Framgångsrik forskning förutsätter öppenhet och internationell samverkan. Mycket forskningsdata kan vara tillgänglig för alla – men det finns behov av att skydda en del. Det kan handla om innovationer, företagshemligheter, säkerhet eller personuppgifter.
Säkerhetspolisen har noterat en ökad underrättelseverksamhet mot universitet och högskolor och svensk forskning och innovation de senaste åren. Ett mål är att stjäla kunskap för att själv kunna dra nytta av den i konkurrensen på olika områden.
Det är med andra ord viktigt att skydda den forskning och de innovationer som bör skyddas. Sedan 2008 finns det även krav på att universitet och lärosäten ska göra det.
I år har Riksrevisionen därför granskat hur bra lärosätena är på den uppgiften. Nu kommer resultatet: underkänt.
– Informationssäkerhetsarbetet kring forskningsdata har varit eftersatt vid lärosätena under lång tid och har inte bedrivits effektivt. Ansvaret för detta vilar i första hand på lärosätena, men regeringen och andra myndigheters åtgärder för att följa upp och stärka lärosätenas informationssäkerhetsarbete har varit otillräckliga, säger riksrevisor Helena Lindberg, i ett pressmeddelande.
I granskningen ingår 24 lärosäten som bedriver naturvetenskaplig och teknisk forskning. Medicinsk forskning har inte ingått, bland annat för att Riksrevisionen fått indikationer på att informationssäkerheten är bättre där. En tänkbar förklaring som ges till det är att man inom det medicinska området har mer erfarenhet av att skydda känsliga personuppgifter, exempelvis patientdata. Bland de granskade universiteten finns dock sådana som bedriver medicinsk forskning.
Det saknas ett effektivt informationssäkerhetsarbete för att hantera skyddsvärda forskningsdata, enligt Riksrevisionen. Ofta saknar lärosätena kunskap både om vad som är skyddsvärt och hur det ska skyddas. Det gör det svårt att göra korrekta riskbedömningar, vilket i sin tur gör det svårt att besluta om vilka säkerhetsåtgärder som behöver införas.
Många forskare och prefekter saknar tillräcklig kunskap om informationssäkerhet, exempelvis hur information ska skyddas rent praktiskt och hur forskningsdata ska klassas i förhållande bland annat till gällande regelverk och externa krav.
Lärosätena efterfrågar själva stöd för att bedöma informationssäkerhetsrisker.
– Lärosätenas ledningar har inte prioriterat arbetet med informationssäkerhet i tillräcklig utsträckning och beslutade riktlinjer, rutiner och arbetssätt har inte implementerats fullt ut, säger Sara Monaco, projektledare för granskningen, i pressmeddelandet.
Regeringen har inte heller varit tillräckligt aktiv med att följa upp hur informationssäkerheten vid lärosätena fungerar. Det var först för några år sedan, 2019, som ett mer systematiskt arbete startade.
Riksrevisionen föreslår flera åtgärder för att åtgärda bristerna.
- Myndigheten för samhällsskydd och beredskap (MSB) bör få i uppdrag att utbilda ledningarna för universiteten och högskolorna.
- Universiteten och lärosätena bör få i uppgift att skapa en gemensam stödfunktion för informationssäkerhet.
- De 24 högskolorna och universiteten rekommenderas se över roller och ansvarsfördelning, från ledningen ner till enskilda medarbetare. Alla ska känna till vilket ansvar de har att hantera forskningsdata korrekt.
- Lärosätena bör även se till att det finns kompetens att analysera informationssäkerhetsrisker kopplade till forskningsdata.
Läs hela rapporten här.