Informationssäkerhet i förskola och skola

Förskolor och skolor hanterar en stor mängd personuppgifter och kan bli måltavlor för otillåten och olaglig verksamhet på nätet. Informationssäkerhet behöver vara en naturlig del av verksamheten. Här kan du som är rektor eller representant för huvudmannen läsa om hur ni kan arbeta förebyggande med informationssäkerhet.

Förskolor och skolor hanterar känsliga personuppgifter om personal, barn, elever och föräldrar. Det gör förskolor och skolor till potentiella mål för kriminella aktörer på nätet.

Intrång eller okunskap kan få konsekvenser som påverkar både verksamhetens förmåga att fungera och förskolans eller skolans rykte. Förskolor och skolor har även juridiska skyldigheter att hantera personuppgifter på ett säkert sätt.

Det är viktigt att vara medveten om riskerna och det finns flera saker verksamheten kan göra för att motverka risken att drabbas.

Så kan ni förbättra er informationssäkerhet

Det finns flera saker verksamheten kan göra för att förbättra informationssäkerheten.

  • Använd en brandväggsanslutning
  • Övervaka och testa brandväggskontroller regelbundet för att säkerställa att de fungerar effektivt
  • Ta fram policyer för hur olika it-system eller tjänster ska användas på ett korrekt och säkert sätt – informera och utbilda de som använder systemen
  • Installera antivirusprogram på enheter, it-system och it-infrastruktur
  • Inaktivera USB-portar om eller när det är möjligt
  • Hantera och begränsa rättigheterna för enskilda användare och övervaka användaraktiviteten inför rutiner för att granska säkerhetsloggar.
  • Skapa en rutin för lösenord och hur ofta de ska bytas ut
  • Använd starka, unika lösenord och om möjligt flerfaktorsautentisering för åtkomst
  • Använd en lösenordshanterare för att lagra lösenord
  • Skapa rutiner för säkerhetskopiering och testa regelbundet att kopiorna kan återläsas
  • Installera regelbundet uppdateringar av program

Ta fram rutiner och öva inför incidenter

Om ni inte redan har en rutin för hur ni hanterar eventuella it-incidenter är det bra om ni tar fram en sådan. Involvera personalen och genomför övningar för att testa att rutinen fungerar. Det är viktigt att kontaktuppgifter till personer som kan stötta vid en incident finns dokumenterade och lättåtkomliga för de som behöver dem.

Personal och elever behöver veta hur de ska rapportera incidenter. Det är bra om rutinerna omfattar även hur incidenter hanteras och att incidenter dokumenteras för att verksamheten ska kunna dra lärdomar inför framtida incidenter.

Hot och risker på nätet

Att förstå riskerna och göra dem kända bland personal och elever är en del i det förebyggande arbetet. Nedan ges några exempel på hot som kan leda till att information hamnar i orätta händer eller på annat sätt skadar verksamheten.

Det finns både riktade och icke riktade cyberattacker. En del attacker riktar sig urskillningslöst till så många enheter, tjänster eller användare som möjligt. En verksamhet med låg nivå av skydd ligger i riskzonen för att drabbas.

Genom utpressningsattacker (så kallad ransomware) kan kriminella kryptera och kräva betalning för att låsa upp verksamhetskritisk information. Informationen blir omöjlig att läsa för alla utom angriparen. Det förekommer även att kriminella stjäl och säljer vidare känsliga personuppgifter alternativ kräver ytterligare betalning för att information inte ska komma i orätta händer.

Hackare kan vara enskilda personer som försöker få åtkomst till verksamhetens it-system i syfte att stjäla information alternativt störa eller förstöra systemen. Det kan även handla om att sprida desinformation via webbplatser eller sociala kanaler.

De som använder skolans it-system kan begå misstag eller bli utsatta för så kallat nätfiske. Misstag kan leda till att känslig information eller referenser hamnar i orätta händer och eventuellt utnyttjas.

Missnöjd personal eller missnöjda elever kan använda sin tillgång till skolans it-system för att medvetet skada, störa eller förstöra systemen.

Informationen på den här sidan är delvis hämtad från det irländska informationssäkerhetscentret, NCSC Ireland.

Mer information finns hos MSB

Myndigheten för samhällsskydd och beredskap (MSB) har tagit fram ett metodstöd som närmare visar hur man kan arbete med informationssäkerhet i en organisation.

Metodstöd för systematiskt informationssäkerhetsarbete, MSB:s webbplats Länk till annan webbplats.

Senast uppdaterad 21 oktober 2022