Forskningsminister vil rette op på dårlig datasikkerhed efter kritik

Illustration: Systematic
Universiteter skal implementere statslig sikkerhedsstandard, men forskere skal have administratorrettigheder for at afvikle software.

Der skal strammes op på sikkerheden med forskningsdata. Det er Forskningsministerens udspil, efter Rigsrevisionen tidligere i år beskrev situationen som utilfredsstillende.

Læs også: Statsrevisorerne: Universiteter sløser med it-sikkerhed omkring forskningsdata

Danske universiteters forskningsdata er sårbare over for cyberspionage og var flere gange sidste år udsat for angreb. Statsrevisorerne skrev i en kommentar i januar, at det er utilfredsstillende, at forskningsdata ikke bliver beskyttet tilstrækkeligt.

Rapporten undersøgte de fem største danske universiteter: Københavns Universitet, Aalborg Universitet, Aarhus Universitet, Danmarks Tekniske Universitet og Syddansk Universitet og deres sikkerhed i lagring af forskningsdata.

Uddannelses- og forskningsministeren oplyser, at Uddannelses- og Forskningsministeriet som led i det systematiske tilsyn i 2019 vil bede hvert enkelt universitet om en status på implementeringen af ISO 27001-standarden. Redegørelserne fra universiteterne vil foreligge primo september 2019. Det skriver Rigsrevisionen i et notat (PDF) om beretning om universiteternes beskyttelse af forskningsdata.

ISO-27001 er den statslige sikkerhedsstandard.

Det fremgår af notatet, at ministeren anerkender, at ukendt udstyr, software og applikationer udgør risikofaktorer i forhold til it-sikkerhed.

Ministeren oplyser derudover, at det er et grundvilkår for universiteterne, at forskere og studerende kan anvende deres eget it-udstyr. I forskningsmiljøerne gælder endvidere, at en del af forskerne er ansat flere steder, hvilket ofte vil betyde, at it- og forskningsudstyr skal anvendes på tværs af arbejdspladser. Ministeren oplyser videre, at da meget forskningsudstyr i vid udstrækning også er it-udstyr eller egenudviklet software forudsætter forskning ofte, at forskeren vil skulle have administratorrettigheder for at kunne løse sine forskningsopgaver.

Ministeren oplyser, at grundvilkårene om, at forskerne i nogle tilfælde har brug for at anvende eget it-udstyr og have lokaladministratorrettigheder medfører en række sårbarheder, som universiteterne naturligvis skal håndtere og imødegå med passende tiltag, eksempelvis med udgangspunkt i ISO 27001.

Allerede i forbindelse med beretningen oplyste Uddannelses- og Forskningsministeriet, at man ville kontakte universiteterne og understrege ledelsernes ansvar for området og samtidig bede universiteterne om at identificere og rette op på eventuelle it-sikkerhedsbrister.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Ministeren oplyser derudover, at det er et grundvilkår for universiteterne, at forskere og studerende kan anvende deres eget it-udstyr. I forskningsmiljøerne gælder endvidere, at en del af forskerne er ansat flere steder, hvilket ofte vil betyde, at it- og forskningsudstyr skal anvendes på tværs af arbejdspladser."

Grundvilkår? Som i "naturlov"?

I givet fald: Hvis den påstand holder, er det så overhovedet muligt samtidigt at påstå, at forskningsdata - som ofte er særdeles personfølsomme - kan sikres forsvarligt?

Hvis ikke: Hvad skal så veje tungest: Retten til privatliv, eller overvågningskapitalismens behov for uhindret adgang til forskning i datatrællenes private data?

James Avery

Ligesom da rapporten kom frem, glemmes det fuldstændig at Rigsrevisionen slet ikke bedømte dét system, som håndterer private data. Følsomme data skal slet ikke forlade SIF, som er sikret som en fæstning, og sporer al tilgang, som i øvrigt kræver to-faktor autentisering. Der er altså fuldstændig styr på ikke bare hvem, der tilgår følsommedata, men også hvor og hvornår de har gjort det - hver gang. Og de behandles de sikrede systemer.

Men SIF indgik af mærkelige årsager slet ikke i sikkerhedsbedømmelsen. Kun det åbne netværk, hvor følsomme data intet har at gøre, blev bedømt.

Rigsrevisionens rapport har derfor ingenting med personfølsomme data at gøre, for de har ikke bedømt de systemer, hvor de lagres.

Det er i øvrigt slet ikke muligt at sikre et generelt arbejdsnetværk i tilstrækkelig grad til at håndtere følsomme data. Uanset om et netværksdevice er et selvbygget måleapparat eller en "sikret", låst og ubrugelig Windows-PC, er netværket i udgangspunktet nødt til at antage, at den kan være kompromitteret. Man kan ikke sikre arbejdsnetværk -- slet ikke, hvis de har adgang til internettet -- men man kan sikre udvalgte aflukkede systemer. Det er gjort på KU. Vildt at Rigsrevisionen fuldstændig ignorerer det forhold.

Anne-Marie Krogsbøll

Tak for relevant uddybning, James Ivory.

Det fremgår af notatet, at ministeren anerkender, at ukendt udstyr, software og applikationer udgør risikofaktorer i forhold til it-sikkerhed."

Er ministeren vildledt? Eller hvad taler hun om?

Jeg giver dig ret i, at det er meget mystisk, at Rigsrevisionen ikke har inddraget det, du nævner (nogen bud på hvorfor?). Men det betyder vel så også, at vi ikke med sikkerhed kan vide, om det system, du nævner faktisk er så sikkert og velfungerende, som du beskriver?

Log ind eller Opret konto for at kommentere