Presidenten [10:31:57 ]: Etter ønske
fra kontroll- og konstitusjonskomiteen vil presidenten ordne debatten slik:
5 minutter til hver partigruppe og 5 minutter til medlemmer av regjeringen.
Videre vil det – innenfor den fordelte taletid
– bli gitt anledning til inntil seks replikker med svar etter innlegg
fra medlemmer av regjeringen, og de som måtte tegne seg på talerlisten
utover den fordelte taletid, får en taletid på inntil 3 minutter.
Kirsti Leirtrø (A) [10:32:32 ] (ordfører for saken): Takk
til komiteen for godt samarbeid, og tusen takk til Riksrevisjonen
for å sette søkelys på et særdeles viktig område, nemlig informasjonssikkerhet
innenfor kunnskapssektoren.
Antall dataangrep mot sektoren økte kraftig
på verdensbasis i 2020 og de påfølgende årene, og Norge er intet
unntak. Både PST, Etterretningstjenesten og NSM har pekt på at norske
forskningsmiljøer er utsatte etterretningsmål. Det er en utfordring
å finne balansegangen mellom så åpent som mulig og så lukket som
nødvendig.
Undersøkelsen omfatter ti institusjoner, og
konklusjonen er at våre forskningsinstitusjoner ikke i tilstrekkelig
grad er sikret mot dataangrep. Selv om det er iverksatt en informasjonssikkerhetssatsing,
har en ikke lyktes.
En samlet komité slutter seg til Riksrevisjonens
konklusjoner, kritikk og anbefalinger.
Statsråden har i sitt svar pekt på at rapporten
vil være nyttig for både departementet og sektorens videre arbeid
med datasikkerhet.
Kontrollkomiteen var nylig på Svalbard og Universitetssenteret
der. Det er én av institusjonene som er med i undersøkelsen. De
har iverksatt tiltak og prosesser i samarbeid med andre universiteter,
og de sier at de vanskelig kan gjøre de riktige og nødvendige sikkerhetstiltakene
alene. Det går på både tekniske løsninger, opplæring, gode rutiner,
bevisstgjøring, overvåkning og ledelsesprosesser. En må alltid være
i forkant av og forberedt på forsøk på nye angrep og datatyveri.
Nå er regjeringen i gang med en nasjonal digitaliseringsstrategi,
og vi håper og tror at funnene Riksrevisjonen har gjort, vil være
til nytte både i strategien og tiltakene som må iverksettes innenfor
denne sektoren.
Marit Knutsdatter Strand (Sp) [10:35:18 ] : Det er en ære å
få lov til å kommentere kontrollkomiteens sak som medlem av utdanningskomiteen.
Sikkerhetssituasjonen innenfor høyere utdanning og
forskningssektoren er forverret de siste årene. Det er en kraftig
økning i dataangrep. Dette ser vi også på verdensbasis. Sikkerhetssituasjonen
ble ytterligere skjerpet da Russland invaderte Ukraina i 2022. I
2023 kom saken om spionmistanke mot en gjesteforeleser ved Senter
for fredsstudier hos UiT.
I risikovurderingene de siste årene har PST,
Etterretningstjenesten og NSM pekt på at norske forskningsmiljøer
er utsatte mål. Flere melder om en sikkerhetssituasjon preget av
større trusler og flere hendelser i Norge. Arctic Congress går av
stabelen i Bodø fra 29. mai til 3. juni, i regi av Nord universitet
og Nordlandsforskning. Rundt 1 200 forskere er ventet til byen,
og det er en betydningsfull samling for forskere og andre som er
opptatt av forskning i Arktis. Vi vet at aktivitet i nordområdene
er en del av sikkerhetsbildet, der ulike aktører med ulike interesser
melder seg på. Nordområdenes framtid er hovedtema for konferansen,
men ingen fra Russland er invitert. PST antar likevel at etterretning
fra flere land, som Russland, Kina, Iran og Nord-Korea, kan tenkes
å være på plass.
I februar var første gang PST gikk ut med opplysninger
om at kinesiske forskningsledere, gjesteforskere og studenter fra
institusjoner tilknyttet det kinesiske militæret, PLA, jobber i
Norge. Internasjonalt samarbeid er en selvfølge for forskning, men
i lys av sikkerhetssituasjonen må vi være bevisste på hva vi deler,
og hvordan vi deler informasjon. Det opplyste PST helt spesifikt
om i forbindelse med Arctic Congress i Bodø nå. Totalforsvarets
cybersikkerhetskonferanse og andre konferanser senere i år må trygges.
Kontrollkomiteen stiller seg samlet bak Riksrevisjonens
anbefalinger i dag. Det er bra at Stortinget følger utviklingen.
Arbeiderparti–Senterparti-regjeringens prioriteringer av forskning
og aktivitet i hele landet er vesentlig for norsk suverenitet og
kontroll. Kompetanseberedskap, beredskap for kunnskap og forskning,
er også en del av vår sikring. Demokrati, frihet og våre verdier
krever et forsvar. Det krever kunnskap, og det krever bevisst politikk
i alle ledd. Teknologien har kommet for å bli. Kunstig intelligens
krever god deling av forskningsfundert og sikret kunnskap. Det er
samlet tilslutning, så jeg skal ikke dra ut debatten videre, men
jeg mener det er bra at vi får en bevissthet også knyttet til hvordan forskning,
deling og samarbeid gjøres.
Statsråd Oddmund Hoel [10:38:43 ] : Riksrevisjonen har gjennomført
ei undersøking av korleis universiteta, høgskular og andre forskingsverksemder
under Kunnskapsdepartementet sikrar forskingsdata mot digitale angrep.
Undersøkinga har òg omfatta korleis Kunnskapsdepartementet varetek
det overordna ansvaret for informasjonssikkerheit i forsking og
høgare utdanning, gjennom statlege verkemiddel på området i Direktoratet
for høgare utdanning og kompetanse, NOKUT og Sikt – kunnskapssektorens
tenesteleverandør. Riksrevisjonens undersøking bygger på eit omfattande datamateriale
og grundige analysar. Eg meiner at undersøkinga er svært nyttig
for det vidare arbeidet og bidreg til betre informasjonssikkerheit
i høgare utdanning og forsking.
Undersøkinga viser at sektoren har jobba systematisk
med informasjonssikkerheit dei siste åra, og kvar institusjon får
individuell oppfølging. Eg er glad for at Riksrevisjonen også vurderer
at institusjonane får tettare oppfølging enn før. Samtidig er det
Riksrevisjonens vurdering at sektoren framleis er sårbar for dataangrep, det
er store variasjonar i gjennomføringa av sikkerheitstiltak, og fleire
institusjonar treng meir støtte. Deira overordna konklusjon er difor
i kategorien «kritikkverdig», og det forstår eg.
Forskings- og høgare utdanningssektoren skaper
og forvaltar kunnskap og kompetanse som er avgjerande for samfunnet
vårt. Me veit at en del av denne kunnskapen og kompetansen er eit
ettertrakta mål for framand etterretning, som me alt har høyrt fleire
eksempel på frå dei førre talarane. Dei nasjonale tryggingstenestene
peikar på at trusselen mot forskings- og høgare utdanningssektoren
har blitt meir alvorleg dei seinare åra, m.a. på grunn av den nye
geopolitiske situasjonen og ei lynrask teknologisk utvikling, f.eks.
innan KI. Det blir stadig meir krevjande å oppnå eit tilfredsstillande
sikkerheitsnivå når truslane utviklar seg raskare enn me klarer
å forbetre oss.
Eg meiner at dei manglane Riksrevisjonen har
avdekt, er alvorlege. Sektoren har stor merksemd på å betre informasjonssikkerheita,
og arbeidet med å følgje opp funna frå undersøkinga er godt i gang.
Mitt inntrykk er at òg dei institusjonane som ikkje sjølve var blant
dei ti som Riksrevisjonen undersøkte, har teke i bruk funna for
å utbetre eigne manglar og sårbarheiter.
Eit funn i undersøkinga som eg merkar meg,
er at Riksrevisjonen meiner det er uklare roller i den overordna
styringa av informasjonssikkerheit i forsking og høgare utdanning.
Riksrevisjonen peikar særleg på at det er behov for å avklare rollene
til Direktoratet for høgare utdanning og kompetanse, Sikt og NOKUT.
Dette er utfordringar me allereie var godt kjende med. Eg deler
difor Riksrevisjonens vurdering av at roller og ansvar må bli tydelegare.
Dette jobbar eg no med å få på plass i nær framtid, i samarbeid
med dei tre aktørane, HK-dir, Sikt og NOKUT.
God sikkerheit er eit langsiktig arbeid, som
må byggje på ein god sikkerheitsskultur. For å få til det meiner eg
at universiteta og høgskulane sjølve må ha eigarskap til arbeidet
med informasjonssikkerheit. Det betyr ikkje at dei ikkje treng støtte
frå sentralt hald til dette arbeidet. Riksrevisjonen peikar på behovet
for meir treffsikre tiltak for å redusere risikoen for dataangrep
i sektoren.
I ein så variert sektor som forsking og høgare
utdanning vil det vere vanskeleg å treffe alle behov like godt. Som
Riksrevisjonen påpeikar, er det store forskjellar mellom dei ulike
institusjonane. Det påverkar korleis institusjonane jobbar med informasjonssikkerheit,
og kva for behov dei har for støtte. Difor jobbar eg òg med å vurdere
kva for tiltak som er mest effektive, og kva som er den beste bruken
av dei ressursane me set inn her, for heile sektoren. Blant tiltak
som allereie er sette i verk for å støtte institusjonane i arbeidet
med førebyggjande sikkerheit og kartlegging av eigne verdiar, er
dei nasjonale retningslinjene for ansvarleg internasjonalt samarbeid og
arbeidet med å kartleggje sensitive fagområde.
Ein viktig føresetnad for å identifisere målretta
tiltak er å finne ein måte å få betre informasjon om det faktiske
nivået på informasjonssikkerheita i sektoren på, i tråd med tilrådingane
frå Riksrevisjonen. Dette følgjer eg opp i samarbeid med HK-dir
og Sikt.
Eg vil avslutte med å takke komiteen for støtta
i det arbeidet.
Presidenten [10:43:40 ]: Flere har ikke
bedt om ordet til sak nr. 3.
Votering, se voteringskapittel