Arvika kommunes vei til et trygt digitalt miljø i norsk skole
Arvika kommune har brukt Google Workspace for Education siden 2008. Opprinnelig for at lærere skulle ha tilgang til en god e-postløsning. Samtidig ble det innsett at det også kunne være et fremtidig behov for elever fordi Google inneholdt flere andre verktøy som hadde stort potensial for å brukes i klasserommet. I 2012-2013 begynte elevene å få tilgang til sin egen datamaskin på skolen, og flere av Googles verktøy ble introdusert i læreplanen. Behovet for en sikkerhetsanalyse ble tydeligere, spesielt siden den generelle personvernforordningen, GDPR, ble vedtatt 25. mai 2018. I tillegg kan ikke informasjons- og taushetsloven kapittel 10 unngås. Privacy Shield. Skyloven. Schrems II.
Behov for en kontinuitetsanalyse
Det ble gjennomført en kontinuitetsanalyse som omfattet drift, sårbarhet, identitet og informasjonsflyt i alle kommunens digitale miljøer. Analysearbeidet indikerer at det er forbedringspotensiale når det gjelder håndtering av for eksempel personopplysninger, personvernsensitive opplysninger og gradert informasjon. Kommunikasjon kan foregå på en usikker måte, kunnskapen og den konseptuelle forståelsen av hva det vil si å sende informasjon innenfor domenet og utenfor domenet må utvikles.
Noen viktige retningslinjer som leder arbeidet videre
For å komme videre i sikkerhetsarbeidet må kommunen gjennomføre noen prinsipielle retningslinjer. Det er urimelig at noen få personer i en liten Värmlandskommune i spredtbygde strøk skal løse problemene som blant annet har med datalagring i ulike regioner å gjøre. Dette er først og fremst et spørsmål som EU og USA må løse. Samtidig står kommunen i et krysningspunkt mellom ulike lovverk om informasjon og datasikkerhet, som tilsier at viss håndtering av data kan være ulovlig. På den annen side er det skolelover, læreplaner og styringsdokumenter som sier at skolen skal digitaliseres. Kommunen følger derfor følgende retningslinjer:
- lover og retningslinjer er uforenlige
- de antar at EU og USA finner en løsning
- de er forberedt på å ta risikoen for å bryte regelverket
- Offentlighetslovens kapittel 10 om opplysninger og taushetsplikt vil neppe fungere
- Uten disse retningslinjene er det eneste alternativet for kommunene å gå ut av sine digitale miljøer og begynne å bruke papir og penn igjen.
Med visshet om at det er minimal risiko for at offentlighetslovens kapittel 10 om informasjon og taushetsplikt skal materialiseres, velger kommunen å fortsette arbeidet med å skape en sikkerhetsbevisst organisasjon. Når EU og USA har løst problemene, vil Arvika kommune ligge i front.
Lei en sertifisert Google-partner
En viktig nøkkel til Arvika kommunes vellykkede arbeid er at de startet et samarbeid med en sertifisert Google Partner på et tidlig tidspunkt. Kommunens egen organisasjon er for liten til å opprettholde den spesialistkompetansen som trengs for å kunne utføre arbeidet. Takket være partnerskapet med Online Partner har du eksklusiv tilgang til ekspertkunnskap om Google og sikkerhet, noe som gjør at du raskt kan få svar på spørsmål og support på jobben. I tillegg er arbeidet formalisert på en måte som gjør det til et gjensidig ansvar å oppfylle sine forpliktelser. Arbeidet blir mer effektivt, for eksempel takket være planlagte avstemminger.
Hvordan skape en sikkerhetsbevisst organisasjon?
Å skape en sikkerhetsbevisst organisasjon handler i hovedsak om teknologi, pedagogikk og utdanning. I Arvika kommunes prosjekt er den tekniske delen beregnet til ca 10 %. Resten er pedagogikk og utvikling av brukernes kompetanse rundt data- og informasjonssikkerhet. Sammen er det med på å skape en kultur der man «tenker informasjonssikkerhet».
Google administrasjonskonsoll
De største endringene i det tekniske miljøet er ikke synlige. De lages bak kulissene, i stor grad via Google Admin Console, hvor funksjoner som bidrar til et trygt miljø aktiveres/deaktiveres for å lage regler og retningslinjer for brukerne. Her har kommunen fått god hjelp av Online Partner til å gjøre riktige justeringer og innstillinger. Google Drive skaper struktur, orden og orden. Noen enheter er låst for å lagre sensitiv informasjon, men deler ikke informasjonen fra enheten. Det handler om å gjøre det vanskeligere for lærere å utilsiktet gjøre feil.
To-faktor autentisering
En annen viktig del av kommunens sikkerhetsarbeid er å innføre tofaktorautentisering ved innlogging. Sikkerhetsnøkkel fra Yubico, USB-nøkler for tofaktorautentisering implementeres steg for steg for ansatte i barnehage, barneskole, og deretter videregående skole.
Kl. 06.00 hver, mandag, onsdag og fredag, logges alle brukere automatisk ut av domenet på alle digitale enheter. For å logge på enhetene sine igjen, bruker personalet Yubikey USB-nøkler.
Opplæring
Eleven skal alltid stå i sentrum, og læreren har ansvar for å beskytte elevenes data og sensitiv informasjon. Lærere må kunne stole på at det digitale miljøet er trygt, at sensitiv informasjon ikke havner i feil hender og at de kan jobbe i miljøet uten å risikere utilsiktede feil. Det er imidlertid kjent at lærere ofte føler seg usikre i digitale miljøer, de er redde for å gjøre feil og for mulige konsekvenser. Myter spredte seg om skyløsningers egnethet til å lagre sensitiv informasjon. Cyberangrep, uklarhet og mangel på rammer og regler. Her er det viktig å forstå at Google-miljøet er så trygt at ingen kan hacke seg inn i det.
For å øke kunnskapsnivået, bevisstheten, bidra til en kulturendring og en ny måte å jobbe på, må alle brukere gjennomføre to kurs. Den første opplæringen “Theme Security” er basert på den svenske Digital Information Security Training for All, Disa. I tillegg er det en nettbasert grunnopplæring om informasjonssikkerhet via Draftit. Når opplæringen er fullført, kan ansatte motta Yubikey USB-nøkler
«Yubikey-nøkkelen er lærernes sikkerhet. Når lærere føler seg trygge, vet de at de kan bruke Google til alt de trenger i undervisningen.»