It-sikkerheden sejler på danske universiteter: Forskningsresultater ikke sikrede - og folk kan selv installere software

Ingen af de fem største danske universiteter har tilstrækkelig styr på it-sikkerheden, når det handler om forskningsdata, lyder krtitikken fra Rigsrevisionen. Nogle af de mest basale it-sikkerhedsmæssige tommelfinger-regler følges ikke.

De fem store danske universiteter fordelt ud over hele landet beskytter ikke de danske forskningsdata godt nok.

Sådan lyder konklusionen fra Rigsrevisionen, der har set nærmere på it-sikkerheden på universiteterne i Købehavn, Odense, Aalborg, Aarhus og på DTU.

“Statsrevisorerne finder det utilfredsstillende, at de fem største universiteter i Danmark ikke beskytter forskningsdata i tilstrækkelig grad,” fremgår det af beretningen fra Rigsrevisionen.

Kritkken går blandt andet på, at alle fem universiteter tillader at forskerne kan bruge deres eget it-udstyr, og selv kan installere software, der ikke opdateres centralt.

Læs også: Banedanmark efter hård kritik fra Rigsrevisionen om ringe it-sikkerhedsniveau: "Webmails vil jeg ikke blokere for. Aldrig nogensinde"

Og det er ikke bare et teoretisk problem, der bliver påpeget af Rigsrevisionen.

“Der er flere eksempler på it-sikkerhedshændelser på universiteterne på grund af ukendt it-udstyr,” skriver Rigsrevisionen.

Uvist hvem der har ansvaret
Udover ukendt it-udstyr påpeger Rigsrevisionen i sin rapport, at en stor del af forskerne har lokaladministrative rettigheder.

Der betyder, at forskerne selv kan installere alt det software, som de har lyst til at installere, uden at det først har været godkendt af it-afdelingen.

På Københavns Universitet har Rigsrevisionen endda haft problemer med at finde ud af, om ansvaret for it-sikkerheden er placeret hos forskerne selv, centralt hos ledelsen eller på de enkelte institutter.

Læs også: Rigsrevisionen finder alvorlige brud på it-sikkerheden hos Skat og Forsvarsministeriet: Brugere kunne ændre i filer og slette sporene

“Undersøgelsen indikerer, at opgaven med at beskytte forskningsdata heller ikke løses tilfredsstillende på centralt og decentralt niveau på de øvrige universiteter. Dette skaber også risici i forhold til efterlevelse af persondatalovgivningen,” står der i rapporten.

Desuden har man ikke udarbejdet en risikovurdering for universitetet, der ellers skal skabe et overblik over, it-trusler man skal beskytte sig mod.

Alle de fem universiteter har dog fastsatte retningslinjer for det software og hardware, som forskerne bruger. Men Rigsrevisionen skriver, at ingen af universiteterne sikrer på tilstrækkeligt måde, at der bliver levet op til kravene.

Det er også Københavns Universitet, der er dårligst til at beskytte forskningsdata, viser rapporten. Universitetet lever ikke fuldt op til et eneste af de seks kriterier, som Rigsrevisionen har undersøgt.

Det tyder dog ikke på, at universitetet kommer til at forbedre it-sikkerheden lige med det samme.

Læs også: Statsrevisorer undrer sig over blank afvisning af it-sikkerhedskritik: "Det vil nok falde tilbage, hvis der sker et angreb, som man kunne have beskyttet sig imod"

“KU har videre oplyst, at det vil tage tid for universitetet at rette op på Rigsrevisionens kritikpunkter, da der i forskningsmiljøet er tradition for store frihedsgrader,” skriver Rigsrevisionen.

Fremmede stater spionerer på danske universiteter
Ifølge Rigsrevisionen er det afgørende, at universiteterne har en stærk it-sikkerhed.

Center for Cybersikkerhed har blandt andet vurderet at der er fremmede stater der udfører cyberspionage mod danske forskningsinstitutioner.

“Universiteterne har forskningsdata af stor værdi og er derfor et mål for
cyberangreb eller cyberspionage. Inden for de seneste år har der været
flere eksempler på cyberangreb,” står der i rapporten.

Københavns Universitet oplyser selv, at man har fået krypteret 17.000 filer fordi en forskers it-udstyr ikke var opdateret.

Du kan læse hele Rigsrevisionens beretning her.


mest debatterede artikler

Computerworld
For to år siden nedsænkede Microsoft 864 servere i Nordsøen: Nu er datacenteret på land igen - se resultatet her
Microsoft har efter to år hævet sit undervands-datacenter op af Nordsøen. Her er de erfaringer, selskabet har gjort sig.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Bevis værdien ved Vulnerability Management med 4 simple trin
Vulnerability Management kan føles som en endeløs klatretur. Derfor kan du med dette whitepaper få indsigt i hvordan du fokuserer på dine indsatser, beviser værdien af dit program og opnår tillid, budget og anerkendelse med fire simple steps.