Informationssäkerhet

This page in English

KI:s informationssäkerhetsarbete ska säkerställa att information inte sprids till obehöriga, att den alltid är tillförlitlig, korrekt och komplett samt att den är tillgänglig när den behövs i den dagliga verksamheten.

Information är en av KI:s viktigaste tillgångar, det är därför av stor vikt att alla verksamma vid KI arbetar aktivt, effektivt och kontinuerligt med informationssäkerhet. Det vill säga hur olika typer av information hanteras. 

Informationssäkerhet handlar om att skydda informationens konfidentialitet, riktighet och tillgänglighet, oberoende av om informationen är i digital form, på papper eller om den är muntlig. 

  • Konfidentialitet - att information endast är åtkomlig för behöriga personer. Exempelvis att tentor, forskningsresultat och forskningsdata inte är åtkomlig för obehöriga innan publicering. 
  • Riktighet - att informationär tillförlitlig, korrekt och komplett. Exempelvis att forskningsdata och betygsunderlag inte förvanskas och i förlängningen leder till felaktiga beslut. 
  • Tillgänglighet - att information är tillgänglig utifrån verksamhetens behov. Exempelvis att vi har tillgång till den information och att de IT-system som krävs för att vi ska kunna utföra vårt arbete. 

Informationssäkerhet för dig som verksam på KI

Det räcker inte att skydda KI:s informationstillgångar med tekniska lösningar, medarbetarnas beteende är minst lika viktigt för att uppnå god säkerhet. Vår informationssäkerhet är inte bättre än den svagaste länken och det är viktigt att alla typer av skydd fungerar på ett bra sätt tillsammans.

Informationssäkerhet baseras huvudsakligen på sunt förnuft och gott omdöme, där varje individs kunskap och agerande är avgörande. I syfte att öka medvetenheten och förståelsen för informationssäkerhet, vill KI:s informationssäkerhetsfunktion belysa några saker du behöver tänka på i ditt arbete, samt en webbutbildning. 

10 punkter att tänka på i ditt dagliga arbete, som är en förutsättning för KI:s informationssäkerhet är att:  

  1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem. Du är personligt ansvarig för de aktiviteter som utförs via dina inloggningsuppgifter.
  2. Håll dina enheter uppdaterade. Nya uppdateringar innehåller ofta säkerhetsuppdateringar som minskar risken för att du ska råka ut för olika typer av hot. Detta gäller såväl datorer som mobiltelefoner och surfplattor.  
  3. Använd aldrig samma lösenord på KI som du gör privat. KI kan inte granska säkerheten i tjänster som används privat och bristande säkerhet i sådana tjänster kan leda till att obehöriga får tillgång till lösenord som används till KI:s system.
  4. Lås eller logga ut från din arbetsstation när du går därifrån. Fysisk tillgång till en olåst dator är ett av de enklaste sätten att komma åt KI:s information.
  5. Undvik att skicka känslig information via e-post, att skicka e-post kan likställas med att skicka ett vykort. Om det krävs att informationen skickas via e-post ska den krypteras. Kontakta IT-support för hjälp. 
  6. Ladda inte ner filer och öppna inte bilagor eller länkar i e-post eller från internet om du är osäker på vad de innehåller eller vem avsändaren är.  
  7. Tänk på i vilken miljö du befinner dig när du hanterar och talar om känslig information.  
  8. Se till att din information är säkerhetskopierad oavsett om den är lagrad på stationär dator eller bärbar IT-media. Kontakta IT-support för hjälp. 
  9. Information tillhörande KI får inte hanteras i privata molntjänster eller privata lagringsmedia. 
  10. Som verksam vid KI är du ansvarig för att personuppgifter hanteras i enlighet med kraven i GDPR.

Om du är osäker eller skulle ha några frågor kring informationssäkerhet, kontakta KI:s informationssäkerhetsfunktion via mail: infosec@ki.se.

Vi har alla ett ansvar!

För att upprätthålla en tillräcklig skyddsnivå för information och systemmiljö måste vi arbeta gemensamt och kontinuerligt. Uppsatta säkerhetsregler ska tillämpas och efterlevas av samtliga verksamma inom KI, det vill säga alla medarbetare, studenter, uppdragstagare /anknutna och konsulter i verksamheten.

Informationssäkerhet baseras huvudsakligen på sunt förnuft och gott omdöme, där din kunskap och ditt agerande är avgörande. Sammantaget är detta viktiga förutsättningar som bidrar till att upprätthålla förtroendet för vår verksamhet och säkerställa den information som vi hanterar.

Brott mot gällande säkerhetsregler kan medföra förlust av åtkomsträttighet till KI:s IT-system. Detta kan ske genom beslut av prefekten i samråd med säkerhetschef/IT-chef. Allvarligare fall av missbruk eller andra liknande regelbrott anmäls till säkerhetschefen för vidare handläggning. Misstankar om brottslig verksamhet polisanmäls.

Webbutbildning i informationssäkerhet

Webbutbildningen ger samtliga verksamma förståelse för grundläggande informationssäkerhet. Den ger kunskap som dessutom är väldigt användbar i privatlivet. Utbildningen vänder sig till alla verksamma vid KI och ska även användas som introduktion för exempelvis nyanställda och inhyrda konsulter.

Utbildningen genomförs idag i systemet PING PONG och finns på svenska respektive engelska. För att logga in använder du din vanliga KI-login. Efter varje textavsnitt ställs ett antal kontrollfrågor. För att komma vidare till nästa avsnitt krävs att du svarat rätt. Observera att ingen annan kan se hur du svarat. Du kan pausa utbildningen och fortsätta där du var vid nästa inloggning. När du genomfört utbildningen med godkänt resultat erhålls ett certifikat.

Tack för att du engagerar dig i Karolinska Institutets säkerhetsarbete och lycka till!

Länk till PING PONG

Ny informationssäkerhetsutbildning

Under våren 2019 kommer KI att påbörja en ny informationssäkerhetsutbildning. Till skillnad från den nuvarande utbildningen kommer den nya att bestå av flertalet kortare lektioner som skickas ut via e-post med jämna mellanrum. Varje lektion kommer inte att ta mer än 2–5 minuter att genomföra.

Innan den nya utbildningen påbörjas kommer det att gå ut ett informationsmail med mer detaljerad information om upplägget och innehållet i den. Till dess gäller den nuvarande utbildningen som finns i PING PONG.

Ledningssystem för informationssäkerhet

En korrekt och säker hantering av vår information är en förutsättning för att kunna utföra Karolinska Institutets uppdrag – att förbättra människors hälsa genom forskning och utbildning. Detta har också en avgörande betydelse för hur vi ska kunna förvalta och ytterligare stärka förtroendet för vår verksamhet. Därför införs ett ledningssystem för informationssäkerhet (LIS). 

Arbetet syftar till att införa ett regelverk och ett systematiskt arbetssätt i frågor som gäller informationssäkerhet. Regelverket anger en basnivå som KI:s informationssäkerhet ska uppnå genom ett stegvis införande av olika åtgärder i enlighet med regelverket.

Uppföljning av hur regelverket följs kommer att ske först när respektive delmoment har införts.

Regelverket är för närvarande under uppdatering, den gällande versionen går att återfinna under ”Dokument” längst ner på sidan.

Handledning i informationssäkerhet vid KI

I denna handledning beskrivs de regler du som verksam vid KI ska känna, till för att kunna bidra till att skydda verksamhetens känsliga information. Mer detaljerad information och anvisningar riktade till olika funktioner/befattningshavare finns i ”Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet”.

Hantering av känslig information

Vid hantering av känslig information måste du bl.a. tänka på att:

  • Du bara får ta del av den känsliga information som du behöver för att kunna utföra ditt arbete
  • Känslig information i pappersform ska låsas in när den inte används
  • Känslig information endast får skickas i krypterad form när den skickas via e-post
  • Känslig information aldrig ska diskuteras på allmän plats eller då risk finns att obehöriga kan ta del av uppgifterna
  • Känslig information endast får hanteras i system som har godkänts för ändamålet i en systemklassning

Hantering av personuppgifter

Hantering av personuppgifter ska ske i enlighet med vid var tid gällande lagstiftning för hantering av personuppgifter, som GDPR, och för forskningsverksamheter även etikprövningslagen (2003:460).

Vid hantering av personuppgifter gäller bland annat följande:

  • Det måste finnas en rättslig grund och ett tydligt ändamål för personuppgiftsbehandlingen som ska utföras.
  • Alla personuppgiftsbehandlingar vid KI ska anmälas till KI:s register över personuppgiftsbehandlingar. Instruktioner för hur detta görs finns på KI:s GDPR-sida.
  • Personuppgifter får endast hanteras i system som har godkänts för ändamålet i en systemklassning.
  • Personuppgifter som klassas som känsliga enligt GDPR eller kan anses vara integritetskänsliga av andra skäl ska dessutom hanteras i enlighet med reglerna för hantering av känslig information.

Utöver ovanstående regler ska de grundläggande principerna för dataskydd beaktas vid hantering av personuppgifter. De grundläggande principerna samt ytterligare vägledningar och fördjupad information om hur hanteringen av personuppgifter ska ske vid KI finns på KI:s GDPR-sida.

IT-utrustning och bärbar media

Vid hantering av IT-utrustning och bärbar media ska du tänka på att:

  • KI:s utrustning ska användas för verksamhetsrelaterade ändamål
  • Privata datorer får kopplas upp mot KI:s nätverk endast under förutsättning att de har ett grundläggande säkerhetsskydd installerat. Detta inkluderar t.ex. uppdaterat antivirusprogram, brandvägg och åtkomstskydd med lösenord som uppfyller KI:s regelverk. Känslig information, t.ex. känsliga och integritetskänsliga personuppgifter samt annan information som omfattas av sekretess enligt Offentlighets – och sekretesslagen, får inte hanteras på privata enheter.
  • Information på lokal hårddisk eller bärbar media alltid ska säkerhetskopieras. Där så är möjligt ska informationen sparas på angivna och KI-godkända ställen.
  • Information i datorer, mobiltelefoner och på papper ska skyddas fysiskt, dvs. de får inte lämnas obevakade
  • Bärbara datorer ska alltid skyddas mot obehörig åtkomst genom lösenordsskydd, och mobiltelefoner, surfplattor etc. genom pinkod eller motsvarande. Känslig information ska krypteras då den lagras på bärbar IT-media. För mer information, se sidan om KI:s regelverk för lösenord.

Mobila enheter

Information på mobila enheter ska skyddas så att den inte kommer i orätta händer, manipuleras eller förloras. Manipulation eller förlust av mobil enhet som används i arbetet, och som har möjlighet att kopplas upp mot organisationens interna nät, kan användas som språngbräda för vidare attacker in i organisationen.

Tänk på att:

  • Smarta telefoner och surfplattor som tillhandahålls av Karolinska Institutet är att betrakta som arbetsredskap. KI äger utrustningen och den information som finns på dem. Du som medarbetare ska vara medveten om att arbetsgivaren har rätt att ta del av t.ex. sms, foton och kalenderanteckningar.
  • Eftersom offentlighetsprincipen gäller kan det vara möjligt för utomstående att begära ut informationen på din telefon eller surfplatta.
  • Smarta telefoner och surfplattor är i grunden att betrakta som osäkra lagringsplatser. Du får inte hantera konfidentiell information i sådana om inte särskild säkerhetslösning, godkänd av KI:s centrala informations- eller IT-säkerhetsfunktioner, används.
  • Det finns ett stort utbud av applikationer att ladda ner till smarta telefoner och surfplattor. Många av dessa kan innehålla skadlig kod. I syfte att minska denna risk får du endast ladda ned applikationer från App Store eller Google Play.
  • Pinkoder, fingeravtryck eller annan autentisering ska användas för inloggning på smarta telefoner och surfplattor. Då pinkoder används ska ej enkla pinkoder som 0000, 1234 etc. användas, och inte samma pinkod som används i andra sammanhang, t.ex. pinkod till bankomatkort.
  • Uppdateringar från Google eller telefontillverkaren och som aviseras på din mobila enhet ska installeras skyndsamt.
  • De mobila enheterna ska ha funktion för spårning och fjärrensning.

Användning av Internet

Den internetuppkoppling som KI tillhandahåller ska användas som ett arbetsredskap. Privat användning får endast ske i begränsad omfattning och så länge det inte påverkar ditt arbete.

Det är inte tillåtet att:

  • Besöka webbsidor som innehåller våld, rasism, pornografi, brottslig verksamhet eller andra sidor som av etiska skäl inte är lämpliga
  • Ladda ner filer eller program som inte är verksamhetsrelaterade (inkl. t.ex. musik eller filmer)
  • Ansluta en dator till nätverket samtidigt som den är uppkopplad mot ett annat nätverk

Användning av E-post

E-postsystemet är till för verksamhetsrelaterade uppgifter. Privat användning får endast ske i begränsad omfattning och så länge det inte påverkar ditt arbete.

  • Känslig information ska alltid krypteras då den skickas via e-post. Kontakta lokalt IT-stöd för hjälp
  • Verksammas e-postkonton kan stängas vid misstanke om brott eller missbruk
  • Din e-postadress bör enbart användas i verksamhetsrelaterade sammanhang

Det är inte tillåtet att:

  • Skicka eller spara stötande information så som våld, pornografi och diskriminerande ord och bilder
  • Skicka eller vidarebefordra skräppost/spam och kedjebrev
  • Öppna, skicka eller vidarebefordra programfiler som inte är verksamhetsrelaterade
  • Automatiskt vidarebefordra e-post till extern icke godkänd e-postadress
  • Uppge privat/extern e-postadress som kontaktinformation på KI:s offentliga webbsidor

Användning av sociala medier

Användandet av sociala medier inom KI ska främst ske utifrån verksamhetens syften, t.ex. för att snabbt nå ut till olika målgrupper.

Du bör även tänka på att:

  • Privat användning av sociala medier på arbetstid endast är tillåten så länge det inte påverkar ditt arbete
  • KI:s e-postadress inte får användas för privat inloggning och kommunikation via sociala medier
  • Känslig information aldrig får kommuniceras genom sociala medier
  • Lösenord som används för inloggning till sociala medier inte får vara desamma som lösenorden som används för KI:s system

I övrigt gäller samma regler som vid användning av epost. För ytterligare information, se kommunikationsavdelningens sida riktlinjer för sociala medier.

Distansarbete

Vid arbete på distans ska du tänka på att:

  • Distansanslutning mot KI:s nätverk endast får ske genom godkända kommunikationslösningar för distansanslutning
  • Endast utrustning som uppfyller KI:s säkerhetskrav får kopplas upp mot KI:s interna nätverk
  • Känslig information förvaras och hanteras på ett säkert sätt enligt gällande säkerhetskrav
  • Känslig information alltid ska krypteras vid lagring på flyttbara medier så som bärbara datorer, USB-minnen eller mobiltelefoner

Åtkomst och användaridentitet

Avseende åtkomst och användaridentitet ska du tänka på att:

  • Du som användare är ansvarig för hanteringen av information och de aktiviteter som sker, under perioden då du är inloggad med din användaridentitet i ett system.
  • Dina användaridentiteter, lösenord och passerkort är personliga och får aldrig lånas ut till någon annan. Att låna ut dessa uppgifter kan innebära att du behöver stå till svars för den aktiviteten som har utförts i ditt namn.
  • Du ska omedelbart rapportera om du misstänker att någon obehörig känner till ditt lösenord, eller om du tappat bort ditt passerkort.

Loggning och loggranskning

Avseende loggning och loggranskning gäller följande:

  • All internetanvändning loggas
  • För alla system som innehåller känsliga uppgifter genomförs loggning av alla användaraktiviteter, d.v.s. allt vi gör i systemet.
  • Syftet med loggningen är att kunna säkerställa att endast behöriga personer har tagit del av en viss information.
  • Loggranskning genomförs regelbundet.

Rapportera informationssäkerhetsincident

Som verksam vid KI ska du känna till vad som klassas som incident samt var och hur dessa ska rapporteras.

Som användare ska du hjälpa till genom att:

  • Snarast möjligt rapportera incidenter som kan påverka informationssäkerheten.  
  • Snarast möjligt rapportera incidenter som innefattar personuppgifter.
  • Rapportera incidenterna till prefekten eller till av denne utsedd person.
  • Även rapportera misstankar om incidenter

Exempel på informationssäkerhetsincidenter är:

  • Felaktig, olovlig eller skadlig hantering av information som kan innebära negativ påverkan för KI
  • Information som kommit i orätta händer
  • Stöld av utrustning eller fysiska dokument innehållande känslig information
  • Dataintrång
  • Skadlig kod (t.ex. virus) eller skadlig programvara

När en incident innefattar personuppgift klassas händelsen som en personuppgiftsincident. Dessa ska enligt GDPR rapporteras. Rapporteringar av informationssäkerhetsincidenter görs genom att maila KI:s IT-support. Mailadress: it-support@ki.se

En huvudregel är att rapportera allt som du misstänker skulle kunna vara en incident, det är bättre än att incidenter går oupptäckta. Alla inrapporterade incidenter kommer att analyseras och hanteras.

Kontakt: 

KI:s informationssäkerhetsfunktion nås i dagsläget via e-mail: infosec@ki.se.

Länkar