Riskinventering - Institutionen för informationsteknologi - Uppsala ...

Riskinventering/-analys
”Sekretessprövas enligt 18 kapitlet, 8 §, i Offentlighets- och sekretesslagen (2009:400) före utlämning”..
Institution/enhet: Institutionen för informationsteknologi Datum: 23 september 2010
Ansvarig: Håkan Lanshammar Husbeteckning: C107001, C107002, C107004
Kontaktperson/er: Roland Grönroos Omsättning: 139 Milj kr /år (år 2009)
Tfn: 4716847 Antal anställda: 172 (0912) Antal studenter(hst): 928 ( kal.år 2009)
SKADA/FÖRLUST
NIVÅ (1-5)
SKYDDS-
NIVÅ (1-3)
BILAGA
nr.
Fördelat på nyckelord
sannolikhet konsekvens
Personskador 4 1 3 1 punkt 1
Nyckelpersoner 4 4 3 1 punkt 2
Brand/explosion 1 5 3 1 punkt 3
Inbrott/stöld 4 1 3 1 punkt 4
Vattenskada 3 1 3 1 punkt 5
Rån 1 2 3 1 punkt 6
Skada på teknisk utrustning 4 1 3 1 punkt 7
Informationsförlust 3 3 3 1 punkt 8
Dataintrång 5 4 3 1 punkt 9
Skadeståndskrav 1 5 3 1 punkt 10
Nyckeluppdragsgivare 1 3 2 1 punkt 11
Mediaförsörjning 4 4 3 1 punkt 12
Angränsande aktiviteter 5 1 3 1 punkt 13
Viktigaste inkomstkällor 4 5 3 1 punkt 14
Plagiat/fusk 4 1 3 1 punkt 15
Studentförlust, kvalitet på undervisningen 5 4 2 1 punkt 16
Tillgänglighet 4 1 2 1 punkt 17
Oplanerad arbetsbelastning 4 2 3 1 punkt 18
Utrustning:
Beräkningsserverarna Ngorongoro ,
Hagrid och Ra
Dyraste – vad/kostnad
ca 10 miljoner
ÅTERANSKAFFNINGSVÄRDEN
Med längst
återanskaffningstid –vad/tid
ca 4 månader
Utrustning i verksamheten 36390kkr Förbrukningsvaror 219kkr
Kontorsinventarier 3310kkr Övrigt 1576kkr
Litteratur, dokument 788kkr SUMMA 42283kkr
SAMMANFATTNING – Den händelse som ger störst påverkan på institutionens verksamhet är:
Brand.
Kostnaden för denna händelse
uppskattas till:
Direkt
skada:
30 MSEK
Följdkostnader:
10 MSEK
Summa:
40 MSEK
Åtgärdsplan har upprättats JA: X NEJ:
”Sekretessprövas enligt 18 kapitlet, 8 §, i
Offentlighets- och sekretesslagen (2009:400) före utlämning”.
Institutionen för informationsteknologi_Riskinventering sida 1 av 6 11-09-08 13.01

Bilaga 1 till riskinventering vid institutionen för informationsteknologi
1 Personskador
Det inträffar årligen någon skada på väg till eller från arbetet. I övrigt har det varit få
skador, förslitningsskador i samband med datorarbete har förekommit. Arbetet inom
institutionen följs upp med skyddsronder ibland med olika teman. En handlingsplan för
arbetsmiljöarbetet finns "http://www.it.uu.se/internt/Personalfragor/Arbetsmiljo.pdf"
den uppdateras planenligt. Risker som kommer till ledningens kännedom åtgärdas
omgående. Vid UPPMAX förekommer tunga lyft vilket medför ökade skaderisker.
2 Nyckelpersoner
Institutionen har byggts upp av och med mycket kompetenta medarbetare. Från
vaktmästare till professor är mer eller mindre var och en nyckelpersoner. Det inträffar då
och då att personal slutar eller får en minskad arbetsförmåga. Vanliga orsaker är att våra
medarbetare erbjuds eller söker arbeten på annat håll, får barn, går i pension eller
drabbas av sjukdom. Genom en att vi är en stor enhet har öppen atmosfär och kompetent
hantering av personalärenden kan vi planera och driva verksamheten trots de problem
som uppstår. Ser man lite bakåt i tiden finner man att vi tyvärr har hunnit skaffa en
ganska stor erfarenhet av att ersätta personal på alla nivåer. Inom administrationen pågår
sedan flerat år en process att åstadkomma och kontrollera att det hela tiden finns
backup-personer för kritiska arbetsuppgifter. Genom att införa ärendehanteringssystem
(bugzilla) och imap konton som hanteras av flera personer för olika funktioner har vi
minskat risken att ärenden blir personberoende.
3 Brand/explosion
Brandrisken får betraktas som mycket liten eftersom verksamheten huvudsakligen är
kontorsarbete och undervisning. De största riskerna bedöms föreligga vid ombyggnader
och vid de arbeten som projektstudenterna utför. Spridningen av sot även från mindre
bränder kanske inte begränsas av brandcellerna och absolut inte av kontorsdörrar som i
de flesta fall saknar tätning. Husen är dock mycket stabilt byggda och bör tåla en brand
ganska bra. Vi och akademiska hus håller uppsikt över brandcellsgränserna och
utrymningsvägarna så att de fungerar. Även soprummen är en brandrisk. Dessa är dock
belägna utanför fasaden och har extra brandsläckning installerad.
- Arkivrum 2020 behöver brand och röksäkras bättre. Ett alternativ kan vara att använda
arkivrum på Ångström.
En brand som ödelägger någon eller några byggnader skulle få omfattande konsekvenser
för både forskning och utbildning. Undervisningslokaler och kontor skulle omedelbart
bli obrukbara. Undervisningen skulle behöva flyttas till andra lokaler. En stor del av
personalen skulle kunna arbeta hemifrån eller omplaceras inom oskadade byggnader
efter en tid. Skadas servrar kan nya behövas innan arbetet kan komma igång.
Minimering av skador och återställning efter en så stor händelse bör kunna ske i
samarbete med universitetsledningen och andra institutioner.
4 Inbrott/stöld
Hos oss har målet för stölder och inbrott i de flesta fallen varit pengar. Privata
plånböcker har stulits dagtid då och då. Inbrotten har minskat kraftigt sedan något år.
Våra åtgärder har varit
- varuautomater har tagits bort.
- kontor är alltid låsta.
- koder till dörrar byts regelbundet samt vid misstanke om att de kommit ut.
- flera dörrar har försetts med kortläsarlås
”Sekretessprövas enligt 18 kapitlet, 8 §, i
Offentlighets- och sekretesslagen (2009:400) före utlämning”.
Institutionen för informationsteknologi_Riskinventering sida 2 av 6 11-09-08 13.01

- tillfälliga besökare och studenter placeras i rum där nyckel ej behövs.
- en trivsam och tillgänglig miljö för studenter och anställda som utnyttjas i stort sett
dygnet runt. Det ger en social kontroll där nya personer ses och tjuvar inte kan agera
ostört.
Datorer har stulits vid några tillfällen. Men större delen av utrustningen i våra
datasalar är inte stöldbegärlig eftersom de dels är UNIX system och dels kräver en
server för att fungera.
De mycket viktiga servrarna har under 2007 fått en ökad säkerhet genom att även
tillträde till planet i det hus där de finns har kunnat begränsas.
Under 2010 begränsades även tillträde till sysemteknkernas korridor utanför
kontorstid.
Vårt nyckelskåp verkar inte få iväg larm till passagesystemet.
Intendenturen håller på att ta över hanteringen av nycklar och därmed en hel del av
säkerhetsproblemen. Nyckelskåpet är ännu inte larmat, inga larm finns i våra lokaler.
Det nya passersystemet (2009) har fungerat bra.
5 Vattenskada
Ansvaret för anläggningar med vatten i ligger på fastighetsägaren. En vattenskada i ett
serverrum kan få stora konsekvenser. En kanske vanligare skada är spill på bärbara
datorer eller tangentbord. I de fallen är dock konsekvenserna begränsade.
6 Rån
Vi har ingen erfarenhet av rån.
7 Skada på teknisk utrustning
Den viktigaste faktorn för att minimera driftstörningar vid skador är kompetent och
service inriktad personal som känner att de gör en uppskattad insats. Vi har det.
Institutionens servrar är den viktigaste utrustningen för verksamheten. Vi har drabbats
av driftstopp några gånger per år på grund av att kylanläggningarna inte har fungerat
eller service av dem. Under året har nödkyla installerats. Om någon enstaka maskin
havererar kan dess verksamhet ofta tas över av någon annan maskin. Det leder till något
sämre svarstider men är hanterbart under en kortare tid. Serviceavtal med kort
inställelsetid minskar också skaderisken.
Institutionens repro och kopieringverksamhet är av stor vikt för undervisningen eftersom
vi trycker kompendier både för våra egna behov och för institutionerna inom
intendenturområdet. Dessa sköts genom serviceavtal.
8 Informationsförlust
Vi gör dagliga backuper. All personal har möjlighet till och ska ofta göra backup på
data, ca 40 datorer gör backup på så vis. En stor del av verksamhetens data hanteras
centralt varför vi kan säga att den är rimligt säkrad. Backup banden förvaras brandsäkert
i ett annat hus än servrarna.
Minst en server som är placerad utanför server rummen saknar backup (core.it.uu.se),
den planeras flytta in i serverrum.
9 Dataintrång
Institutionen har en stor mängd öppen information som kan nås via Internet. Personal och
studenter kan arbeta hemifrån via säkra förbindelser. Inloggning sker via UpUnet-S eller SSH.
Eftersom vi är konstant utsatta för attacker finns det alltid en risk för intrång, och det sker
kontinuerligt. Våra systemtekniker håller därför alltid säkerheten i främsta rummet och har
kontinuerlig bevakning för att upptäcka eventuell misstänkt verksamhet i våra system. De
flesta attacker misslyckas. Någon enstaka har lyckats ta sig in på maskiner som forskare är
ansvariga för. Men hittills har de som tagit sig in på dessa snabbt kunna stoppas. De har inte
”Sekretessprövas enligt 18 kapitlet, 8 §, i
Offentlighets- och sekretesslagen (2009:400) före utlämning”.
Institutionen för informationsteknologi_Riskinventering 2007 sida 3 av 6 11-09-08 13.01

kommit vidare någonstans eller kunna ställa till med något värre än att de just lyckats logga in
sig.
10 Skadeståndskrav
Vi ska undersöka risken för skadestånd.
11 Nyckeluppdragsgivare
Försenade forskningsresultat/tvister med uppdragsgivare/motsvarande kan leda till
betydande förluster, t ex inom uppdragsforskning och EU-projekt. Exempel är indragna
medel och rödflaggning av projekt.
12 Mediaförsörjning
Under 2008 har vi inte drabbats av något fel eller brister på vare sig el eller kyla.
Mediaförsörjning hanteras huvudsakligen av fastighetsägaren och omvärlden. Våra
kontakter sker antingen direkt eller via byggnadsavdelningen som skriver avtalen.
El och kyla är nödvändiga för driften.
En prioriteringslista för kylförsörjningen har tagits fram under 2009 i samarbete mellan
ITC Ångström och Akademiska hus.
Elavbrott orsakar dataförluster av osparat material.
13 Angränsande aktiviteter
Skyltningen av vår verksamhet har sedan sommaren 2007 blivit ett problem.
Skyltningen har tagits ner i samråd mellan Akademiska hus och byggnadsavdelningen.
Byggnadsavdelningen har tagit på sig ansvar för att skylta området. Området har hösten
2007 bytt namn till Informationsteknologiskt centrum. Ny skyltning delvis satts upp i
mars men arbetet avbröts varför det nu är skyltat enligt två system husnummer och
adresser 2a, 2b, etc på olika ingångar. Frågan avvaktar nu avgörande om enligt vilket
system ingångarna ska numreras. 2a-2ö räcker inte för hela området, nummerserien 2, 4,
6... har Akademiska hus begärt miljonbelopp i ersättning bland annat för andra
hyresgästers brevpapper för att införa.
Skyltningen är fortfarande efter många år inte löst. TIDSPLAN SAKNAS.
Våra grannar:
- Uppsala kommun äger fältet väster om husen och marken nere vid ån.
- Eklundshof ägs av familjen Bennbom.
- Inne på ITC-området finns Polacksbacken företagspark med ett 20-tal mindre företag.
- På andra sidan Lägerhyddsvägen ligger Ångströmlaboratoriet.
- Dessutom finns ett antal k-märkta mindre hus som antagligen inte kan hyras ut.
Vi ser fram emot att ytterligare verksamheter flyttar in på området.
Intendenturan har övertagit ansvaret för kontaker med polisen samt information om
evenemang som planeras i närområdet. Under de senaste åren har
festival/tävlingsaktiviteter inte utgjort ett problem eftersom de flyttat från området..
14 Viktigaste inkomstkällor
Institutionens viktigaste inkomstkällor är statsanslag för grundutbildning och forskning,
samt externa forskningsbidrag. Statsanslagen är relativt lätta att prognostisera, medan de
externa bidragen har blivit alltmer ryckiga under de senaste åren. Det beror till stor del
på att våra viktigaste bidragsgivare (VR, SSF, Vinnova) alltmer övergått till stora
forskningsanslag riktade till starka forskningsmiljöer. Detta upplever vi som en stor risk
ur arbetsmiljösynpunkt. Ett likartat men inte lika accentuerat problem finns inom
grundutbildningen där antalet sökande studenter till våra utbildningar varierar kraftigt
”Sekretessprövas enligt 18 kapitlet, 8 §, i
Offentlighets- och sekretesslagen (2009:400) före utlämning”.
Institutionen för informationsteknologi_Riskinventering 2007 sida 4 av 6 11-09-08 13.01

från år till år. Anslagstilldelningen till grundutbildningen är direkt kopplad till antalet
studenter varför detta påverkar vår ekonomi. Variationerna här lindras dock av att
studenterna i allmänhet följer långa utbildningsprogram varför det totala antalet
studenter inte varierar så mycket mellan enskilda år.
15 Plagiat/fusk
Det har inträffat ett mindre antal fall av fusk bland studenter som hanteras. Hjälp erhålls
från juridiska avdelningen. Detta innebär en arbetsmiljörisk. För att minimera effekterna
har en policy utarbetats: www.it.uu.se/edu/fusk.pdf
16 Studentförlust, kvalitet på undervisningen
Det är mycket svårt att göra goda (långsiktiga) prognoser om hur många som söker till
institutionens program och kurser. Även förväntade nedgångar är svåra att snabbt
parera. Färre studenter ger direkt genomslag på institutionens ekonomi genom lägre
ersättning. Kostnader för att hålla en kurs är dock svår att minska utan att minska på
kvaliten (t ex genom färre lärarledda undervisningstillfällen). Under de senaste åren har
vi försök effektivisera undervisningen genom att periodisera kurser, slå ihop kurser,
lägga ner kurser samt att rekrytera studenter från utlandet. Vi ser risken som hög att vi
även framledes får stora svängningar i studenttillströmningen.
Ett akut problem gäller de internationella masterprogrammen där studieavgifter kommer
att införas 2011, och risken är stor att antalet internationella studenter minskar till en
bråkdel. Det är mycket viktigt att ett balanserat stipendieprogram införs för att även
fortsättningsvis ge begåvade studenter från hela världen möjlighet att studera vid
Uppsala universitet.
17 Tillgänglighet
Sedan tidigare problem med passagesystemet har lösts, så är för närvarande hissarna det
största tillgänglighetsproblemet. Hissar har ibland stått stilla under veckor i sträck, vilket
är mycket allvarligt eftersom det bara finns en hiss per byggnad och passage mellan
byggnaderna bara kan ske på ett våningsplan.
18 Oplanerad arbetsbelastning
a) Med ambitionen att på något sätt förbättra verksamheten kommer vid flera tillfällen
per år arbetsuppgifter från "uadm" till institutionen som vi inte har budgeterat för eller
planerat. De har ofta inte föregåtts av någon förvarning. Det medföljer inte någon
uppskattning av hur omfattande arbetet kommer att bli. Ibland byts någon administrativt
system utan att användarvänlighet eller utbildningsbehov har tillgodosetts. Exempel på
problemtyngda system har varit Thorguard och Primulawebben. Hittills oprövade
system som är på gång är är SESAM och InfoGlue för ny webb. Det elektroniska
fakturahanterings-systemet, KOF och riskanalys har nu övergått till att vara positiva
erfarenheter.
Vi föreslår att uppdrag och förändringar ska värderas i form av hur mycket arbetstid de
tar och att ett tak införs på hur mycket "uadm" får belasta en institution per år utan att ge
resurser för insatserna som krävs.
b) Vi drabbas av patchar på OS eller programvaror som gör att maskiner eller viktiga
program slutar helt eller delvis att fungera. Detta problem jobbar dock ITS på att lösa
genom att de har tillsatt en förändringskontroll process. Vilket skall hålla koll på att inga
ändringar i OS eller på våra centrala system skall komma att göra så endera slutar
fungera eller andra dåliga konsekvenser.
”Sekretessprövas enligt 18 kapitlet, 8 §, i
Offentlighets- och sekretesslagen (2009:400) före utlämning”.
Institutionen för informationsteknologi_Riskinventering 2007 sida 5 av 6 11-09-08 13.01

c) Lärare är ibland ute i sista minuten med att begära assistans inför kursstarter, till
exempel med installationer av programvara till datasalarna, tryckning av kompendier
eller annan hjälp. Det leder då till brandkårsutryckningar och berörda ställer upp
eftersom det annars skulle drabba studenterna. Det kommer fram i medarbetarsamtalen
att detta är en stressfaktor och arbetsmiljöproblem.
19 Återanskaffningsvärden
Enligt anläggningsregistret
Utrustning: 36390kkr
Kontorsinventarier: 3310kkr
Litteratur/dokument: 788kkr
Förbrukningsvaror: 219kkr
Övrigt: 1576kkr
Summa: 42283kkr
20 Kostnaden för denna händelse uppskattas till
Direkt kostnad 30 miljoner motsvarar en uppskattning av utrustningens värde.
Följdkostnader anskaffning av utrustning samt flytt till nya lokaler uppskattas till 10
miljoner. Det finns dock försäkring hos kammarkollegiet som begränsar vårt ansvar till
75000 kr per händelse. (2007 års penningvärde)
21 Beslut med anledning av denna riskinventering:
- 8 En kontroll av att backup görs på anställdas maskiner samt på alla servrar ska
genomföras.
- 10 Risken för skadestånd ska undersökas.
- 11 Risken för inkomstbortfall på grund av försenade forskningsresultat ska undersökas.
- 12 Hanteringen av skador orsakade av elavbrott ska formaliseras.
- 13 Vi fortsätter påminna byggnadsavdelningen om skyltningen.
- 18 Vi kommer att arbeta för att begränsa den oplanerade arbetsbelastningen.
”Sekretessprövas enligt 18 kapitlet, 8 §, i
Offentlighets- och sekretesslagen (2009:400) före utlämning”.
Institutionen för informationsteknologi_Riskinventering 2007 sida 6 av 6 11-09-08 13.01