Arvika kommuns väg till en säker digital miljö i skolan

Arvika kommun har använt Google Workspace for Education sedan 2008. Inledningsvis för att lärarna skulle få tillgång till en bra epostlösning. Man insåg samtidigt att det skulle kunna finnas ett framtida behov även för eleverna eftersom Google innehöll flera andra verktyg som hade stor potential att användas i klassrummet. 2012-2013 började eleverna få tillgång till en egen dator i skolan och fler av Googles verktyg introducerades i undervisning. Behovet av en säkerhetsanalys blev tydligare, speciellt eftersom den allmänna dataskyddsförordningen, GDPR, skulle börja tillämpas den 25 maj 2018. Dessutom går det inte att komma förbi t ex kapitel 10 i offentlighets- och sekretesslagen. Privacy Shield. Cloud Act. Schrems II.

Behov av en kontinuitetsanalys

En kontinuitetsanalys genomfördes som omfattade drift, sårbarhet, identitet- och informationsflöden i kommunens alla digitala miljöer. Analysarbetet pekar på att det finns förbättringspotential när det gäller hantering av t ex personuppgifter, integritetskänslig information och sekretessbelagd information. Kommunikation kan ske på ett osäkert sätt, kunskapen och den begreppsliga förståelsen för vad det innebär att skicka information inom domänen och utanför domänen behöver utvecklas.

Några viktiga ställningstaganden som leder arbetet framåt

För att komma vidare i säkerhetsarbetet behöver kommunen göra några principiella ställningstaganden. Det är orimligt att några få personer på en liten värmländsk kommun i glesbygden ska lösa problemen som bl a har att göra med lagring av data i olika regioner. Det är främst en fråga som EU och USA måste lösa. Samtidigt står kommunen i korselden mellan olika lagstiftningar om information och datasäkerhet som pekar på att viss hantering av data kan vara olaglig. Å andra sidan finns skollagen, läroplaner och styrdokument som säger att skolan ska digitaliseras. Kommunens gör därför följande ställningstagande: 

  • lagar och riktlinjer är oförenliga
  • de utgår från att EU och USA kommer hitta en lösning
  • de är beredda att ta risken att bryta mot förordningar
  • liten sannolikhet att kapitel 10 i offentlighets- och sekretesslagen slår till

Utan dessa ställningstaganden är det enda alternativet för kommuner att backa ur deras digitala miljöer och börja använda papper och penna igen. 

Med vetskapen om att det finns en minimal risk att kapitel 10 i offentlighets- och sekretesslagen slår till, väljer kommunen att fortsätta arbetet med att skapa en säkerhetsmedveten organisation. När EU och USA löst frågeställningarna kommer Arvika kommun ligga i framkant.

Anlita en certifierad Google Partner

En viktigt nyckel till Arvika kommuns framgångsrika arbete är att de i ett tidigt skede inledde ett samarbete med en certifierad Google Partner. Kommunens egna organisation är för liten för att upprätthålla den specialistkompetens som behövs för att kunna genomföra arbetet. Tack vare samarbetet med Online Partner har man exklusiv tillgång till expertkunskap om Google och säkerhet, vilket gör att man snabbt kan få svar på frågor och stöd i arbetet. Dessutom blir arbetet formaliserat på ett sätt som gör att det ställs ett ömsesidigt ansvar att uppfylla sina åtaganden. Arbetet blir mer effektivt t ex tack vare schemalagda avstämningar.

Hur skapar man en säkerhetsmedveten organisation?

Att skapa en säkerhetsmedveten organisation handlar i huvudsak om teknik, pedagogik och utbildning. I Arvika kommuns projekt bedöms den tekniska delen vara ca 10 %. Resten är pedagogik och att utveckla användarnas kompetens kring data- och informationssäkerhet. Tillsammans bidrar det till att skapa en kultur där man “tänker informationssäkerhet”.

Google Admin Console

De största förändringarna i den tekniska miljön syns inte. De är gjorda bakom kulisserna, till stor del via Google Admin Console där funktioner som bidrar till en säker miljö aktiveras/avaktiveras för att skapa regler och policys för användarna. Här har kommunen fått stor hjälp av Online Partner att göra rätt anpassningar och inställningar. På Google Drive skapas struktur, ordning och reda. Vissa enheter låses för att man ska kunna spara känslig information men inte dela ut informationen från enheten. Det handlar om att göra det svårare för lärarna att oavsiktligt göra fel.

Tvåfaktorsautentisering

En annan viktigt del i kommunens säkerhetsarbete är att införa tvåfaktorsautentisering vid inloggning. Security Key by Yubico, USB-nycklar för tvåfaktorsautentisering implementeras stegvis för personalen i grundskola, förskolan och därefter gymnasiet.

Klockan 06:00 varje, måndag, onsdag och fredag blir alla användare automatiskt utloggade från domänen på alla digitala redskap. För att logga in på sina enheter igen använder personalen sina Yubikey USB-nycklar.

Utbildning

Eleven ska alltid vara i centrum och läraren ansvarar för att skydda sina elevers data och känslig information. Lärare måste kunna lita på att den digitala miljön är säker, att känslig information inte hamnar i fel händer och att de kan arbeta i miljön utan att riskera att oavsiktligt begå allvarliga misstag. Det är dock känt att lärare ofta känner sig osäkra i digitala miljöer, de är rädda för att göra fel och för eventuella konsekvenser. Myter sprids om molnlösningarnas lämplighet att lagra känslig information. Trollfabriker och cyberattacker. Otydlighet och avsaknad av ramar och regler. Här är det viktigt att förstå att Googlemiljön är så säker att ingen kan hacka sig in i den.

För att höja kunskapsnivån, medvetenheten, bidra till en kulturell förändring och ett nytt arbetssätt behöver alla användare genomföra två utbildningar. Startutbildningen “Tema Säkerhet” är baserad på Myndigheten för Samhällsskydd och Beredskaps informationssäkerhetsutbildning, Disa. Dessutom finns en webbaserad grundutbildning om informationssäkerhet via Draftit. När utbildningarna är genomförda kan personalen kvittera ut sina Yubikey USB-nycklar

“Yubikey-nyckeln är lärarnas trygghet. När den är erövrad vet lärarna att de kan använda Google till allt det de behöver i sin undervisning.”