Stortinget - Møte torsdag den 30. mai 2024

Dato: 30.05.2024
President: Masud Gharahkhani
Dokumenter: (Innst. 318 S (2023–2024), jf. Dokument 3:11 (2023–2024))

Søk

Innhold

Sak nr. 3 [10:31:43]

Innstilling fra kontroll- og konstitusjonskomiteen om Riksrevisjonens undersøkelse av Informasjonssikkerhet i forskning innenfor kunnskapssektoren (Innst. 318 S (2023–2024), jf. Dokument 3:11 (2023–2024))

Talere

Presidenten []: Etter ønske fra kontroll- og konstitusjonskomiteen vil presidenten ordne debatten slik: 5 minutter til hver partigruppe og 5 minutter til medlemmer av regjeringen.

Videre vil det – innenfor den fordelte taletid – bli gitt anledning til inntil seks replikker med svar etter innlegg fra medlemmer av regjeringen, og de som måtte tegne seg på talerlisten utover den fordelte taletid, får en taletid på inntil 3 minutter.

Kirsti Leirtrø (A) [] (ordfører for saken): Takk til komiteen for godt samarbeid, og tusen takk til Riksrevisjonen for å sette søkelys på et særdeles viktig område, nemlig informasjonssikkerhet innenfor kunnskapssektoren.

Antall dataangrep mot sektoren økte kraftig på verdensbasis i 2020 og de påfølgende årene, og Norge er intet unntak. Både PST, Etterretningstjenesten og NSM har pekt på at norske forskningsmiljøer er utsatte etterretningsmål. Det er en utfordring å finne balansegangen mellom så åpent som mulig og så lukket som nødvendig.

Undersøkelsen omfatter ti institusjoner, og konklusjonen er at våre forskningsinstitusjoner ikke i tilstrekkelig grad er sikret mot dataangrep. Selv om det er iverksatt en informasjonssikkerhetssatsing, har en ikke lyktes.

En samlet komité slutter seg til Riksrevisjonens konklusjoner, kritikk og anbefalinger.

Statsråden har i sitt svar pekt på at rapporten vil være nyttig for både departementet og sektorens videre arbeid med datasikkerhet.

Kontrollkomiteen var nylig på Svalbard og Universitetssenteret der. Det er én av institusjonene som er med i undersøkelsen. De har iverksatt tiltak og prosesser i samarbeid med andre universiteter, og de sier at de vanskelig kan gjøre de riktige og nødvendige sikkerhetstiltakene alene. Det går på både tekniske løsninger, opplæring, gode rutiner, bevisstgjøring, overvåkning og ledelsesprosesser. En må alltid være i forkant av og forberedt på forsøk på nye angrep og datatyveri.

Nå er regjeringen i gang med en nasjonal digitaliseringsstrategi, og vi håper og tror at funnene Riksrevisjonen har gjort, vil være til nytte både i strategien og tiltakene som må iverksettes innenfor denne sektoren.

Marit Knutsdatter Strand (Sp) []: Det er en ære å få lov til å kommentere kontrollkomiteens sak som medlem av utdanningskomiteen.

Sikkerhetssituasjonen innenfor høyere utdanning og forskningssektoren er forverret de siste årene. Det er en kraftig økning i dataangrep. Dette ser vi også på verdensbasis. Sikkerhetssituasjonen ble ytterligere skjerpet da Russland invaderte Ukraina i 2022. I 2023 kom saken om spionmistanke mot en gjesteforeleser ved Senter for fredsstudier hos UiT.

I risikovurderingene de siste årene har PST, Etterretningstjenesten og NSM pekt på at norske forskningsmiljøer er utsatte mål. Flere melder om en sikkerhetssituasjon preget av større trusler og flere hendelser i Norge. Arctic Congress går av stabelen i Bodø fra 29. mai til 3. juni, i regi av Nord universitet og Nordlandsforskning. Rundt 1 200 forskere er ventet til byen, og det er en betydningsfull samling for forskere og andre som er opptatt av forskning i Arktis. Vi vet at aktivitet i nordområdene er en del av sikkerhetsbildet, der ulike aktører med ulike interesser melder seg på. Nordområdenes framtid er hovedtema for konferansen, men ingen fra Russland er invitert. PST antar likevel at etterretning fra flere land, som Russland, Kina, Iran og Nord-Korea, kan tenkes å være på plass.

I februar var første gang PST gikk ut med opplysninger om at kinesiske forskningsledere, gjesteforskere og studenter fra institusjoner tilknyttet det kinesiske militæret, PLA, jobber i Norge. Internasjonalt samarbeid er en selvfølge for forskning, men i lys av sikkerhetssituasjonen må vi være bevisste på hva vi deler, og hvordan vi deler informasjon. Det opplyste PST helt spesifikt om i forbindelse med Arctic Congress i Bodø nå. Totalforsvarets cybersikkerhetskonferanse og andre konferanser senere i år må trygges.

Kontrollkomiteen stiller seg samlet bak Riksrevisjonens anbefalinger i dag. Det er bra at Stortinget følger utviklingen. Arbeiderparti–Senterparti-regjeringens prioriteringer av forskning og aktivitet i hele landet er vesentlig for norsk suverenitet og kontroll. Kompetanseberedskap, beredskap for kunnskap og forskning, er også en del av vår sikring. Demokrati, frihet og våre verdier krever et forsvar. Det krever kunnskap, og det krever bevisst politikk i alle ledd. Teknologien har kommet for å bli. Kunstig intelligens krever god deling av forskningsfundert og sikret kunnskap. Det er samlet tilslutning, så jeg skal ikke dra ut debatten videre, men jeg mener det er bra at vi får en bevissthet også knyttet til hvordan forskning, deling og samarbeid gjøres.

Statsråd Oddmund Hoel []: Riksrevisjonen har gjennomført ei undersøking av korleis universiteta, høgskular og andre forskingsverksemder under Kunnskapsdepartementet sikrar forskingsdata mot digitale angrep. Undersøkinga har òg omfatta korleis Kunnskapsdepartementet varetek det overordna ansvaret for informasjonssikkerheit i forsking og høgare utdanning, gjennom statlege verkemiddel på området i Direktoratet for høgare utdanning og kompetanse, NOKUT og Sikt – kunnskapssektorens tenesteleverandør. Riksrevisjonens undersøking bygger på eit omfattande datamateriale og grundige analysar. Eg meiner at undersøkinga er svært nyttig for det vidare arbeidet og bidreg til betre informasjonssikkerheit i høgare utdanning og forsking.

Undersøkinga viser at sektoren har jobba systematisk med informasjonssikkerheit dei siste åra, og kvar institusjon får individuell oppfølging. Eg er glad for at Riksrevisjonen også vurderer at institusjonane får tettare oppfølging enn før. Samtidig er det Riksrevisjonens vurdering at sektoren framleis er sårbar for dataangrep, det er store variasjonar i gjennomføringa av sikkerheitstiltak, og fleire institusjonar treng meir støtte. Deira overordna konklusjon er difor i kategorien «kritikkverdig», og det forstår eg.

Forskings- og høgare utdanningssektoren skaper og forvaltar kunnskap og kompetanse som er avgjerande for samfunnet vårt. Me veit at en del av denne kunnskapen og kompetansen er eit ettertrakta mål for framand etterretning, som me alt har høyrt fleire eksempel på frå dei førre talarane. Dei nasjonale tryggingstenestene peikar på at trusselen mot forskings- og høgare utdanningssektoren har blitt meir alvorleg dei seinare åra, m.a. på grunn av den nye geopolitiske situasjonen og ei lynrask teknologisk utvikling, f.eks. innan KI. Det blir stadig meir krevjande å oppnå eit tilfredsstillande sikkerheitsnivå når truslane utviklar seg raskare enn me klarer å forbetre oss.

Eg meiner at dei manglane Riksrevisjonen har avdekt, er alvorlege. Sektoren har stor merksemd på å betre informasjonssikkerheita, og arbeidet med å følgje opp funna frå undersøkinga er godt i gang. Mitt inntrykk er at òg dei institusjonane som ikkje sjølve var blant dei ti som Riksrevisjonen undersøkte, har teke i bruk funna for å utbetre eigne manglar og sårbarheiter.

Eit funn i undersøkinga som eg merkar meg, er at Riksrevisjonen meiner det er uklare roller i den overordna styringa av informasjonssikkerheit i forsking og høgare utdanning. Riksrevisjonen peikar særleg på at det er behov for å avklare rollene til Direktoratet for høgare utdanning og kompetanse, Sikt og NOKUT. Dette er utfordringar me allereie var godt kjende med. Eg deler difor Riksrevisjonens vurdering av at roller og ansvar må bli tydelegare. Dette jobbar eg no med å få på plass i nær framtid, i samarbeid med dei tre aktørane, HK-dir, Sikt og NOKUT.

God sikkerheit er eit langsiktig arbeid, som må byggje på ein god sikkerheitsskultur. For å få til det meiner eg at universiteta og høgskulane sjølve må ha eigarskap til arbeidet med informasjonssikkerheit. Det betyr ikkje at dei ikkje treng støtte frå sentralt hald til dette arbeidet. Riksrevisjonen peikar på behovet for meir treffsikre tiltak for å redusere risikoen for dataangrep i sektoren.

I ein så variert sektor som forsking og høgare utdanning vil det vere vanskeleg å treffe alle behov like godt. Som Riksrevisjonen påpeikar, er det store forskjellar mellom dei ulike institusjonane. Det påverkar korleis institusjonane jobbar med informasjonssikkerheit, og kva for behov dei har for støtte. Difor jobbar eg òg med å vurdere kva for tiltak som er mest effektive, og kva som er den beste bruken av dei ressursane me set inn her, for heile sektoren. Blant tiltak som allereie er sette i verk for å støtte institusjonane i arbeidet med førebyggjande sikkerheit og kartlegging av eigne verdiar, er dei nasjonale retningslinjene for ansvarleg internasjonalt samarbeid og arbeidet med å kartleggje sensitive fagområde.

Ein viktig føresetnad for å identifisere målretta tiltak er å finne ein måte å få betre informasjon om det faktiske nivået på informasjonssikkerheita i sektoren på, i tråd med tilrådingane frå Riksrevisjonen. Dette følgjer eg opp i samarbeid med HK-dir og Sikt.

Eg vil avslutte med å takke komiteen for støtta i det arbeidet.

Presidenten []: Flere har ikke bedt om ordet til sak nr. 3.

Votering, se voteringskapittel