It-sikkerheden sejler på danske universiteter: Forskningsresultater ikke sikrede - og folk kan selv installere software

Ingen af de fem største danske universiteter har tilstrækkelig styr på it-sikkerheden, når det handler om forskningsdata, lyder krtitikken fra Rigsrevisionen. Nogle af de mest basale it-sikkerhedsmæssige tommelfinger-regler følges ikke.

Artikel top billede

(Foto: Povl D. Rasmussen)

De fem store danske universiteter fordelt ud over hele landet beskytter ikke de danske forskningsdata godt nok.

Sådan lyder konklusionen fra Rigsrevisionen, der har set nærmere på it-sikkerheden på universiteterne i Købehavn, Odense, Aalborg, Aarhus og på DTU.

“Statsrevisorerne finder det utilfredsstillende, at de fem største universiteter i Danmark ikke beskytter forskningsdata i tilstrækkelig grad,” fremgår det af beretningen fra Rigsrevisionen.

Kritkken går blandt andet på, at alle fem universiteter tillader at forskerne kan bruge deres eget it-udstyr, og selv kan installere software, der ikke opdateres centralt.

Læs også: Banedanmark efter hård kritik fra Rigsrevisionen om ringe it-sikkerhedsniveau: "Webmails vil jeg ikke blokere for. Aldrig nogensinde"

Og det er ikke bare et teoretisk problem, der bliver påpeget af Rigsrevisionen.

“Der er flere eksempler på it-sikkerhedshændelser på universiteterne på grund af ukendt it-udstyr,” skriver Rigsrevisionen.

Uvist hvem der har ansvaret

Udover ukendt it-udstyr påpeger Rigsrevisionen i sin rapport, at en stor del af forskerne har lokaladministrative rettigheder.

Der betyder, at forskerne selv kan installere alt det software, som de har lyst til at installere, uden at det først har været godkendt af it-afdelingen.

På Københavns Universitet har Rigsrevisionen endda haft problemer med at finde ud af, om ansvaret for it-sikkerheden er placeret hos forskerne selv, centralt hos ledelsen eller på de enkelte institutter.

Læs også: Rigsrevisionen finder alvorlige brud på it-sikkerheden hos Skat og Forsvarsministeriet: Brugere kunne ændre i filer og slette sporene

“Undersøgelsen indikerer, at opgaven med at beskytte forskningsdata heller ikke løses tilfredsstillende på centralt og decentralt niveau på de øvrige universiteter. Dette skaber også risici i forhold til efterlevelse af persondatalovgivningen,” står der i rapporten.

Desuden har man ikke udarbejdet en risikovurdering for universitetet, der ellers skal skabe et overblik over, it-trusler man skal beskytte sig mod.

Alle de fem universiteter har dog fastsatte retningslinjer for det software og hardware, som forskerne bruger. Men Rigsrevisionen skriver, at ingen af universiteterne sikrer på tilstrækkeligt måde, at der bliver levet op til kravene.

Det er også Københavns Universitet, der er dårligst til at beskytte forskningsdata, viser rapporten. Universitetet lever ikke fuldt op til et eneste af de seks kriterier, som Rigsrevisionen har undersøgt.

Det tyder dog ikke på, at universitetet kommer til at forbedre it-sikkerheden lige med det samme.

Læs også: Statsrevisorer undrer sig over blank afvisning af it-sikkerhedskritik: "Det vil nok falde tilbage, hvis der sker et angreb, som man kunne have beskyttet sig imod"

“KU har videre oplyst, at det vil tage tid for universitetet at rette op på Rigsrevisionens kritikpunkter, da der i forskningsmiljøet er tradition for store frihedsgrader,” skriver Rigsrevisionen.

Fremmede stater spionerer på danske universiteter

Ifølge Rigsrevisionen er det afgørende, at universiteterne har en stærk it-sikkerhed.

Center for Cybersikkerhed har blandt andet vurderet at der er fremmede stater der udfører cyberspionage mod danske forskningsinstitutioner.

“Universiteterne har forskningsdata af stor værdi og er derfor et mål for
cyberangreb eller cyberspionage. Inden for de seneste år har der været
flere eksempler på cyberangreb,” står der i rapporten.

Københavns Universitet oplyser selv, at man har fået krypteret 17.000 filer fordi en forskers it-udstyr ikke var opdateret.

Du kan læse hele Rigsrevisionens beretning her.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
    Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job