Tekst: Marianne Fuglsang Welling Farsinsen, ITS. Foto: AAU

Baggrund for masterplanen

Den geopolitiske udvikling i de senere år har medført en øget risiko for cyberangreb på danske institutioner, herunder også universiteterne. Samtidig er kravet om en sikker og pålidelig digital infrastruktur, der i højere grad kan understøtte forskningen både på det enkelte universitet og på tværs af forskningsmiljøer i hele verden, også steget. Den digitale infrastruktur og IT-sikkerhed er ikke i samme tempo fulgt med denne udvikling. Det gælder for Aalborg Universitet, lige som det gør sig gældende for mange andre institutioner i sektoren og i samfundet. En tidssvarende digital infrastruktur med god cyber- og informationssikkerhed er forudsætningen for at imødegå den øgede risiko, leve op til såvel GDPR-lovgivning som FAIR-principper og øvrige krav til sikker databehandling og drift, herunder forventninger fra eksterne samarbejdspartnere og retningslinjerne i den nationale strategi for cyber- og informationssikkerhed.

Den hidtidige ”Masterplan for Sikkerhed 2019-22” har gjort det muligt at levere flere af de planlagte sikkerhedsindsatser, herunder mest væsentligt at få etableret en informationssikkerhedsorganisation, som i dag arbejder risikobaseret og løbende informerer Informationssikkerhedsudvalget om trussels- og risikobilledet for AAU, mens andre indsatser ikke er nået i mål. Ressourcer fra masterplanen blev desuden omdirigeret til håndtering af konsekvenserne af COVID-19 og den alvorlige cybersikkerhedshændelse i 2020. Ved masterplanens udløb er det tydeligt, at der fortsat er lang vej til et tidssvarende niveau på cyber- og informationssikkerheden på AAU.

På foranledning af formanden for Informationssikkerhedsudvalget (ISU) har den eksterne aktør Globeteam i samarbejde med ITS leveret en evaluering af sikkerhedsindsatserne på AAU mhp. at kunne udarbejde en opdatering af Masterplanen for området. Evalueringen sammenholder AAU’s nuværende indsatser med trusselsbilledet, eksterne krav og best practise og udpeger, hvor der bør gøres en større indsats fremadrettet.

I evalueringsrapporten konkluderes, at der på AAU er mange gode intentioner og sikkerhedsindsatser, som er i god gænge, men der peges på 19 indsatser, hvor indsatsniveauet er problematisk eller ikke tilstrækkeligt, og hvor risikoen for AAU er høj eller meget høj. De 19 indsatser er prioriteret i 8 skal-indsatser, 10 bør-indsatser og 1 kan-indsats. Rapporten er efterfølgende drøftet i ISU, som har vurderet, at AAU bør følge anbefalingerne i rapporten.

De 18 skal- og bør-indsatser er inkluderet i AAU’s Masterplan for Cyber og Informationssikkerhed. Indsatserne vurderes som en forudsætning for at sikre det grundlæggende sikringsniveau i forhold til cyber- og informationssikkerhed, så AAU reducerer det risikoniveau, som efter Informationssikkerhedsudvalgets vurdering aktuelt er for højt.

Organisering

I samarbejde med den eksterne konsulent er der lavet en porteføljeoversigt, hvor indsatserne er samlet til projekter med reference til to styregrupper med ansvar for hhv. politikker og processer og det tekniske set-up. Med denne organisering sikres en passende styring af projekternes fremdrift. Den ene styregruppe hvor universitetsdirektøren deltager vil ligeledes fungere som porteføljestyregruppe.

Status og næste skridt

ITS har været i gang med at identificere medarbejdere internt, som kunne flyttes til projekterne, og er nu i gang med at ansætte for at fylde de kompetencehuller, som er identificeret.

Nogle af de væsentligste indsatser, som der tages hul på fra start, er:

• Et redesign af det ActiveDirectory, som danner grundstenen for autentifikation af brugere og services på AAU. Det er designet i en tid, hvor trusselsbilledet og organiseringen på AAU var væsentligt anderledes, så der forventes en del ændringer, som vil komme til at kunne mærkes på tværs af universitetet.
• Registrering af devices, som skal kunne komme på netværket på AAU, så vi får bedre styr på de enkelte devices og hvad, de skal have adgang til.
• Endelig en indsats for at beskytte universitetet yderligere på vores interface mod Internettet.

ITS vil løbende orientere om fremdriften på projekterne, ligesom Direktionen løbende orienteres direkte.