Få utskriftsvennlig versjon ved å trykke på denne

Retningslinje for bruk av IT-utstyr ved reiser til risikoland

Formål

Disse retningslinjene skal bidra til at informasjonssikkerheten ivaretas ved reise til risikoland, der delegater fra UiT kan bli utsatt for statlig etterretningsvirksomhet. 

I PSTs trusselvurdering for 2018 fremkommer det at «virksomheter innen norsk forsvars- og beredskapssektor, statsforvaltning, forskning og utvikling samt virksomheter innen kritisk infrastruktur, vurderes som særskilt utsatte etterretningsmål.1»

Retningslinjene skal motvirke en trusselaktørs evne og muligheter til å tilegne seg eller manipulere UiTs informasjon gjennom f.eks å stjele, aksessere, plante, modifisere eller slette data, som f.eks forskningsdata, viktige dokumenter, forhandlingsposisjoner, utredninger mv. De skal videre senke risikoen for at fremmede aktører får plantet uønsket innhold på UiT-eid, elektronisk utstyr, være seg programvare[2] eller maskinvare[3]

Virkeområde

Retningslinjen gjelder for ansatte i lederstillinger samt øvrige ansatte hvis det foreligger særlige grunner for at de kan være utsatt for fremmede staters etterretningsvirksomhet, og omfatter reiser hvor UiT-eid utstyr og/eller informasjon (enten fysisk eller digitalt) medbringes til risikoland. 

Ansvar, myndighet og oppgavefordeling

  • Universitetsdirektør er ansvarlig for informasjonssikkerhet på et overordnet nivå, og fastsetter disse retningslinjene.
  • IT-direktør har forvaltningsansvaret for informasjonssikkerhet, og delegeres ansvar og myndighet for revidering av disse retningslinjene, samt fastsettelse av tilhørende rutiner.
  • Campusdirektør, fakultetsdirektør, avdelingsdirektør gis myndighet til å avgjøre om enkeltpersoner som ikke innehar lederstillinger som definert i punktet nedenfor, skal omfattes av disse retningslinjene. Tilsvarende gjelder for spørsmålet om reiser til land som ikke er særlig nevnt i neste avsnitt.
  • Avdeling for IT har ansvaret for å koordinere iverksettelsen av retningslinjen med tilhørende rutiner, herunder presentere disse på nettsidene https://uit.no/sikkerhet.

 Definisjoner

Med lederstillinger menes rektorat, universitetsdirektør, campusdirektører, avdelingsdirektør, fakultetsdirektør, dekanat, instituttleder. Nestledere og stedfortredere til de nevnte rollene omfattes også.

Under «øvrige ansatte hvor det foreligger særlige grunner», menes der hvor stillingens karakter eller fagfelt gjør det sannsynlig at de kan være utsatt for denne typen aktivitet. Eksempelvis prosjektledere i prosjekter, premissleverandører for beslutningsprosesser (særlig politiske) mv. 

Med risikoland menes land hvor det er særlig risiko for aktivitet fra statlige etterretningsmyndigheter, rettet mot UiT-ansatte. I følge PSTs åpne trusselvurdering er det særlig Russland og Kina som utpeker seg med aktivitet mot norske interesser, og reiser til disse landene vil være omfattet av disse retningslinjene. Det må vurderes konkret om også reiser til andre land skal omfattes, og da kanskje særlig USA grunnet deres regler og praksis knyttet til gjennomsøkning av bagasje, digitalt utstyr mv ved grensepasseringen og den potensielle risikoen dette medfører for innsyn i konfidensiell informasjon.

Krav og anbefalinger

For reiser som omfattes av denne retningslinjen plikter den aktuelle ansatte å orientere seg om og overholde følgende rutiner

  • Kun arbeidsdokumenter/informasjon som er nødvendig i løpet av reisen skal medbringes, dette gjelder uavhengig av om informasjonen er lagret digitalt eller fysisk
  • Elektroniske gaver som man mottar i løpet av reisen, skal ikke brukes verken under eller etter reisen[4].  Dette kan være minnepinner, nødladere mv. Tilsvarende gjelder for elektroniske enheter som man finner underveis[5]
  • Bruk av offentlige/hotellets ladestasjoner til mobiltelefoner mv. bør unngås. Hvis disse brukes skal enheten være låst eller slått av.
  • Så langt det er mulig bør ikke konfidensielle[6] dokumenter medbringes ved grensepasseringer. De bør heller hentes ned fra UiTs skytjenester når man er fremme[7].
  • Ved bruk av internett på hotell, konferanselokaler, flyplass, universiteter mv, skal man alltid koble til UiTs VPN-klient før man kobler seg til de aktuelle UiT-tjenestene (som Sharepoint, e-post mv).
  • Ikke ta med den bærbare PC man har fått utstedt av UiT til daglig bruk, men bruk en lånePC. Disse utstedes ved å ta kontakt med Orakelet før avreise, og må leveres igjen ved hjemkomst.
  • Medbrakte lagringsmedier som eksterne harddisker og/eller minnepinner skal være krypterte.
  • UiTs mekanismer for informasjonsbeskyttelse[8] skal benyttes så langt det er mulig.
  • Den ansatte er selv ansvarlig for å sette seg inn i det aktuelle reisemåls regler, og ikke medbringe utstyr og/eller informasjon som det er forbudt å innføre. Eksempelvis kan det i enkelte land være forbudt å medbringe krypterte filer og/eller krypteringsprogramvare, og overtredelse kan i ytterste konsekvens være straffbart. I slike tilfeller må man ta kontakt med informasjonssikkerhetslinja[9] i god tid før avreise, for å få avklart hvordan informasjonen kan sikres.
  • Når man kommer tilbake fra en slik reise, skal passord på UiT-konto byttes. Dette gjøres på nettsiden https://brukerinfo.uit.no.

Klargjøring og administrasjon av lånePC er nedfelt i egne rutiner, og dette arbeidet koordineres/utføres av Avdeling for IT. Følgende krav skal være oppfylt:

  • Lokal harddisk på bærbare datamaskiner skal være kryptert.
  • Det skal være innsynsbeskyttelse på skjermen
  • Det skal være påsatt et webkamera-deksel
  • Fullstendig reinstallering skal gjennomføres etter hvert utlån

 

Ansatte bes være oppmerksom på følgende:

  • vurder hvilke elektroniske hjelpemidler det er nødvendig å ta med, f.eks mobiltelefon, nettbrett, PC m.m. (dette gjelder også privat utstyr, ikke bare UiT-eid)
  • vær oppmerksom på at enkelte land har grensekontroller med utvidet sjekk av dokumenter og bagasje, herunder beslag av digitalt utstyr. Planting av ondsinnet programvare og/eller avlyttingsutstyr kan forekomme.
  • Hotellsafen kan ikke regnes som trygg
  • Enkelte land har iverksatt tekniske sperrer for bruk av VPN-klienter. Dette kan medføre at man ikke får tilgang til de filene/tjenestene ved UiT som man behøver.

Virkeperiode

Denne retningslinjen tar sikte på å følge PSTs årlige trusselvurdering som utkommer i januar/februar . Virkeperiode for retningslinjen fastsettes derfor til perioden f.o.m mars inneværende år t.o.m februar påfølgende år[10]

Dette er imidlertid et område hvor forutsetningene for de vurderinger som er gjort kan endre seg raskt. Det kan derfor i visse tilfeller være aktuelt med endringer på kort varsel. Sjekk derfor alltid nettsiden https://uit.no/sikkerhet for å være sikker på at du har den gjeldende versjonen.

Referanser

  • Denne retningslinjen er underlagt Styringssystemet for informasjonssikkerhet ved UiT.
  • Retningslinjen inngår som del av retningslinjer og rutiner for reiser
  • Retningslinjen er basert på

 

 

Fastsatt av:

Universitetsdirektøren

Dato:

 8. juni  2018

Ansvarlig enhet:

Avdeling for IT

Id:

UiT.ITA.infosec.ret01

Sist endret av:

 Bjørn Torsteinsen

Dato:

 8. juni 2018

Erstatter:

-

Arkivref.:

 2017/5560-2


[1] Vår utheving. Linken hentet 31.1.18.

[2] Eksempelvis keyloggers eller programvare for å foreta opptak av lyd/bilde, sende ut kopier av filer etc.

[3] Dvs fysiske inngrep i maskinen, med tanke på å få tilgang til informasjon uten at det kan oppdages med enkle midler, eller motvirkes via reinstallering etc.

[4] Disse skal avhendes, enten av den ansatte selv eller via UiTs ordning for destruksjon av IT-utstyr.

[5] F.eks på gaten, på hotellet etc.

[6] Se definisjon i Styringssystemet for informasjonssikkerhet.

[7] Merk: Ikke bruk private skytjenester (som Dropbox, Google Drive etc) eller e-post (selv UiTs e-post) til denne typen dokumenter.

[8] Disse blir primært tilgjengelig gjennom utrullingen av Office365

[9] Se Styringssystem for informasjonssikkerhet, rolle som informasjonssikkerhetsansvarlig og informasjonsssikkerhetsrådgivere.

[10] Eksempelvis retningslinjene for 2018 har en varighet fom. mars 2018 tom. februar 2019. Retningslinjene for 2019 har en varighet fom. mars 2019 tom. februar 2020 etc.

[11] Linken hentet 31.1.2018

[12] Linken hentet 31.1.2018




Ansvarlig for siden:
Sist oppdatert: 08.06.2018 11:48