Sikkerheden i lagringen af forskningsdata på de største danske universiteter er utilfredsstillende. Det var Statsrevisorernes kommentar til Rigsrevisionens rapport, der udkom mandag. Men den kritik er ikke rimelig, mener Brian Vinter, professor i High Performance Computing og leder af Sciences HPC-Center, som driver lagringssystemerne ERDA og SIF.
Brian Vinter har i et debatindlæg på Version2 anført, at Rigsrevisionen »nægter [...] at forstå hvilken type arbejdsplads et universitet er.«
Version2 har interviewet professoren, som argumenterer med, at man bør skelne mellem forskellige typer af data, når man ser på sikkerheden for forskningsdata.
»En meget stor del af vores data er arbejdsredskaber, men ikke oprindelige data.«
»Det meste data der laves på et universitet er af ingen værdi, forstået på den måde at det kan reproduceres. Hvis jeg henter nogle data fra en international database, så kan jeg bare hive dem ned. Hvis det er data fra noget simulering, så kan jeg bare gentage simuleringen,« siger Brian Vinter.
De data er hverken hemmelige eller svære at genskabe, så sikkerhedsniveauet ikke så afgørende i den sammenhæng, mener Brian Vinter.
Tre niveauer af sikkerhed
Brian Vinter inddeler data i tre niveauer. Nederst er de førnævnte ”værdiløse” data, som er offentligt tilgængelige eller let kan genskabes.
I den modsatte ende af skalaen ligger de såkaldte GDPR-data: data, som indeholder persondata eller data som er personhenførbare.
»Det er ikke ret mange forskere, som arbejder med personhenførbare data. Næsten alle forskere arbejder med pseudonymiserede data, hvor nøglen, der skal bruges til at identificere en person, ligger i et helt tredje sted. Men selv om de er pseudonymiserede, behandler vi dem som GDPR-data,« siger Brian Vinter.
»KU har to systemer, som vi tillader, at man gemmer sine GDPR-data på: S-drevet og SIF - Sensitive Information Facility. SIF er beskyttet med to-faktor-autentificering, og for at få adgang til et projekt, skal man anmode om adgang, og projektets ejer skal godkende, at man kommer ind.«
»Alle dataoperationer på SIF bliver logget. Hver eneste læsning eller skrivning kommer ned i en logfil.«
På niveauet mellem GDPR-data og værdiløse data, er data, som ikke indeholder personhenførbare informationer, men som stadig repræsenterer økonomisk værdi.
»SCIENCEs Data Management Guide beskriver, at hvis du har data med mulig økonomisk værdi for KU, hvis det er noget vi kan tage patent på, eller hvis vi kan retsforfølges, hvis de bliver lækket, så må de ikke ligge på din PC, så skal de ligge på et af de godkendte systemer,« fortæller Brian Vinter.
De data, som skal hemmeligholdes, men ikke er GDPR-data, kan dog lagres på IT-systemer som ikke kræver to-faktor-autentificering, men blot et almindeligt log-in.
Uenighed om ukendte enheder på netværket
Et af kritikpunkterne i Rigsrevisionens rapport er, at IT-afdelingerne på universiteterne ikke har styr på de enheder, der kobles på deres netværk, og tillader forskere at tage deres egne computere med. Det betyder, at angribere kan få adgang til netværk, hvor forskningsdata lagres, gennem usikker software på forskeres computere, eller ved at koble deres egne enheder på netværket.
Men det mener Brian Vinter er en forkert sikkerhedsfilosofi.
Skal der ikke strammes op, så IT-afdelingerne kan holde styr på, hvad software der kører på forskernes computere?
»Jeg mener den modsatte vej rundt. I mit compute-center har vi den simple holdning, at vi forventer at forskerens PC er fyldt med alt muligt lort, vi ikke kan stole på. Vi behandler forskerens PC, som om den ikke er troværdig.«
Kan en angriber, som har installeret en keylogger på en forskers computer ikke relativt let få adgang til disse GDPR-data eller økonomisk sårbare data?
»Når der er tale om GDPR-data, så nej, for der har vi to-faktor-autentificering. Men i forholdet til de økonomiske data, så jo, men der har vi selvfølgelig standard intrusion decetion-systemer, som kan opdage hvis forskere pludseligt opfører sig underligt, så vi kan undersøge det.«
Synes du, at den sikkerhed står mål med følsomheden af de data?
»Ja, det er min overordnede konklusion. Jeg skal indrømme, at det er lidt fedtspilleri, for vi lægger op til, at den enkelte forsker skal sige ”jeg er ekspert i de her data”, og det er den enkelte forsker som ved, hvor de her data skal bevares.«
»Vi står selv på mål, også for økonomiske tab, og det har vi altid gjort.«
Generelt betragter Brian Vinter det ikke som en fornuftig praksis, at forsøge at holde styr på alle enheder på det netværk, hvor der arbejdes med forskningsdata.
»Min holdning er, at KU’s netværk bør indrettes sådan, at man altid forventer, at der er ukendte enheder på netværket. Vi får studerende og gæsteforskere på besøg, og vores egne forskere rejser rundt i hele verden med deres universitets-PC’er. Vi har ikke mulighed for at leve i et lukket økosystem, så derfor må vi betragte netværket som usikkert.«
