It-sikkerheden sejler på danske universiteter: Forskningsresultater ikke sikrede - og folk kan selv installere software

Ingen af de fem største danske universiteter har tilstrækkelig styr på it-sikkerheden, når det handler om forskningsdata, lyder krtitikken fra Rigsrevisionen. Nogle af de mest basale it-sikkerhedsmæssige tommelfinger-regler følges ikke.

De fem store danske universiteter fordelt ud over hele landet beskytter ikke de danske forskningsdata godt nok.

Sådan lyder konklusionen fra Rigsrevisionen, der har set nærmere på it-sikkerheden på universiteterne i Købehavn, Odense, Aalborg, Aarhus og på DTU.

“Statsrevisorerne finder det utilfredsstillende, at de fem største universiteter i Danmark ikke beskytter forskningsdata i tilstrækkelig grad,” fremgår det af beretningen fra Rigsrevisionen.

Kritkken går blandt andet på, at alle fem universiteter tillader at forskerne kan bruge deres eget it-udstyr, og selv kan installere software, der ikke opdateres centralt.

Læs også: Banedanmark efter hård kritik fra Rigsrevisionen om ringe it-sikkerhedsniveau: "Webmails vil jeg ikke blokere for. Aldrig nogensinde"

Og det er ikke bare et teoretisk problem, der bliver påpeget af Rigsrevisionen.

“Der er flere eksempler på it-sikkerhedshændelser på universiteterne på grund af ukendt it-udstyr,” skriver Rigsrevisionen.

Uvist hvem der har ansvaret
Udover ukendt it-udstyr påpeger Rigsrevisionen i sin rapport, at en stor del af forskerne har lokaladministrative rettigheder.

Der betyder, at forskerne selv kan installere alt det software, som de har lyst til at installere, uden at det først har været godkendt af it-afdelingen.

På Københavns Universitet har Rigsrevisionen endda haft problemer med at finde ud af, om ansvaret for it-sikkerheden er placeret hos forskerne selv, centralt hos ledelsen eller på de enkelte institutter.

Læs også: Rigsrevisionen finder alvorlige brud på it-sikkerheden hos Skat og Forsvarsministeriet: Brugere kunne ændre i filer og slette sporene

“Undersøgelsen indikerer, at opgaven med at beskytte forskningsdata heller ikke løses tilfredsstillende på centralt og decentralt niveau på de øvrige universiteter. Dette skaber også risici i forhold til efterlevelse af persondatalovgivningen,” står der i rapporten.

Desuden har man ikke udarbejdet en risikovurdering for universitetet, der ellers skal skabe et overblik over, it-trusler man skal beskytte sig mod.

Alle de fem universiteter har dog fastsatte retningslinjer for det software og hardware, som forskerne bruger. Men Rigsrevisionen skriver, at ingen af universiteterne sikrer på tilstrækkeligt måde, at der bliver levet op til kravene.

Det er også Københavns Universitet, der er dårligst til at beskytte forskningsdata, viser rapporten. Universitetet lever ikke fuldt op til et eneste af de seks kriterier, som Rigsrevisionen har undersøgt.

Det tyder dog ikke på, at universitetet kommer til at forbedre it-sikkerheden lige med det samme.

Læs også: Statsrevisorer undrer sig over blank afvisning af it-sikkerhedskritik: "Det vil nok falde tilbage, hvis der sker et angreb, som man kunne have beskyttet sig imod"

“KU har videre oplyst, at det vil tage tid for universitetet at rette op på Rigsrevisionens kritikpunkter, da der i forskningsmiljøet er tradition for store frihedsgrader,” skriver Rigsrevisionen.

Fremmede stater spionerer på danske universiteter
Ifølge Rigsrevisionen er det afgørende, at universiteterne har en stærk it-sikkerhed.

Center for Cybersikkerhed har blandt andet vurderet at der er fremmede stater der udfører cyberspionage mod danske forskningsinstitutioner.

“Universiteterne har forskningsdata af stor værdi og er derfor et mål for
cyberangreb eller cyberspionage. Inden for de seneste år har der været
flere eksempler på cyberangreb,” står der i rapporten.

Københavns Universitet oplyser selv, at man har fået krypteret 17.000 filer fordi en forskers it-udstyr ikke var opdateret.

Du kan læse hele Rigsrevisionens beretning her.



Premium
Coloplasts it-direktør: GDPR har givet de it-kriminelle et nyt værktøj til at angribe os
Interview: Det er ikke kun på plads og kapacitet, at sundhedssektoren lige nu er udfordret. De sikkerhedsansvarlige har også fået en del mere at se til gennem et kaotisk 2020. "Cyberkriminelle har opdaget, at der er en hel masse værdi i denne her datatype. Enten som afpresningsmulighed eller som viden, de kan udnytte til noget," siger CIO i Coloplast, René Rasmussen. Læs første artikel i serien om perspektiver fra sektoren, der er de it-kriminelles nye guldkalv
Computerworld
Bill Gates har en løsning: Sådan undgår vi klimakatastrofen
Klumme: Bill Gates vil gerne redde verden. Intet mindre. Og som alle store it-folk regner han baglæns. Politikerne er mest optaget af, hvad der kan lade sig gøre, og hvad de kan skabe flertal for. Men Bill Gates har set på klimakatastrofen, og hans budskab er klart.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Sådan outsourcer du effektivt – og undgår fælderne
Nogle outsourcer for at minimere omkostningsniveauet, andre for at skaffe ressourcer og spidskompetencer, der er svære at skaffe lokalt – eller af en helt tredje årsag. Der er dog talrige forhold, der er gode at afdække, før man overhovedet begynder at lede en outsourcingudbyder. Man skal klarlægge egne projektbehov samt de spørgsmål og krav, man vil stille samt indsamle viden og erfaringer om, hvordan samarbejdet indledes, drives og styres optimalt. Dertil skal man kende til de hyppigste faldgruber, der kan få et ellers lovende outsourcingsamarbejde til at køre i grøften.