Informationssäkerhet

Informationssäkerhet handlar om att skydda information från olika typer av hot, som insyn från obehöriga eller att informationen förvanskas, genom att anpassa de tekniska, fysiska och administrativa miljöerna där informationen hanteras. Även för forskningsinformation som inte innehåller personuppgifter eller andra känsliga uppgifter så är det väsentligt att tänka över informationssäkerheten.

Riktlinjer för informationssäkerhet och informationsklassning finns vid lärosätena. Dessa riktlinjer är till för att utgöra en instruktion för vilket skyddsvärde som en viss information har och vilket skydd som informationen kräver med hänsyn till sin känslighet. En genomförd informationsklassning ger svar på frågan om vilka risker som måste beaktas och på vilken nivå skyddet för informationen i så fall måste ligga på. De faktorer som ska beaktas är riktighet, spårbarhet, konfidentialitet och tillgänglighet.

Riktighet: Informationens riktighet handlar om vikten av att data är helt korrekta, det vill säga att de inte förvanskas på något sätt. Här är det viktigt att fundera på hur känsliga data är rent strukturellt. Data från en publicerad text är till exempel inte särskilt känsliga, blir de förstörda kan man hitta dem igen. En Excel-tabell å andra sidan är känslig: om en kolumn sorteras fel kan hela datasetet bli förstört och en resurskrävande omkodning kan bli nödvändig. Inte bara hackning av obehöriga kan orsaka sådana skador, utan även misstag från en själv.

Spårbarhet: Om flera personer jobbar i ett forskningsprojekt krävs det att det finns loggar som visar vem som har gjort vad. I vissa forskningsprojekt kan det vara viktigt att dela ut olika behörigheter, det vill säga upprätta en behörighetsadministration där det framgår vilka olika funktioner som finns inom ett forsknings­projekt och vilka behörigheter som är förknippade med dessa funktioner. I forskningsprojekt med bara en forskare inblandad behövs kanske inte andra loggar än eventuellt en händelsehistorik.

Konfidentialitet: Konfidentialitet handlar om hur skyddsvärda data är ur en integritetssynvinkel. Informationens känslighet bedöms till exempel utifrån ifall den kan omfattas av sekretess i enlighet med bestämmelser i Offentlighets- och sekretesslagen. Konfidentialitet kan kollidera med tillgänglighet: om data omfattas av en hög tillgänglighet minskar möjligheten för att data ska kunna ha en hög grad av konfidentialitet, och tvärtom. I de fall data omfattas av en hög grad av känslighet kan det mot bakgrund av informationsklassningen vara nödvändigt att skapa ett IT-system med isolerat nät, det vill säga att datorn eller servern där informationen lagras inte har någon internetanslutning.

Tillgänglighet: Tillgänglighet handlar om hur lätt det är att nå data. Behöver man nå dem hela tiden eller räcker det med en gång om dagen eller ett visst datum varje månad? Räcker det att kunna nå materialet från det här rummet eller behöver jag nå det överallt i hela världen?

Ett säkerhetssystem för att skydda data består av åtminstone tre olika delar: en teknisk, en fysisk och en organisatorisk. De tre delarna kompletterar varandra och skapar i idealfallet ett säkert system.

Tekniska delar av systemet kan vara exempelvis lösenordsskydd, kryptering och säkerhetskopiering. Lösenordsskydd kan finnas på flera nivåer, till exempel inloggning i arbetsstationerna, inloggning till mjukvaran som används för att hantera data och lösenordskyddade partitioner/hårddiskar/servrar där data förvaras. Att kryptera lagringsmedia är en god idé, och om man skickar data per e-post eller fildelning är det en grundförutsättning att filerna är krypterade. Ett genomtänkt system för säkerhetskopiering är förstås också en grundläggande förutsättning för att arbeta med digitala forskningsdata.

De fysiska förutsättningarna för säker datahantering omfattar sådana saker som låsta dörrar, larmade fönster och liknande. Om data lagras på en server bör den stå i en serverhall som sköts om på ett sakriktigt sätt. Här ingår också frågan om huruvida och i så fall under vilka förutsättningar det ska vara tillåtet att lagra data på bärbara medier, exempelvis CD-ROM, USB-minne, eller bärbar hårddisk.

Organisatoriska överväganden innefattar bland annat behörighetsadministration och ansvars­fördelning, det vill säga möjlighet till delegering. Slutligen har universiteten enligt Datainspektionens tolkning ett ansvar gentemot sina anställda att underlätta en säker informationshantering: “Den personuppgiftsansvarige bör utforma arbetsrutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet” och “att alla som har tillgång till personuppgifter får relevant utbildning” (Datainspektionen, “Datainspektionens allmänna råd: Säkerhet för personuppgifter” s.13).