Arbeta förebyggande med informationssäkerhet

Förskolor och skolor hanterar en stor mängd personuppgifter och kan bli måltavlor för otillåten och olaglig verksamhet på nätet. Här kan du som är rektor eller representant för huvudmannen läsa om hur ni kan arbeta förebyggande med informationssäkerhet.

Förskolor och skolor har juridiska skyldigheter att hantera personuppgifter om personal, barn och elever på ett säkert sätt.

Intrång eller okunskap kan få konsekvenser som påverkar både förskolan eller skolans förmåga att fungera och ert rykte.

Så kan du förbättra informations­säkerheten

  • Använd en brandväggsanslutning.
  • Övervaka och testa brandväggskontroller regelbundet för att säkerställa att de fungerar effektivt.
  • Ta fram policyer för hur olika it-system eller tjänster ska användas på ett korrekt och säkert sätt – informera och utbilda de som använder systemen.
  • Installera antivirusprogram på enheter, it-system och it-infrastruktur.
  • Inaktivera USB-portar om eller när det är möjligt.
  • Hantera och begränsa rättigheterna för enskilda användare, övervaka användaraktiviteten och inför rutiner för att granska säkerhetsloggar.
  • Skapa en rutin för lösenord och hur ofta de ska bytas ut.
  • Använd starka, unika lösenord och om möjligt flerfaktorsautentisering för åtkomst.
  • Använd en lösenordshanterare för att lagra lösenord.
  • Skapa rutiner för säkerhetskopiering och testa regelbundet att kopiorna kan återläsas.
  • Installera regelbundet uppdateringar av program.

Ta fram rutiner och öva inför incidenter

Om ni inte redan har en rutin för hur ni hanterar eventuella it-incidenter är det bra om ni tar fram det. Involvera personalen och genomför övningar för att testa att rutinen fungerar. Det är viktigt att kontaktuppgifter till personer som kan stötta vid en incident finns dokumenterade och lättåtkomliga för de som behöver dem.

Personal och elever behöver veta hur de ska rapportera incidenter. Det är bra om rutinerna omfattar även hur incidenter hanteras och att incidenter dokumenteras för att ni ska kunna dra lärdomar inför framtida incidenter.

Hot och risker på nätet

Att förstå riskerna och göra dem kända bland personal och elever är en del i det förebyggande arbetet. Nedan ges några exempel på hot som kan leda till att information hamnar i orätta händer eller på annat sätt skadar verksamheten.

Det finns både riktade och icke riktade cyberattacker. En del attacker riktar sig urskillningslöst till så många enheter, tjänster eller användare som möjligt. En verksamhet med låg nivå av skydd ligger i riskzonen för att drabbas.

Genom utpressningsattacker (så kallad ransomware) kan kriminella kryptera och kräva betalning för att låsa upp verksamhetskritisk information. Informationen blir omöjlig att läsa för alla utom angriparen. Det förekommer även att kriminella stjäl och säljer vidare känsliga personuppgifter alternativ kräver ytterligare betalning för att information inte ska komma i orätta händer.

Hackare kan vara enskilda personer som försöker få åtkomst till verksamhetens it-system i syfte att stjäla information alternativt störa eller förstöra systemen. Det kan även handla om att sprida desinformation via webbplatser eller sociala kanaler.

De som använder skolans it-system kan begå misstag eller bli utsatta för så kallat nätfiske. Misstag kan leda till att känslig information eller referenser hamnar i orätta händer och eventuellt utnyttjas.

Missnöjd personal eller missnöjda elever kan använda sin tillgång till skolans it-system för att medvetet skada, störa eller förstöra systemen.

Fördjupning

Myndigheten för samhällsskydd och beredskap, MSB, har tagit fram ett metodstöd som visar hur man kan arbete med informationssäkerhet i en organisation.

Metodstöd för systematiskt informationssäkerhetsarbete, MSB:s webbplats Länk till annan webbplats.

Senast uppdaterad 14 januari 2025

Innehåll på denna sida