Ökad cybersäkerhet vid Mittuniversitetet ‑ enligt cybersäkerhetsplan. Security Operations Center (SOC) ‑ tjänst

Beskrivning

Cyberangrepp är idag inte en fråga om om utan när. Hotbilden mot universitet och andra kunskapsintensiva organisationer är växande och drivs av en omvärld som präglas av geopolitisk oro, organiserad cyberkriminalitet och ökade regulatoriska krav. Intrång sker i många fall utan att upptäckas i realtid och skadorna blir ofta synliga först när konsekvenserna redan är omfattande, i form av driftstörningar, informationsläckor, påverkan på verksamhetskritiska system eller skadat förtroende.

För Mittuniversitetet innebär detta ett behov av en mer proaktiv, strukturerad och kontinuerlig hantering av cyberrisker. Behovet är också tydligt identifierat i den årliga riskanalys som tas fram inom säkerhetsområdet, där bristande förmåga till tidig upptäckt och snabb hantering av cyberincidenter utgör en av de bedömda riskerna för Mittuniversitetet. Införandet av ett Security Operations Center (SOC)-tjänst är ett konkret och ändamålsenligt svar på denna risk.

En SOC-tjänst innebär kontinuerlig övervakning av universitetets IT-miljöer och omedelbar hantering av säkerhetsincidenter. Genom tidig upptäckt och snabb respons kan incidenter begränsas innan de får allvarliga konsekvenser för utbildning, forskning, administration och externa samarbeten. En SOC-tjänst är därmed inte enbart en teknisk funktion, utan ett strukturerat sätt att minska verksamhetsrisk och stärka den operativa motståndskraften.

Att bygga upp motsvarande förmåga internt skulle kräva omfattande investeringar i både kompetens och bemanning, inklusive tillgång till specialistkompetens dygnet runt. Denna kompetens finns i dagsläget inte inom organisationen och är generellt svår att rekrytera och behålla. Att köpa tjänsten externt är därför det mest kostnadseffektiva sättet att uppnå ett tillräckligt skydd och samtidigt minimera risken för att skadlig kod eller pågående angrepp får fäste i miljön. En SOC-tjänst skapar även förutsägbarhet och avlastar den interna organisationen från ett ansvar som den inte är dimensionerad för.

Kostnaden för en SOC-tjänst ska ses i relation till konsekvenserna av en enda större säkerhetsincident, vilka ofta överstiger investeringen mångfalt. Utöver direkta ekonomiska effekter tillkommer risker för långvariga driftstopp, rättsliga konsekvenser samt skadat förtroende hos studenter, medarbetare och samarbetspartners. I detta perspektiv är en SOC-tjänst att betrakta som den bästa försäkringen för att skydda universitetets verksamhet och anseende.

Det mest effektiva skyddet mot dessa konsekvenser är att förhindra att angripare överhuvudtaget får fäste i miljön. När ett intrång väl har skett är återställningsarbetet ofta långvarigt, komplext och kostsamt, och det finns ingen garanti för att all data kan återskapas. Risken för omfattande driftavbrott är betydande, vilket i sin tur kan innebära att utbildning, forskning och administrativa processer påverkas under lång tid. Ett förebyggande och tidigt upptäckande skydd är därför avgörande för att minimera både verksamhetsavbrott och informationsförlust.

Det kan även konstateras att flera andra lärosäten redan infört SOC-tjänster som en del av sitt grundläggande säkerhetsarbete, vilket visar att detta idag är en etablerad och förväntad skyddsnivå inom sektorn.

Nytta

Mittuniversitetet förhindrar intrång och riskerar inte att miljön bli otillgänglig, att data manipuleras eller läcks. Kostnaden att råka ut för detta eller att skapa en egen SOC-tjänst överstiger kostnaden för skyddet.

Kostnad och finansieringsförslag

En uppskattning visar att en intern uppbyggnad av motsvarande SOC-förmåga skulle innebära betydligt högre kostnader än en extern tjänst. En egen lösning skulle kräva flera heltidstjänster med specialistkompetens inom säkerhetsövervakning, incidenthantering och hotanalys, bemannade dygnet runt, samt investeringar i avancerade säkerhetsverktyg, licenser och kontinuerlig kompetensutveckling. Sammantaget bedöms den årliga kostnaden för en intern SOC-tjänst uppgå till flera miljoner kronor per år, med en hög initial etableringskostnad och betydande organisatorisk komplexitet.

Kostnaden för en extern SOC-tjänst består av en fast löpande avgift samt en initial engångskostnad för införande. Den löpande kostnaden uppgår till cirka 135.000:-/mån, motsvarande cirka 1,62 miljoner kronor per år. I detta ingår kontinuerlig övervakning av universitetets klienter, identiteter, molntjänster och säkerhetsrelaterade händelser dygnet runt. Kostnadsbilden är förutsägbar och omfattar de volymer som idag bedöms relevanta för Mittuniversitetets verksamhet.

Utöver detta tillkommer en engångskostnad om cirka 200 000 kronor för införande. Detta omfattar uppstart av tjänsten, teknisk anslutning samt inledande säkerhetsanalys av IT-miljön. Därutöver krävs även en intern arbetsinsats motsvarande 50 timmar för samordning, konfiguration och verksamhetsnära anpassningar i samband med införandet.

Vid beslut av införande i mars så kan en SOC-tjänst implementeras med start 1/6. Därför uppskattas kostnaden för 2026 uppgå till 945 000:- (tjänsten juli-dec) + 200 000:- för implementering. Kommande år kostar tjänsten 1 620 000:-.

DOS har själva möjlighet att finansiera delar av skyddet genom att inte återrekrytera en tjänstledig medarbetare som med hög sannolikhet kommer att avsluta sin anställning vid Mittuniversitetet. Lönekostnaderna för medarbetaren uppgår till 420 000:- (2026). DOS ämnar även själva finansiera implementeringskostnaderna genom andra, mindre omprioriteringar samt egna resurser med ca 50h för implementering.

Sammanfattning av äskade medel:

2026: 525 000:-

Kommande år: 1 200 000:-