Informationssäkerhetsutbildning blir obligatorisk för nyanställda

Syftet med utbildningen är att stärka säkerhetskulturen inom Uppsala universitet och minska risken för incidenter, för att ha ett högre skydd av universitetets informationstillgångar.

För att förbättra informationssäkerheten inom universitetet behöver både den allmänna kunskapsnivån och säkerhetsmedvetenheten höjas bland medarbetarna, enligt Säkerhetsavdelningen. Generellt har säkerhetsmedvetenheten ökat de senaste åren och fler och fler anmäler misstänkt e-post med skadliga länkar till Säkerhetsavdelningen, men en av de största utmaningarna finns fortfarande i bristande insikt och kunnande när det gäller grundläggande informationssäkerhet.

– En del i Säkerhetsavdelningens reaktiva informationssäkerhetsarbete handlar om att identifiera de användarkonton som ”går i fällan” genom att klicka på bedrägliga länkar, där enskilda medarbetare ytterst förlorar sina användaruppgifter, säger Uppsala universitets säkerhetschef Fredrik Blomqvist.

Dessa användaruppgifter består i grunden av användarnamn och lösenord.

– Utifrån detta arbete finns det statistik över vilka organisatoriska delar som är drabbade ända ner på enskild medarbetarnivå och hur stor andelen drabbade är per vetenskapsområde, förvaltning och bibliotek.

”Var kritisk och uppmärksam”

Bedragare har vid tillfällen lyckats komma åt information genom nätfiske (eller ”phishing”), eller att känslig information hanterats på ett osäkert sätt. Den informationen har sedan använts för att stjäla information från universitetets IT- system. Användarnamn och lösenord utgör en handelsvara som även kan säljas vidare och utnyttjas för intrång.

Ett stort varningstecken är om du har klickat på en länk i ett mejl och att du därefter uppmanas fylla i dina användaruppgifter, betonar Fredrik Blomqvist.

– Gör inte det! Var väldigt kritisk och uppmärksam på var du fyller i dina användaruppgifter. Varken Säkerhetsavdelningen eller Avdelningen för universitetsgemensam IT skickar e-post inom där medarbetare uppmanas vidta åtgärder för att till exempel säkra utrymmet i sina inkorgar.

Kontinuerlig uppföljning av informationssäkerheten

Sedan 2024 tar Säkerhetsavdelningen tillsammans med Avdelningen för universitetsgemensam IT (UIT) fram informationssäkerhetsrapporter. Rapporterna ger en bild av universitetets styrkor och utmaningar inom informationssäkerhetsområdet, samt visar hur universitetets informationssäkerhetsarbete bör se ut om fem år.

Universitetet har också sedan 2024 förstärkt sitt systematiska informationssäkerhetsarbete genom att universitetsledningen involveras och informeras i högre omfattning än tidigare. Samtidigt ökar hotbilden genom att cyberkriminella använder allt mer avancerade metoder för att stjäla användarnamn och lösenord eller på andra sätt låsa, förstöra eller komma åt data.

– En rad aktiva åtgärder har genomförts och flera ligger i planen för 2025-2027. Till exempel har multifaktorsautentisering införts på en rad system som anses känsliga, säger Fredrik Blomqvist.

Förstärkta inloggningskrav och utökade nationella krav

Fler system kommer också att omfattas av förstärkta inloggningskrav för att nå universitetets IT-resurser. Ett annat krav är att göra den grundläggande informationssäkerhetsutbildningen, som kvalitetssäkras av representanter från lärarkollegiet inom universitet.

– Man måste som nyanställd ha genomfört den grundläggande informationssäkerhetsutbildningen inom 65 dagar från det att man blev anställd vid universitetet. Kravet på ett genomförande av den grundläggande informationssäkerhetsutbildningen gäller från om med den 18 augusti 2025.

I universitetets regleringsbrev för 2025 utökas skrivningen om informationssäkerhet till att även omfatta cybersäkerhet. Med detta kommer krav på att universitetet ska redogöra för det arbetet, samt för eventuella analyser av hot och sårbarheter kring detta område.

Cybersäkerhet är en viktig fråga såväl på nationell nivå som på myndighetsnivå, enligt Fredrik Blomqvist.

– Vi ser en trend av att det kommer fler och fler regleringar genom direktiv inom området som även med stor sannolikhet kommer att omfatta verksamheten vid Uppsala universitet.