Finansudvalget 2018-19 (1. samling)
SB 8 2
Offentligt
2034664_0001.png
Ministeren
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Ministerredegørelse vedrørende Statsrevisorernes beretning nr. 8/2018 om
universiteternes beskyttelse af forskningsdata.
Jeg har den 18. januar 2019 modtaget Statsrevisorernes bemærkninger til
Rigsrevisionens beretning nr. 8/2018 om universiteternes beskyttelse af
forskningsdata.
Formålet med undersøgelsen har været at undersøge, om universiteterne
beskytter forskningsdata i tilstrækkelig grad. I beretningen konkluderes, at de fem
universiteter, som er omfattet af beretningen, ikke beskytter forskningsdata i
tilstrækkelig grad mod ukendt it-udstyr og ukendte applikationer.
Jeg skal hermed takke for beretningen og i det efterfølgende redegøre for de
overvejelser og foranstaltninger, som beretningen har givet Uddannelses- og
Forskningsministeriet anledning til.
Rigsrevisionen har med beretningen sat fokus på it-og informationssikkerhed og
beskyttelse af forskningsdata på universiteterne. Ministeriet og universiteterne
finder, at høj it-og informationssikkerhed, der beskytter forskningsdata, er vigtigt
og skal have høj prioritet.
Det er kendetegnende for universiteterne, at de er åbne, samfundsbærende
institutioner. Det er en del af deres formålsbeskrivelse, at de skaber og deler viden
og forskningsresultater, nationalt og internationalt. De formål er centrale for f.eks.
at bidrage til innovation i erhvervslivet, den offentlige sektor og i samfundet
generelt.
Det er et grundvilkår for universiteterne, at forskere og studerende f.eks. kan
anvende eget it-udstyr. I forskningsmiljøerne gælder endvidere, at en del af
forskerne er ansat flere steder samtidigt, hvilket ofte vil betyde, at it- og
forskningsudstyr skal anvendes på tværs af arbejdspladser.
Da meget forskningsudstyr i vid udstrækning også er it-udstyr og/eller
egenudviklet/videreudviklet software forudsætter forskning ofte, at forskeren f.eks.
vil skulle have administratorrettigheder for at kunne løse sine forskningsopgaver.
Hvad angår forskningsdata, er det vigtigt at tage afsæt i, at data har forskellig
karakter og følsomhed. Der kan være tale om digitale forsknings-”rådata” eller
fysisk forskningsmateriale. Nogle typer data er meget følsomme. Det gælder f.eks.
18. marts 2019
Uddannelses- og
Forskningsministeriet
Børsgade 4
Postboks 2135
1015 København K
Tel. 3392 9700
[email protected]
www.ufm.dk
CVR-nr. 1680 5408
Ref.-nr.
19/011261-01
Side 1/2
 Statsrevisorerne beretning SB8/2018 - Bilag 2: Uddannelses- og forskningsministerens redegørelse af 18. marts 2019
2034664_0002.png
forretningskritiske virksomhedsdata eller personfølsomme data inden for
sundhedsvidenskab.
Disse grundvilkår medfører en række sårbarheder, som universiteterne naturligvis
skal håndtere og imødegå med passende tiltag f.eks. med udgangspunkt i
ISO27001-standarden. Det er universitetsledelsens opgave at vælge et passende
sikkerhedsniveau til beskyttelse af de forskellige typer forskningsdata, der er
afstemt med trusselsbillede og risikoprofil
Ministeriet anerkender, at ukendt udstyr og ukendt software og applikationer udgør
risikofaktorer i forhold til it-sikkerhed. Ministeriet finder dog, at det trusselsbillede,
institutionerne skal forholde sig til, er bredere. Ministeriet vil derfor i det videre
arbejdet med universiteterne have fokus på det samlede trusselsbillede og på
institutionernes risikovurderinger.
Ministeriet vil som opfølgning på Rigsrevisionens beretning og Statsrevisorernes
bemærkninger tage følgende initiativer.
Ministeriet vil som led i det systematiske tilsyn i 2019 bede hvert enkelt universitet
om en status på deres implementering af ISO27001-standarden Disse
redegørelser fra universiteterne vil foreligge primo september 2019.
Derudover har ministeriet aftalt med universiteterne at igangsætte en dialogproces
i regi af universiteternes CIO-gruppe, som består af universiteternes it-chefer, bl.a.
med henblik på at etablere en opdateret tværgående trusselsvurdering for hele
universitetssektoren og aftale kadence for opdatering. Dette vil bl.a. ske med
inddragelse af Center for Cybersikkerhed. Det forventes, at samarbejdet mellem
CIO-gruppen og ministeriet kan bidrage til at identificere tværgående sårbarheder
og særligt vigtige perspektiver, som universiteterne bør have opmærksomhed på i
deres respektive arbejde med ISO27001-standarden.
Uddannelses- og
Forskningsministeriet
Med venlig hilsen
Tommy Ahlers
Side 2/2