslut. Dnr LiU-2012-00700 12 IT-strategi för Linköpings universitet. Dnr LiU 319/02-14 11

Linköpings universitet har enligt vår uppfattning genomfört delar av processen på ett bra sätt. Det gäller till exempel policy och styrdokument samt den första genomgången på institutionerna av vilka förvaltningsobjekt som kan identifieras och hur riskerna ska bedömas. Men arbetet med implementeringen måste fortsätta och intensifieras. Det finns anledning att gå tillbaka för att se om det finns saker kvar att göra i de tidigare delarna av processen samt framför allt att fortsätta implementeringen, så att arbetet med informationssäkerhet får acceptans och genomslag i hela verksamheten. För detta behöver en tidplan tas fram och tillräckliga personresurser tillföras. Vi bedömer att det krävs ett tillskott på 50% av heltid under åtminstone ett år. Ett bra sätt att göra information om informationssäkerhet lätt tillgänglig för universitetets medarbetare är att skapa en webbplats. På den kan förutom allmän information även projektplaner med mera finnas. 6.3 Den tekniska IT-miljön En gemensam katalogfunktion Vid vår genomgång av den tekniska IT-miljön kan vi konstatera att flera institutioner använder egna katalogfunktioner. Någon institution har ingen katalogfunktion utan använder ett annat sätt att lagra användarnamn och lösenord samt annan information om användarna. Detta är inte en tillfredsställande ordning utifrån perspektivet informationssäkerhet. En gemensam katalogfunktion är dessutom en grundläggande åtgärd som ger mycket stora möjligheter till gemensamma lösningar för studenter och anställda och goda förutsättningar för samarbete dem emellan. När vi aktualiserat frågan om en gemensam katalogfunktion har vi, från de som har egna, fått argumentet att den LiU-gemensamma katalogfunktion som nu finns, inte fungerar tillräckligt bra för de behov som institutionen har. Det är därför av största vikt att man arbetar tillsammans med institutionerna när en gemensam katalogfunktion ska utformas så att kvalitet och funktionalitet blir god. Ett universitetsgemensamt sätt att lagra filer och att göra säkerhetskopiering Även inom detta område finns olika tekniska lösningar på institutionerna. Några använder det universitetsgemensamma fillagret, andra har byggt upp egna fillager. Någon institution står i begrepp att göra en större investering i ett eget fillager. Detta är inte ett informationssäkert sätt att hantera lagring inom en organisation och dessutom inte en rationell och kostnadseffektiv lösning. Vi kan också utifrån intervjuerna konstatera att det finns en hel del brister när det gäller säkerhetskopiering av särskilt bärbara datorer och mobila enheter. Allt fler leverantörer erbjuder lagring med hjälp av en molntjänst. Några använder denna lagringsmetod, andra menar att den är alltför osäker. Vi tror att molntjänster i framtiden kommer att ta över alltmer av det lagringsbehov som finns. Det är alltså inte meningsfullt att förbjuda molntjänster utan bättre att verka för en ansvarsfull användning Vi föreslår att det gemensamma fillagret ersätter institutionsägda fillager och att universitetet beslutar om vilken eller vilka molntjänster som får användas samt vilken typ av information som är lämplig att lagra i ett moln. Universitetsgemensam e-post Vi ser det som en självklarhet att universitetet ska ha ett gemensamt system för e-post. Så är inte fallet; ett par institutioner har egna servrar för e-post och därmed också egen utformning 12

av de anställdas e-postadresser. Som vi har förstått det pågår en avveckling av detta på någon institution. Vi föreslår att återstående institutionsegna e-postservrar avvecklas och att alla anställda använder LiU-e-postadress. Även detta är viktig för att säkra god informationssäkerhet vid universitetet. Universitetsgemensamt nät Det finns institutioner som har och driver egna nät. Detta kan innebära risker för informationssäkerheten vid universitetet. Vi föreslår därför att kvarvarande lokala nät avvecklas, så att alla institutioner är uppkopplade till ett universitetsgemensamt nät. Mobila enheter Synen på användning av mobila enheter som smarta telefoner och surfplattor varierar. En institution skriver i sin policy att endast stationär datorer får användas. Skälet till det uppges vara, att det säkerställer regelbunden säkerhetskopiering. I praktiken förekommer på den institutionen och på alla andra såväl bärbara datorer som mobila enheter. Det är i och för sig sant att det är lättare att säkerställa säkerhetskopiering på stationära datorer än på andra typer av plattformar. Emellertid kommer användningen av mobila enheter att öka. Det är därför viktigt att ha ett proaktivt förhållningssätt. Vi föreslår att användning av olika typer av bärbara datorer och mobila enheter tillåts. Samtidigt måste universitetet ge möjlighet att säkerhetskopiera filer från olika plattformar. Det är också viktigt att informera om vilka typer av information som ur aspekten informationssäkerhet är lämpliga att lagra på mobila enheter och om riskerna med sådana. Standardarbetsplatser Att installera nya datorer är ofta tidskrävande. Nu görs det på flera håll inom universitet, vilket medför stora variationer i såväl hårdvara som mjukvara. Det innebär i sin tur att underhållet av datorerna blir onödigt resurskrävande. Vi föreslår därför att standardarbetsplatser specificeras för såväl stationära som bärbara datorer - för PC, Mac och eventuellt Linux. De utrustas med den programvara som alla behöver varefter ytterligare program kan installeras utifrån de behov som finns. Standardarbetsplatser i kombination med en gemensam katalogfunktion säkerställer också att nödvändiga uppdateringar av programvaror kan göras. Det bidrar till en höjd informationssäkerhet. Datorsalar Man kunde tro att datorsalar används mindre nu, när studenter i allt större utsträckning har egna datorer. Men så är inte fallet. Studenterna arbetar gärna tillsammans på campus. Det gör att tillgång till datorsalar fortfarande är av stor betydelse för en bra campusmiljö. Många datorsalar drivs och administreras av olika institutioner. Det medför bland annat att rutiner för inloggning skiljer sig åt. Det betyder i sin tur att det inte alltid är möjligt för studenterna att gå till en annan datorsal, om den de brukar besöka är fullsatt. Administrationen 13

av datorsalarna kräver också mer resurser, när programvara och underhåll ska administreras av flera olika parter. Vi föreslår att datasalarna administreras och drivs centralt. Institutionen beställer vilka programvaror som behövs, IT-avdelningen installerar önskade programvaror och ansvarar för driften. Institutionens lärare ger det stöd som studenterna behöver för att använda en specifik programvara i utbildningen. 6.4 Organisation 6.4.1 Den centrala IT-organisationen Universitetsförvaltningens organisation förändrades den 1 juli. Tidigare fanns ett område LiU- IT samt IT-kontoret som tillhörde området Verksamhetsstöd och Avdelningen ledningsstöd. IT-direktören hade ett övergripande processansvar och därmed en nära koppling till Universitetsledningen. LiU-IT och IT-kontoret har nu förts samman till en avdelning, ITavdelningen, som leds av IT-direktören. Avdelningen består av enheterna 1. IT-strategi och projekt 2. IT-support 3. Nätverk, IRT och telefoni 4. Systeminfrastruktur 5. Systemutveckling och systemförvaltning Det finns flera fördelar med en sammanhållen avdelning för IT-frågor. Till exempel blir ansvaret tydligare och rapportvägen till universitetsdirektören enklare. Men det finns också en risk att de viktiga strategi- och utvecklingsfrågor inte ges tillräckligt utrymme. Det beror framför allt på att IT-direktören kommer att behöva använda en hel del tid för operativa frågor och för ledning av de fem enheterna. Vi föreslår därför att man tillsätter en övergripande chef för enheterna 2-5. Det skulle avlasta IT-direktören och ge denne tid för inte minst det viktiga uppdraget som informationssäkerhetssamordnare. 6.4.2 IT-stödet på institutionerna IT-stödet på institutionerna varierar. Flera institutioner har valt att köpa tjänsten från den centrala supportenheten, andra har byggt upp egna supportorganisationer med en IT-chef som ansvarig och med några anställda tekniker. Det gäller framför allt institutionerna inom teknisk fakultet. Det finns naturliga förklaringar till denna skillnad. De tekniska institutionerna, särskilt de som verkar inom IT-området, började bygga upp sin verksamhet innan en universitetsgemensam supportorganisation var väl utvecklad. Dessa institutioner har också egen kompetens. En decentraliserad organisation av IT-stödet påverkar informationssäkerheten på ett negativt sätt. Ett exempel som kommit fram under våra intervjuer är brister i information om uppdateringar av programvaror i centrala system som alla institutioner är beroende av. Det har ibland lett till att studenter inte kunnat logga in i system som de använder i sin utbildning, det vill säga tillgängligheten till information har brustit. Ett annat exempel är svårigheten att få den kompetensutveckling som behövs och som är anpassad till universitetets gemensamma behov. För en liten lokal organisation kan det också vara svårt att ordna ersättare när medarbetare av olika anledningar är frånvarande. 14

De institutioner som valt att låta IT-avdelningen svara för support har mycket goda erfarenheter. De personer som tidigare var anställda på institutionen har förts över till ITavdelningen organisatoriskt, men behållit sin fysiska placering på institutionen. Det gör att närheten till institutionens medarbetare är oförändrad och innebär att fördelen med en decentraliserad organisation kan bibehållas. Vi har föreslagit flera tekniska förändringar i universitetets IT-miljö. En av dessa, en gemensam katalogtjänst som alla använder, har rektor beslutat om för rätt lång tid sedan. Trots det kan vi konstatera att beslutet ännu inte är verkställt. Det kan finnas flera skäl till det, men ett skäl är med säkerhet de svårigheter man möter i en decentraliserad organisation, där de som ska svara för genomförandet har sin organisatoriska hemvist i olika delar av universitetet. Förutsättningarna att på ett effektivt och bra sätt genomföra våra förslag och andra framtida förändringar blir därför mycket bättre i en samlad organisation. Det innebär också att förändringarna lättare kan utarbetas i samråd med berörda och att de därmed blir väl förankrade i hela organisationen. I en decentraliserad organisation uppstår ofta diskussion om brister beror på förhållanden vid till exempel en institution eller vid den centrala funktionen. Med en samlad IT-organisation kan en sådan diskussion inte uppstå. Ansvaret för verksamhetens innehåll och kvalitet ligger tydligt på den gemensamma organisationen och dess ledning och kan utkrävas av såväl institutioner som av universitetets ledning. Vi föreslår alltså att universitetet inför en samlad organisation för IT-stöd. De personer som arbetar med IT-support av olika slag på institutionerna förs organisatoriskt över till ITavdelningen. För att behålla den nära kontakten med institutionens medarbetare och god kunskap om verksamheten ska utgångspunkten vara att de som arbetar med IT-stöd har kvar sin fysiska placering på institutionen. För att säkra mycket god kvalitet i den sammanhållna organisationen föreslår vi att det görs en kompetensinventering av LiU:s samlade kompetens inom IT-området. Parallellt görs en inventering av LiU:s nuvarande och framtida kompetensbehov inom IT-området. Då dessa inventeringar är genomförda, görs en kompetensutvecklingsplan. Vissa forskningsmiljöer med särskilt stora beräknings- eller modelleringsbehov kan behöva egen stödpersonal. Det svarar mot det behov av forskningsingenjörer som finns inom delar av särskilt den tekniska och naturvetenskapliga forskningen. Var denna typ av personer ska höra hemma organisatoriskt behöver utredas särskilt. 6.5 Delegationsordningen Universitetsdirektören beslutade i juni 2013 om delegation till IT-direktören inom ITområdet. Den utgår från rektors delegationsordning 13, fastställd den 11 oktober 2012. De tre första punkterna avser modellen för objektförvaltning, ledningssystemet för informationssäkerhet och informationssäkerheten i LiUs IT-system. De följande punkterna avser beslut som rör LiUs gemensamma infrastruktur. Den avslutande punkten är av allmän karaktär och gäller beslut om särskilda regler och riktlinjer i övrigt för verksamheten inom ITområdet. Om universitetet genomför de förslag som vi presenterar i denna rapport, behöver delegationen till IT-direktören ses över. Hög informationssäkerhet förutsätter att policy, 13 Rektors delegationsordning 2012. Dnr LiU-2012-01218. 15

riktlinjer och andra anvisningar följs i hela verksamheten. Det i sin tur kräver att någon kan påtala brister och fatta beslut om hur dessa brister ska undanröjas. IT-direktören, eller någon annan befattningshavare, måste därför i en delegation ges tillräckligt mandat för att fatta sådana beslut. 6.6 Upphandling Internrevisionen har i sin rapport påpekat att universitetet inte har kontroll över vilka system och vilken information som finns i system som hanteras av externa leverantörer. Det är naturligtvis otillfredsställande med hänsyn till informationssäkerheten. Det är inte rimligt att alla delar av organisationen ska ha de juridiska och IT-tekniska kunskaper som krävs för en informationssäker upphandling av IT-system. Processen för upphandling bör därför ändras så att IT-avdelningen kommer med vid upphandling inom IT-området. Därmed säkerställs informationssäkerheten i det som upphandlas. För den upphandling som sker lokalt i verksamheten måste det finnas tydliga anvisningar för hur informationssäkerheten ska tillgodoses. 6.7 Information och utbildning Under våra intervjuer har det framgått att kunskapen om vikten av god informationssäkerhet och hur man uppnår den finns hos många chefer i organisationen, men brister hos övriga anställda. Internrevisionen har i sin granskning konstaterat att forskningsledare är medvetna om vilken information som är känslig, men att kunskapen om hur sådan information ska hanteras på ett säkert sätt skiftar. Det är därför nödvändigt att ge alla anställda kunskap om hur säker informationshantering kan uppnås. Det finns därför behov av återkommande utbildningar, både allmänna utbildningar och riktade utbildningar särskilt till gruppen forskare. Ett bra komplement till utbildning är att skapa en webbplats för informationssäkerhet. Universitetets webbplats för upphandling är ett bra exempel på en informativ webbplats. Som vi tidigare konstaterat är regler och riktlinjer för informationssäkerhet väl utformade. Dokumenten är emellertid omfattande. Det finns därför anledning att ta fram en kortare beskrivning av begreppet informationssäkerhet och vad man behöver tänka på. 7. Rekommendationer Vi föreslår att följande åtgärder vidtas: 1. Uppdatera universitetets IT-strategi. 2. Fullfölj arbetet med implementeringen av Ledningssystem för informationssäkerhet. Tillför personresurser för det arbetet. 3. Gör de anpassningar som behövs av den nuvarande gemensamma katalogfunktionen och besluta att den ska användas av alla. 4. Ersätt institutionsägda fillager med ett gemensamt fillager med god kapacitet och tillgänglighet. 5. Föreskriv vilken eller vilka molntjänster som får användas. 6. Införliva alla i det gemensamma systemet för e-post så att endast LiU e-postadresser används. 7. Avveckla kvarvarande lokala nät så att alla använder det universitetsgemensamma nätet. 8. Tillhandahåll möjligheter att göra säkerhetskopiering av mobila enheter och informera om vilken information som är olämplig att lagra på dessa. 16

9. Specificera standardarbetsplatser för PC och Mac samt eventuellt Linux. 10. Administrera och driv alla datorsalar med universitetsgemensamma resurser. 11. Tillsätt en chef för de fyra enheter inom det IT-avdelningen som arbetar med support, infrastruktur och system. 12. För organisatoriskt över de som arbetar med IT-stöd på institutioner och motsvarande till IT-avdelningen och skapa på så sätt en samlad organisation för den uppgiften. 13. Uppdatera delegationsordningen när föreslagna åtgärder är beslutade. 14. Säkerställ att IT-kompetens finns med när informationsteknik upphandlas. Ge tydliga anvisningar hur informationssäkerheten tillgodoses vid lokala upphandlingar. 15. Genomför återkommande utbildning och informationsinsatser i informationssäkerhet. Anpassa denna till olika målgrupper. 8. Referenser Referenserna återfinns i fotnoter till respektive källa. 17