IT-SIKKERHETSSATSING VED UIB - 2023-2025
Tiltaksområde 3: Redusere risiko ved egendriftet klient og lokalt driftet utstyr
Mange av UiBs sikkerhetshull og sårbarheter er knyttet til IT-utstyr og klienter som driftes og forvaltes lokalt.
Foto/ill.:
UiB
Hovedinnhold
Mange av miljøene har ikke kapasitet, kompetanse eller struktur for sikker nok drift og forvaltning.
- Effektuere systemeieres ansvar for å sørge for sikker drift og forvaltning
Ansvar for å se til sikker drift og forvaltning av IT-systemer og data er plassert hos systemeier gjennom styringssystemet for informasjonssikkerhet og personvern, https://regler.app.uib.no/regler/Del-4-OEkonomi-eiendom-og-IKT/4.3-Infor... - men det er behov for å løfte kompetanse og bevissthet rundt dette hos systemeierne. Målgruppe er instituttledere og tilsvarende nivå i sentre og fellesadministasjonen. HR-avdelingens opplæringssopplegg for disse justeres og det informeres aktivt gjennom møter. Tiltaket planlegges fullført i løpet av høsten 2024.
- Alle systemer i UiBs kjernenett driftes og forvaltes sentralt
Det er svært mange tilfeller av forskningsutstyr og -infrastruktur som er satt opp på UiBs nett uten involvering av IT-kompetanse eller der lokalt ansatte har satt dette opp på nett uten å ha kompetanse eller kapasitet til å sikre det ordentlig. Svært ofte er dette oppsett som passer inn i sentrale løsninger, men der disse er valgt bort av forskjellige grunner. Det er også en del tilfeller der IT-avdelingen har levert serverdatamaskin mens lokalt ansatte har satt opp vevsapplikasjoner eller andre servertjenester uten at applikasjonene er satt opp eller driftet sikkert. I utgangspunktet skal alle tilfeller av dette inn i sentrale, standardiserte driftsløsninger og der behov og eksisterende tilbud ikke samsvarer, skal nye løsninger vurderes som et alternativ til avvikling. Unntaksvis vil denne konsentrasjonen av løsninger medføre at enkeltpersoner mister nok oppgaver til at det kan vurderes at kravene til «Rett og plikt» etter UiBs omstillingsavtale er oppfylt, da vil det tas initiativ til en mulig flytting av personell. Tiltaket utføres i regi et eget prosjekt, Prosjekt Sikre forskningssystemer https://www.uib.no/psfs - det har vært aktivt siden februar 2022 og skal løpe fram til utgangen av 2025. Vår 2024 er det fokus på MatNat, KMD og Psykologi, høst 2024 vil det være primærfokus på MatNat og Medisinsk fakultet.
- Redusere antallet egendriftede PCer og øke bruken av klientdriftet utstyr
Det er estimert at våren 2022 hadde UiB nær 2000 personlige datamaskiner med tilgang til å kobles på kablet nett, men der IT-avdelingen ikke var driftsansvarlig. I mange tilfeller er sentral klientdrift aktivt unngått. Dette er identifisert som et stort IT- og datasikkerhetsproblem. Det gjennomføres en kapasitetsøkning på IT-avdelingen til drift av Windows, Linux og Mac for klientmaskiner med et etterfølgende kvalitetsøkningsprosjekt på alle tre plattformer. Kapasitetsøkning er aktiv fra første kvartal 2024, kvalitetsøkningsprosjekt er aktivt gjennom andre og tredje kvartal 2024 med et mål om å aktivt legge om egendriftede PCer til sentraldrift gjennom fjerde kvartal 2024 og om nødvendig videre framover.
- Rydde i IOT-utstyr, drift og forvaltning
I tillegg til personlige datamaskiner og forskningssystemer er det også svært mye annet utstyr som er koblet på nett ved UiB uten å være sikret ordentlig. Der dette utgjør UiB-infrastruktur, enten knyttet til drift av bygningsinfrastruktur eller annen administrasjon er det viktig at dette kommer på trådløst eller kablet nett på en måte som ikke er avhengig av personlige kontoer for autentisering, eller som utgjør en sikkerhetstrusler for selve utstyret eller data det håndterer. Det skal etableres et forvaltnings- og driftsopplegg for slikt utstyr i samarbeid med Eiendomsavdelingen. Bemanning er på plass fra vår 2024 og videre arbeid er under planlegging og til dels allerede aktivt i gang sommeren 2024. Her vil være aktiviteter gjennom hele 2024.
06.08.2024