Sikker samhandling i skyen hos Politihøgskolen

Beste praksis for UH-sektoren

Stadig mer informasjon lagres «i skyen» i stedet for på lokale servere.
Dette byr på nye sikkerhetsutfordringer, men gir også muligheter for enkel og sikker samhandling. Enable har ledet arbeidet med å utvikle en god praksis for hvordan universitets- og høgskolesektoren skal behandle sensitive data og hvordan teknologien kan støtte denne praksisen.

Prosjektgruppen bestod av UNINETT, Microsoft, NTNU, Politihøgskolen, Nord universitet og Universitetet i Agder.

— Vi hadde ikke et godt og trygt samhandlingsverktøy på plass, så det var i ferd med å utvikle seg ulike praksiser, hvor både epost, Dropbox og andre skyggeløsninger ble tatt i bruk. Vi startet derfor prosjektet «Fra fil til sky» for å sikre tilgjengelighet, samtidig som sikker lagring ivaretas. Mange er i dag vant til å jobbe med nettbrett og på mobilen, så mobile enheter må kunne brukes, fortsetter hun.

Mari Jacobsen

Seniorrådgiver

– Enable arrangerte sammen med Politihøgskolen et planleggingsmøte i forbindelse med UNINETT-dagene i 2017. Vi så raskt at dette hadde interesse for hele sektoren, og UNINETT kom inn som bestiller av arbeidet med å utarbeide en god praksis, forteller Mari Jacobsen, prosjektleder ved IKT-seksjonen ved Politihøgskolen.

Ansatte ved Politihøgskolen har behov for samarbeid internt i organisasjonen, med andre innen utdanningssektoren, politisektoren og andre eksterne samarbeidspartnere.

— Vi hadde ikke et godt og trygt samhandlingsverktøy på plass, så det var i ferd med å utvikle seg ulike praksiser, hvor både epost, Dropbox og andre skyggeløsninger ble tatt i bruk. Vi startet derfor prosjektet «Fra fil til sky» for å sikre tilgjengelighet, samtidig som sikker lagring ivaretas. Mange er i dag vant til å jobbe med nettbrett og på mobilen, så mobile enheter må kunne brukes, fortsetter hun.

Mange har en følelse av at det som lagres i skyen er lite konkret, og at de vil miste kontroll.

— For oss er det viktig å være sikre på at konfidensialitet og integritet ivaretas samtidig som vi oppnår tilgjengelighet og brukervennlighet. Det er behov for å sikre ulike grader av fortrolighet, også utenfor sak/arkiv-system, understreker Jacobsen.

— Vi gjennomførte en ordinær anskaffelsesprosess som Enable vant og har hatt et meget godt samarbeid Enable, og Snorre Jensen som prosjektleder.

Mari Jacobsen

Seniorrådgiver

Snorre Jensen fra Enable ledet arbeidet med å utvikle en god praksis for sektoren. Denne er nå tilgjengelig for alle som er interesserte. Jensen blir nå ofte bedt om å presentere rapporten i ulike fora.

— I arbeidet har vi både sett på informasjon som tidligere er lagret på sikre servere, men også på det som lagres lokalt på pc-er samt det som sendes per e-post, forklarer han.

Office 365 gir mulighet for en todelt løsning. Det kan legges inn klassifisering i det enkelte dokument, samtidig kan hele områder sikres slik at alt som legges inn dit automatisk får den bestemte klassifiseringen. På denne måten er også enkeltpersoner i stand til å beskytte innhold.

Grupper eller prosjekter kan i tillegg pålegges føringer som sikrer innholdet uavhengig av enkeltpersoner.

Intern bevissthet

Et prosjekt som dette er ikke først og fremst et IKT-prosjekt, men et prosjekt for hele organisasjonen.

— Vi trenger en bevisstgjøring i organisasjonen og klare kriterier for hvilke rutiner som skal følges. Målet er at den som har «tjenstlig behov» skal få adgang, men ingen andre. Tilgang bør derfor også kunne spores, sier Jacobsen.

Politihøgskolen har fått på plass bedre muligheter for samarbeid gjennom OneDrive og Teams. Nå blir informasjonen samlet ett sted og behovet for gjenfinnbarhet og versjonskontroll ivaretatt, samtidig som vi kan unngå unødvendige kopier av dokumenter.

— Det er viktig å komme tidlig i gang, så ikke andre, og usikre, løsninger får etablert seg.

Mari Jacobsen

Seniorrådgiver

Egen tilpasning

I standarden som er utviklet er det fem klassifiseringsnivåer:

• Privat
• Åpen
• Intern
• Fortrolig
• Strengt fortrolig

Disse kan organisasjonen selv navngi og bestemme hva som skal skje innenfor hver enkel klassifisering.

— Ulike organisasjoner har ulik oppfatning av begreper. Vi må for eksempel forholde oss til begrepet «fortrolig» fra Sikkerhetsloven, så det vil være forvirrende å legge inn en annen definisjon her. For andre kan begrepene defineres friere, eller tilpasses deres tidligere praksis, sier Jacobsen.

Trygt og godt samarbeid

– Vi gjennomførte en ordinær anskaffelsesprosess som Enable vant og har hatt et meget godt samarbeid med Enable, og Snorre Jensen som prosjektleder. De har god kjennskap til sektoren og kan derfor bygge videre på erfaringer fra andre. De har jobbet tett med NTNU som ligger foran, og nå kommer det mange like etter.

Vi åpner også for å dele våre løsninger med andre innenfor sektoren, på denne måten kommer vi mye lengre enn om alle skal begynne fra start, sier Jacobsen.

— Av og til sitter en IT-avdeling litt fast selv, og trenger noen med erfaring som kan bidra med forslag til løsninger. Jeg vet at vi gjerne ville sett på andres løsninger da vi gikk i gang med dette, sier Jacobsen.

Allerede ved innføring av Teams hvor dokumentasjon ligger samlet for alle som skal ha tilgang, er det mye sikrere enn tidligere da alle eksterne måtte få tilsendt dokumenter per e-post.

— Det er viktig å komme tidlig i gang, så ikke andre, og usikre, løsninger får etablert seg, påpeker Jacobsen.

Innføring av skybaserte løsninger blir med dette en tryggere løsning enn den serverbaserte løsningen, som ikke lenger fungerer så godt i praksis.