Artikel top billede

It-sikkerheden sejler på danske universiteter: Forskningsresultater ikke sikrede - og folk kan selv installere software

Ingen af de fem største danske universiteter har tilstrækkelig styr på it-sikkerheden, når det handler om forskningsdata, lyder krtitikken fra Rigsrevisionen. Nogle af de mest basale it-sikkerhedsmæssige tommelfinger-regler følges ikke.

De fem store danske universiteter fordelt ud over hele landet beskytter ikke de danske forskningsdata godt nok.

Sådan lyder konklusionen fra Rigsrevisionen, der har set nærmere på it-sikkerheden på universiteterne i Købehavn, Odense, Aalborg, Aarhus og på DTU.

“Statsrevisorerne finder det utilfredsstillende, at de fem største universiteter i Danmark ikke beskytter forskningsdata i tilstrækkelig grad,” fremgår det af beretningen fra Rigsrevisionen.

Kritkken går blandt andet på, at alle fem universiteter tillader at forskerne kan bruge deres eget it-udstyr, og selv kan installere software, der ikke opdateres centralt.

Læs også: Banedanmark efter hård kritik fra Rigsrevisionen om ringe it-sikkerhedsniveau: "Webmails vil jeg ikke blokere for. Aldrig nogensinde"

Og det er ikke bare et teoretisk problem, der bliver påpeget af Rigsrevisionen.

“Der er flere eksempler på it-sikkerhedshændelser på universiteterne på grund af ukendt it-udstyr,” skriver Rigsrevisionen.

Uvist hvem der har ansvaret

Udover ukendt it-udstyr påpeger Rigsrevisionen i sin rapport, at en stor del af forskerne har lokaladministrative rettigheder.

Der betyder, at forskerne selv kan installere alt det software, som de har lyst til at installere, uden at det først har været godkendt af it-afdelingen.

På Københavns Universitet har Rigsrevisionen endda haft problemer med at finde ud af, om ansvaret for it-sikkerheden er placeret hos forskerne selv, centralt hos ledelsen eller på de enkelte institutter.

Læs også: Rigsrevisionen finder alvorlige brud på it-sikkerheden hos Skat og Forsvarsministeriet: Brugere kunne ændre i filer og slette sporene

“Undersøgelsen indikerer, at opgaven med at beskytte forskningsdata heller ikke løses tilfredsstillende på centralt og decentralt niveau på de øvrige universiteter. Dette skaber også risici i forhold til efterlevelse af persondatalovgivningen,” står der i rapporten.

Desuden har man ikke udarbejdet en risikovurdering for universitetet, der ellers skal skabe et overblik over, it-trusler man skal beskytte sig mod.

Alle de fem universiteter har dog fastsatte retningslinjer for det software og hardware, som forskerne bruger. Men Rigsrevisionen skriver, at ingen af universiteterne sikrer på tilstrækkeligt måde, at der bliver levet op til kravene.

Det er også Københavns Universitet, der er dårligst til at beskytte forskningsdata, viser rapporten. Universitetet lever ikke fuldt op til et eneste af de seks kriterier, som Rigsrevisionen har undersøgt.

Det tyder dog ikke på, at universitetet kommer til at forbedre it-sikkerheden lige med det samme.

Læs også: Statsrevisorer undrer sig over blank afvisning af it-sikkerhedskritik: "Det vil nok falde tilbage, hvis der sker et angreb, som man kunne have beskyttet sig imod"

“KU har videre oplyst, at det vil tage tid for universitetet at rette op på Rigsrevisionens kritikpunkter, da der i forskningsmiljøet er tradition for store frihedsgrader,” skriver Rigsrevisionen.

Fremmede stater spionerer på danske universiteter

Ifølge Rigsrevisionen er det afgørende, at universiteterne har en stærk it-sikkerhed.

Center for Cybersikkerhed har blandt andet vurderet at der er fremmede stater der udfører cyberspionage mod danske forskningsinstitutioner.

“Universiteterne har forskningsdata af stor værdi og er derfor et mål for
cyberangreb eller cyberspionage. Inden for de seneste år har der været
flere eksempler på cyberangreb,” står der i rapporten.

Københavns Universitet oplyser selv, at man har fået krypteret 17.000 filer fordi en forskers it-udstyr ikke var opdateret.

Du kan læse hele Rigsrevisionens beretning her.