Hendingane blir meir alvorlege og trusselaktørane stadig meir profesjonelle, ifølge sikkerheitssjef ved <span class="caps">IT</span>-avdelinga på UiB, Øyvind Hope (til venstre), og <span class="caps">IT</span>-direktør Tore Burheim. Foto: Njord V. Svendsen
Hendingane blir meir alvorlege og trusselaktørane stadig meir profesjonelle, ifølge sikkerheitssjef ved IT-avdelinga på UiB, Øyvind Hope (til venstre), og IT-direktør Tore Burheim. Foto: Njord V. Svendsen

UiB rustar seg mot spionasje og digitale angrep

Publisert

​​​​​​​Universitetet manglar oversikt over servarar og utstyr som er kopla til internett. No startar eit stormløp for å styrke IT- og -informasjonstryggleiken.

– Det er den generelle tryggleikssituasjonen og den nylege trusselvurderinga frå PST som ligg bak, seier IT-direktør Tore Burheim.

IKT-tryggleik

* Informasjons- og IKT-tryggleik handlar om å sikre informasjon og sikre informasjons- og kommunikasjonsteknologi (maskiner, program etc).

* Informasjons- og IKT-tryggleik bygger på tre hovudprinsipp: konfidensialitet, tilgjengelegheit og integritet. Konfidensialitet: hindre tilgang for uvedkomande. Integritet: hindre at uvedkomande kan endre informasjon. Tilgjengelegheit: ha sikker tilgang til eigen informasjon og system.

(kjelde: NSM)

Tidlegare i år peika PST (Politiets sikkerhetstjeneste) på forsking og utvikling som særskilt utsette mål for fiendtleg etterretning.

IT-avdelinga ved Universitetet i Bergen (UiB) opplever stadige forsøk på å trenge inn i datasystema ved universitetet. UiB vart seinast i november i fjor utsett for eit stort angrep gjennom forsøk på passordfiske via 5500 epostar. For kort tid sidan kom det fram at 19 UiB-forskarar i 2015 vart lurt til å gi frå seg passord og brukarnamn av det som ifølgje amerikanske FBI var iranske hackerar.

No samlar IT-avdelinga ved UiB trådane i eit kampanjeprosjekt, Sikker-IT@UiB.no, som blant anna skal betre evna til å motstå, oppdage og handtere angrep på forskings- og IT-infrastruktur.

Manglar oversikt

Ei av dei største utfordringane framover er å sikre kontroll med serverar plassert rundt om på universitetet.

– Vi er nøydd til å få ei betre oversikt over lokale serverar som er eksponerte mot internett. Mykje utstyr blir i aukande grad kopla opp mot internett, utstyr som i utgangspunktet ikkje er laga for den type bruk, seier Burheim.

Dette kan dreie seg om alt frå TV med innebygd programvare til vitskapeleg måleutstyr.

Burheim vedgår at IT-avdelinga per i dag manglar utførleg oversikt over kva programvare som er i bruk på ulike serverar og utstyr som er i bruk.

– Det å sikre dette er ei stor utfordring.

I tillegg til Sikker-IT@UiB arbeider IT-avdelinga med «Lab-IT», eit prosjekt som skal etablere IT-tenester for UiBs mange laboratorium. Kvart einaste laboratorium skal som ein del av dette prosjektet kartleggast for å sikre informasjonstryggleiken.

– Samansurium

Nasjonal Sikkerhetsmyndighet (NSM), slår i sin rapport «Risiko 2018» fast at norske verksemder framstår som «lite motstandsdyktige». I rapporten står det at «NSM har sett alvorlige eksempler på manglende kontroll over risiko i offentlige virksomheter (…) uten tilstrekkelig planlegging, risikostyring og hendelseshåndtering».

Meir konkret enn dette er ikkje NSM i sine ikkje-graderte dokument.

– Generelt kan det for eksempel handle om datasystem der ein bygger nye komponentar på dei gamle, og til slutt kan ein ende med eit samansurium av komponentar, gamle på nye. Det er ein typisk måte å miste kontrollen på, seier informasjonssjef Trond Øvstedal i NSM.

NSM har i sine tilsyn avdekt «til dels alvorlige avvik» i offentlege verksemder, mellom anna knytt til tryggleiksstyring og IKT-infrastruktur. «En gjenganger blant NSMs tilsynsfunn er avvik som kan knytte til sikkerhetsstyring og helhetlig tenkning om sikkerhet», heiter det i risikorapporten frå NSM.

Pålagt betre styring

Eit styringssystem for informasjonstryggleik var nettopp det UiB starta innføringa av i 2015-2016, etter instruks frå Kunnskapsdepartementet. Offentlege verksemder er pålagt ved lov å ha godkjente styringssystem for informasjonstryggleik.

Dei siste par åra har «Styringssystem for informasjonssikkerhet», eit omfattande dokument som er bygd på etablerte standardar (ISO), vore eit viktig verktøy for IT-avdelinga med å ruste opp beredskapen på området.

– Dette har vore til stor hjelp i det arbeidet vi skal gjere, seier sikkerheitssjef ved IT-avdelinga, Øyvind Hope.

Eitt krav i denne manualen er å registrere og klassifisere hendingar, som for eksempel eit hackerangrep.

– I 2017 hadde vi 89 hendingar, så langt i år har vi hatt 37. Desse klassifiserer vi etter integritet, konfidensialitet og tilgjengelegheit, seier Hope.

Det betyr i praksis at hendingane blir vurdert utifrå kor kritiske dei er og i kva grad informasjonen om dei skal graderast av tryggleiksomsyn. Blant dei såkalla hendingane finst det alt frå mindre saker til store og svært alvorlege.

– Styringssystemet hjelper oss med å balansere IKT-tryggleik opp mot openheit, som universitetet skal ha, seier Hope.

– Vanskeleg balanse

Det aller viktigaste, meiner sikkerheitssjefen og IT-direktøren, er å gjere tilsette og studentar på universitetet meir bevisste om dei digitale farane og korleis ein skal handtere dei.

– Vi skal utvikle kultur for informasjonstryggleik på UiB, seier Hope.

Det skal mellom anna skje gjennom opplæring.

IT-direktør Burheim seier at innsatsen skal aukast framover. Det hastar, og arbeidet er krevjande.

– Balansen mellom akademisk fridom og IKT-tryggleik er i seg sjølv ei utfordring. Vi er 3500 tilsette med sine verktøy, programvare og anna utstyr. Vi kan ikkje avgrense den akademiske fridomen. Samstundes må vi finne løysingar som tar vare på tryggleiken, ikkje minst i høve til forsking og resultat. Derfor er bevisstgjering så viktig, seier Burheim.

LES I MORGON: Tilbyr tilsette usynlege kurs