Af Eskil Sørensen, 06/03/23
Den nye delstrategi for cyber- og informationssikkerhed for uddannelses- og forskningssektoren, som blev lanceret i torsdags, består af fire strategiske pejlemærker og 14 initiativer herunder tre for rumsektoren.
Pejlemærkerne er 1) Ledelsesforankring, 2) Høj sikkerhed en nødvendig forudsætning, 3) Strategien skal understøtte den risikobaserede tilgang og 4) Styrket samarbejde og koordinering på tværs af sektoren.
Udover de fire pejlemærker er der også et selvstændigt afsnit om uddannelses- og forskningsministeriet som rummyndighed.
For pejlemærket vedr. ledelsesforankringen er det værd at bemærke, at et af initiativerne vedrører måling af effekten. Initiativet hedder ’Øget strategisk målbarhed på sikkerheds- og modenhedsområdet’, og det skal medvirke til at opbygge det mest retvisende billede af hele sektoren. Af den grund skal tiltag på de enkelte universiteter måles på baggrund af sammenlignelige kriterier. Det vil med andre ord sige, der skal etableres en metode til måling, som kan gå på tværs af universiteterne.
Under pejlemærke to er der formuleret et initiativ, der adresserer ’universiteternes specifikke omstændigheder’. Med dette menes, at sektorens lovfastsatte formål, i essensen at der er forskningsfrihed, er et grundvilkår. Det ændres der ikke på. Dvs. at de evt. iværksatte sikkerhedsmæssige organisatoriske og tekniske foranstaltninger skal være underlagt dette grundvilkår.
DKCERTs trusselsvurderinger
Under pejlemærke tre fremhæves det, at der også er behov for, at ’..et universitets ansatte og forskere får et øget kendskab til cyber- og informationssikkerhedsmæssige aspekter af den verden, de bevæger sig i, således at de kan være med til at højne sikkerheden omkring deres videnskabelige fremdrift’.
I den traditionelle tilgang til sikkerhed har man pålagt kendskabet til trusselsniveau til ledelsen og/eller det tekniske niveau. Med initiativ 3.3 om øget indsigt i trusler og konsekvenser hos forskerne justeres den tilgang. Ræsonnementet er, at det er forskere og ansatte, der har kendskabet til værdien af deres forskning, og i øvrigt er der den menneskelige faktor, som de fleste cyberangreb udnytter.
Forskere og ansatte skal derfor også i højere grad kunne beskytte deres forskning mod truslerne. I naturlig forlængelse af dette er der formuleret et initiativ om ’tværuniversitære awareness-fremmende tiltag’. Det betyder, at der skal udvikles en ensartet strategi, som kan gå på tværs mellem universiteterne og skabe sammenhængskraft. At den skal gå på tværs skal også medvirke til, at forskere, der flytter mellem universiteterne, ikke møder anderledes awarenessfremmende aktiveter, end han/hun har mødt på det forrige universitet.
Som led i dette skal der udarbejdes løbende trussels- og risikoanalyser for universitetssektoren (initiativ 3.3). Her får bl.a. DKCERTs trusselsvurdering en rolle.
DCIS for sektoren
Under pejlemærke 4 er der et central initiativ om etablering af en decentral cyber- og informationssikkerhedsenhed (DCIS) for sektoren. De hidtil kritiske infrastruktursektorer som energi, finans, tele osv. har siden den forrige, nationale cyber- og informationssikkerhedsstrategi haft en DCIS, men nu bliver DCIS’erne altså også etableret i de andre sektorer, herunder uddannelses- og forskningssektoren.
DCIS’en skal sikre videndeling om cyber- og informationssikkerhed omkring it-understøttelsen af de samfundsvigtige funktioner samt koordinere håndteringen af tværgående hændelser. DCIS får sæde i universitets- og forskningsstyrelsen.
Ud over opgaverne med rumområdet får DCIS’en bl.a. til opgave at koordinere håndtering af tværgående it-relaterede hændelser med CFCS, sektorens berørte aktører og andre DCIS’er.
Derudover vil DCIS-UFM være en samlende sektorenhed for viden om cyber- og informationssikkerhed og vil ligeledes understøtte det fremadrettede arbejde med cyber- og informationssikkerhed i sektoren, herunder implementering af delstrategiens pejlemærker og initiativer.
En styregruppe sammensat af aktører fra sektoren samt Uddannelses- og Forskningsministeriet vil løbende samle op på de erfaringer og den viden, der skabes og indsamles.