Derfor er it-sikkerhed så svært på danske universiteter: »Man kan ikke bare låse forskerne fast«

Kombinationen mellem nødvendigheden af globalt samarbejde og et stigende trusselsniveau gør opgaven som CISO på et universitet udfordrende. Det fortæller Poul Halkjær Nielsen, der er CISO på Københavns Universitet. På billedet ses Københavns Universitets hovedbygning på Vor Frue Plads i København) Illustration: Christoffer Regild / www.regild.dk
Et levende forskningsmiljø og afhængigheden af internationalt samarbejde stiller særlige krav til it-sikkerheden på landets universiteter, mener informationssikkerhedschef på Københavns Universitet, Poul Halkjær Nielsen.

Siden smittens udbrud i foråret har debatten om universiteterne i høj grad drejet sig om de studerende og deres begrænsede mulighed for at møde fysisk op til undervisningen. Men selv om universitetsverden for mange forbindes med auditorier, fredagsbarer og et pulserende campus-miljø, så er det blot en del af universitetets virke.

For universitetet er også hjemsted for nogle af landets skarpeste forskere, der vrider hjernerne om alverdens emner og i samarbejde med deres udenlandske kolleger skubber grænserne for, hvad vi som mennesker ved.

At intet universitet er en ø, men derimod et stykke af fastlandet stiller nogle helt særlige krav til sikkerheden, siger informationssikkerhedschef på Københavns Universitet, Poul Halkjær Nielsen.

Poul Halkjær Nielsen, CISO på Københavns Universitet Illustration: Teknologiens Mediehus

»Vi skal være åbne og samarbejde. Det er et fundament for både universitets og forskningsverdenen. Ellers findes du simpelthen ikke,« siger Poul Halkjær Nielsen og fortsætter:

»Universitetet er en grænseløs organisation, så bare fordi, der står Københavns Universitet, er det ikke det samme som, at data ligger i København. Samarbejde har så længe man har kunnet bredt sig over hele verden. Vi er i mange lande og vores associerede sidder mange steder. Det forhold skal informationssikkerhed være med til at håndtere,« siger han.

Universiteterne under angreb

Den store samarbejdsflade med andre universiteters forskere stiller store krav til it-sikkerheden i en tid, hvor universiteterne oplever, at truslen mod dem stiger.
I en rundspørge foretaget af Version2 bekræfter fem ud af landets otte universiteter, at de mærker en øget trussel mod dem. Truslen består af både it-kriminelle, der forsøger at kryptere data og kræve en løsesum for at give adgangen tilbage , og af hackere fra fremmede statsmagter, der forsøger at tiltvinge sig adgang til forskningsdata.

Læs også: Hacker-truslen mod de danske universiteter stiger: »Der er klart sket en negativ udvikling«

»Der er klart sket en negativ udvikling. Trusselsniveauet er simpelthen øget, det er der ingen tvivl om,« bekræfter Peter Bruun Nielsen, vicedirektør for it på Aarhus Universitet over for Version2.

Det billede stemmer fuldstændigt overens med opfattelsen hos Center for Cybersikkerhed , der fungerer under Forsvarets Efterretningstjeneste. Her vurderer man it-truslen mod de danske universiteter som værende meget høj, og den opfattelse deler DKCERT og holder øje med det danske forskningsnet.

Stiller særlige krav til CISO’en

Den halvgiftige kombination af en grundlæggende præmis om åbenhed og et stigende tryk fra kedelige kræfter gør arbejdet som ansvarlig for it-sikkerheden på universiteterne til en opgave med mange facetter. Idéen om total kontrol kan man ifølge Poul Halkjær roligt kaste over bord.

»Hvis man er en type, der siger, at folk skal sidde på rad og række fra 8 til 16 og arbejde, hvor vi kan se dem og styre alt det de gør, så er universitetet det forkerte sted. Hvis vi vælger den tilgang strider det mod det at være et universitet.«

I stedet bør man kigge efter fælles sikre løsninger, der kan sikre, at man kan på sikker vis kan udveksle data, hvor man også har det juridiske på plads. Men også i denne opgave er der indbygget en faldgrube.

»Hvor skulle den ligge? I Rusland, USA eller måske Kina? Der kommer problemet ind med nationale lovgivninger, der ikke harmonerer. Forskning er baseret på tillid, samarbejde og åbenhed,« siger Poul Halkjær Nielsen og fortsætter:

»Man kan ikke bare låse forskerne fast. Det fjerner den kreative kultur. Vi er ikke et traditionelt produktionsanlæg, men derimod videnproduktion.«

Læs også: KU’s CISO: »Informationssikkerhed handler om meget mere end it«

Et andet produktionsapparat

Danmark er et vidensamfund og viden opbygges på daglig basis i såvel landets flere hundrede tusinder virksomheder og på universiteterne. Men viden produceres på en anden vis end på en fabrik med en mere klassisk produktionslinje.

»Hvis man ved, hvor ens produkt og byggeelementerne er, så kan man begynde at lukke det inde. Men hvis man ikke ved det, så kan man ikke skabe den hårde og rigide kultur, selvom trusselsbilledet er højt,« siger Poul Halkjær Nielsen.

Ligesom de øvrige it-ansvarlige på landets universiteter genkender Poul Halkjær billedet af en stigende trussel.

»Vi har ikke en fastlagt produktionslinje, så mister vi sikkert også data. Jeg ved det ikke i alle tilfælde specielt fordi vi i en digital verden kan miste en kopi uden at det kan ses på originalen.«

Københavns Universitets sikkerhedsmiljø omfatter både studerende, forskere og den fysiske sikkerhed. Det stiller store krav, da de studerende og ansatte ikke har samme forhold til universitetet Illustration: Københavns Universitet

En anden kultur

Det komplicerede trusselsbillede og ikke mindst de særlige omstændigheder, der knytter sig til universitetsverdenen, genkendes af Henrik Larsen fra DKCERT. Han peger på, at universiteterne på det sikkerhedsmæssige område bevæger sig i den rigtige retning, men at der fortsat »generelt er rum til forbedring,« på landets højere læreanstalter.

»It-sikkerhed er ikke første prioritet for en professor, der sidder og forsker i coronavirus. Det er ikke øverst på hans to do-liste, og derfor kan der være en tendens til at nedprioritere det.«

Henrik Larsen har selv en fortid som CISO på netop Københavns Universitet. Han peger på en begrænsning i antallet medarbejdere med administratorrettigheder og adgang til forretningskritiske systemer som noget, der bør prioriteres på universiteterne.

»Jeg kender godt forskermiljøet og deres holdning til det. De opfatter det som værende til besvær at huske alle de forskellige passwords. Det er meget nemmere med fælles passwords til forskningssystemerne, der sidder på en opslagstavle i laboratoriet eller er skrevet med tusch uden på den pågældende computer. Sikkerhedsfolkene på universiteterne arbejder hårdt for at få ryddet op alt det, de kan. Men det er op ad bakke mange steder,« siger han.

Senest gik det udover Aalborg Universitet, der i august politianmeldte et angreb mod universitetet, hvor en gruppe hackere havde tiltvunget sig adgang til hele universitetets brugerbase og i den forbindelse også lønoplysninger og sundhedsdata på flere personer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Med ovenstående tekst om at universitet SKAL være åbne osv. spørger jeg mig selv tager Covid-19 hensyn til at Universiteterne dette forhold og tager regeringen/folketinget også hensyn til dette? Er universiteterne stadig lige så åbne som før Covid-19?

Jeg tror det er et spørgsmål om tid, før et Universistet oplever en/flere kompromittering der har et omfang, der gør at regeringen/folketinget skrider ind og diktere at det som universiteterne ikke er godt nok, og kræver fx at forskerne i højere grad skal følge nogle skrappere regler.

  • 1
  • 2
#2 Troels Henriksen

Det virker oplagt at de mange brugerrettigheder som universitetsforskerne har gør dem sårbare overfor angreb. Men er der eksempler på at det er sket? De fleste eksempler hvor universiteter er blevet succesfuldt angrebet er gået mod de administrative systemer, som f.eks. i artiklen "hvor en gruppe hackere havde tiltvunget sig adgang til hele universitetets brugerbase og i den forbindelse også lønoplysninger og sundhedsdata på flere personer." Forskere har ikke særlig adgang til de administrative systemer, og mig bekendt er universiteternes administrative systemer ikke mere åbne end de administrative systemer i alle mulige andre organisationer.

Der er bestemt forskere der arbejder med personfølsomme data, og mange af disse er sikkert også dårligt sikret, men jeg synes bare ikke vi ser konkrete eksempler på at det er gået galt.

  • 13
  • 0
#3 Gert Madsen

Poul Halkjær Nielsen "glemmer" det største problem: Data som lækkes af forskere. Enten pga. sjusk, eller som det var tilfældet hos SSI, at man brugte data som betaling for adgang til anden forskning og legater.

Og så lyder det som en lam undskyldning for at undlade at sikre data.

Jeg kan fortælle at udviklere, analytikere etc. i private virksomheder heller ikke synes at sikkerhed er morsomt, eller er noget, som de har på deres personlige top-10-liste over interessante opgaver.

  • 13
  • 1
#4 Jan Heisterberg

På universiteterne arbejder højt begavde og uddannede mennesker. Hvis de ikke kan anvende og indordne sig under de regler og retningslinier, som kvalificerede it-professionelle fastlægger, så lider de af en intelektuel og faglig brist.

Det skulle da være besynderligt, om der er væsentlig forskel på denne kategori af mennesker når de arbejder for een af de mange forskningsbaserede virksomheder ELLER de arbejder på et universitet.

Jeg synes flere af citatrne viser en lige lovlig tilbagelænet holdning. Den dag, hvor års forskning går tabt bag et it-angreb, eller en opdagelse med milliard-cærdi stjæles, så kommer der nok en mere stringent holdning og praksis på bordet. Som en kendt engelsk statsminister ville have sagt: "It is MY money !", så "vi", borgerne, kan ikke være ligeglade med sløseri og "akademisk modvilje".

Ved ansættelse i private, og andre offentlige virksomheder, er der forpligtelser som skal overholdes. Det burde universitetrne også indføre på dette område.

  • 7
  • 2
#5 Troels Henriksen

Det skulle da være besynderligt, om der er væsentlig forskel på denne kategori af mennesker når de arbejder for een af de mange forskningsbaserede virksomheder ELLER de arbejder på et universitet.

Jeg er enig i dit indlæg som helhed, men der er én vigtig forskel på forskere i industrien og på universiteter: Universitetsforskerne vælger at acceptere en væsentligt lavere løn for til gengæld at få mere frihed, især i form af at være underlagt færre regler om hvad de skal lave, og hvordan. Det er netop en forskel der kan have betydning her.

Jeg synes flere af citatrne viser en lige lovlig tilbagelænet holdning. Den dag, hvor års forskning går tabt bag et it-angreb, eller en opdagelse med milliard-cærdi stjæles

Er der mange eksempler på at mange års forskningsdata er gået tabt grundet et hackerangreb? Og hvad skulle det være for en opdagelse der kunne stjæles, når nu hele pointen universiteter er at offentliggøre deres resultater (evt. under patent)?

  • 4
  • 0
#7 Claus Bobjerg Juul

Er der mange eksempler på at mange års forskningsdata er gået tabt grundet et hackerangreb? Og hvad skulle det være for en opdagelse der kunne stjæles, når nu hele pointen universiteter er at offentliggøre deres resultater (evt. under patent)?

Det er et mørketal, for som du skriver universitetsforskere har en højere grad af frihed, så det er ikke altid at de føler sig forpligtede til at fortælle om det eller så opdager de det ikke.

Husk på at hvis de ved at deres data er kompromitteret (har været tilgået af andre) så kan deres forskningsresultat angribes.

Jeg tror ikke det vil være usandsynligt at forskere drager den samme konklusion som myndighederne gør i pressen "Jeg kan ikke se at noget mangler, er ændret eller blevet stjålet, ergo er de onde gået udenom mine data"

Jeg er overbevist om at forskere drager konklusionen i sager hvor de reelt er inhabile, da de er involveret.

  • 6
  • 1
#8 Jan Heisterberg

Det forhold, at lammende hackerangreb er mulige, som det er set og kendt fra mindst to store, velrenomerede, danske firmaer er tilstrækkelig begrundelse til at have et højt beskyttelsesniveau. Det kræver ikke særskilt proof-of-concept.

Det forhold, at der ikke er offentliggjort konkrete eksempler på tyveri er ikke tilstrækkelig begrundelse for ikke at beskytte sig. Det er velkendt, at kun meget få virksomheder eller personer har den råstyrke som skal til for at indrømme fejl og mangler. Derfor kan man ikke forvente, store overskrifter efter datatyveri. Der er jo en grund til, at der udtages patenter - nemlig fordi der er opfundet noget enestående, noget særligt. Det kan så ofte have værdi. Der er jo en grund til, for eksempel, at forskere ofte bryder ud fra universitetrne med et patent og en ide i hånden og skaber nye virksomheder. Altså er der ofte værdi i deres viden.

Kommentaren om lønforskelle, og deres betydning, er en personlig holdning.

  • 5
  • 0
#9 Troels Henriksen

Det er jo også kun en delmængde af sikkerhedsspørgsmålet.

Der mangler ikke eksempler på at data har ligget frit tilgængelig, eller at data er sendt steder hen, hvor man ikke har nogen ide om hvad der iøvrigt sker med dem.

Bevares, men handler artiklen ikke mest om modstandsdygtighed mod angreb? Sjusk med forskningsdata er et udbredt problem; mit spørgsmål er mest om universiteter også er særligt følsomme overfor angreb.

Husk på at hvis de ved at deres data er kompromitteret (har været tilgået af andre) så kan deres forskningsresultat angribes.

Angribes hvordan? Det er ret dårlig forskning hvis den undergraves når alt datamaterialet offentliggøres.

  • 2
  • 3
#11 Gert Madsen

Bevares, men handler artiklen ikke mest om modstandsdygtighed mod angreb? Sjusk med forskningsdata er et udbredt problem; mit spørgsmål er mest om universiteter også er særligt følsomme overfor angreb.

Data som er nemt tilgængelig er også nemt at kryptere.

Hvor data sendes udenfor rækkevidde, må man selvfølgelig formode at man har en egen kopi, men det gælder næppe alt andet.

Og som det påpeges andre steder, så kan det medføre at universiteterne mister deres forskningsresultater og evt. patenter.

Du har helt ret i at det ikke er noget, som vi hører eller læser om. Men så slapt et forhold til datasikkerhed, må have haft konsekvenser.

Jeg hælder også til, at det er svarende til at tie stille, når man opdager at hoveddørslåsen er gået i stykker.

  • 5
  • 1
#12 Anne-Marie Krogsbøll

...især Henrik Larsens udtalelser. For de bekræfter det, som mange gentagne gange har hævdet i kommentarfelter her på Version2, men som ofte fremkalder vrede og beskyldninger om sølvpapirshatteri fra diverse forskerrelaterede kommentatorer. Nu har vi det så fra en "insider", at datasikkerheden ikke er det højest prioriterede (hvilket ved er pæne ord for "ikke særligt prioriteret") hos disse professorer.

Så skulle de ærligt talt lade være med den ene gang efter den anden at bilde befolkning og forsøgspersoner ind, at der er helt styr på det område, og at de tager det meget alvorligt.

"»Jeg kender godt forskermiljøet og deres holdning til det. De opfatter det som værende til besvær at huske alle de forskellige passwords. Det er meget nemmere med fælles passwords til forskningssystemerne, der sidder på en opslagstavle i laboratoriet eller er skrevet med tusch uden på den pågældende computer. "

Helt ærligt! Kan det virkeligt stadig være gældende i det Herrens år 2020? I så fald bør krabasken - i form af store personlige bøder - i den grad svinges, for så er der ikke tale om undskyldelige menneskelige fejl, men om grov ligegyldighed over for love, regler og andre menneskers rettigheder. Forskeren som Gud - hævet over love og regler. Det skal vi i den grad have gjort op med.

Noget andet er, at jeg håber, at forskerne faktisk har adgang til sagkundskab, som kan hjælpe med dette område, for nemt er det jo ikke...

  • 4
  • 1
Log ind eller Opret konto for at kommentere