Statsrevisorerne: Universiteter sløser med it-sikkerhed omkring forskningsdata

Illustration: Bigstock/Rost-9
De fem største danske universiteters beskyttelse af forskningsdata er utilfredsstillende, skriver Statsrevisorerne i en kommentar til en beretning udarbejdet af Rigsrevisionen.

Danske universiteters forskningsdata er sårbare over for cyberspionage og var flere gange sidste år udsat for angreb. Statsrevisorerne skriver i en kommentar i en ny beretning fra Rigsrevisionen, at det er utilfredsstillende, at forskningsdata ikke bliver beskyttet tilstrækkeligt.

Rapporten undersøger de fem største danske universiteter: Københavns Universitet, Aalborg Universitet, Aarhus Universitet, Danmarks Tekniske Universitet og Syddansk Universitet, og deres sikkerhed i lagring af forskningsdata.

Uddannelses- og Forskningsministeriet vil som konsekvens af rapporten bede universiteterne om at finde og lukke kritiske sikkerhedshuller.

Tvivlsom sikkerhedspolitik

Rigsrevisionen bemærker i rapporten to særlige forhold, som sætter sikkerheden på spil for forskningsdata: tilstedeværelsen af ukendt it-udstyr på universiteternes netværk, og at forskerne får lokale administratorrettigheder på deres computere.

På alle universiteterne undtagen SDU er det tilladt for forskere at tage deres egne enheder med på arbejde og koble dem på universitetets netværk. Det betyder, at universiteterne ikke har kontrol med den software, der har adgang til netværket, og ikke kan sikre, at programmer på forskernes computere er opdaterede, så sikkerhedshuller lukkes.

Et lignende problem ligger i, at forskerne har lokale administratorrettigheder. Universiteternes it-afdelinger har ikke nogen måder, hvorpå de kan sikre, at den software, forskerne selv installerer, er opdateret og fri for sikkerhedshuller.

I rapporten anbefaler rigsrevisionen, at lokale administratorrettigheder kun uddeles til specifikke formål og i tidsbegrænsede intervaller, så forskernes daglige arbejde ikke foregår på konti med lokale administratorrettigheder.

Illustration: Rigsrevisionen

Københavns Universitet under luppen

Rapporten går specielt ned i Københavns Universitets sikkerhedssystemer, som den finder utilstrækkelige. KU har ifølge rapporten ikke nogen metode til at finde ukendt hardware på netværk med forskningsdata og har heller ikke en komplet fortegnelse over alle de enheder, forskerne medbringer og kobler på netværket.

Dog bemærkes det, at Niels Bohr-instituttet, som har sin egen IT-afdeling, har sat deres servere op på en sikrere måde end resten af KU ved at tilbyde forskerne virtuelle arbejdsplader, som de kan forbinde til og bruge til at lagre deres forskningsdata.

Statsrevisorerne bemærker i deres kommentar til rapporten også, at der mangler klarhed på KU om, hvor ansvaret for beskyttelsen af forskningsdata ligger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (33)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"Rigsrevisionen bemærker i rapporten to særlige forhold, som sætter sikkerheden på spil for forskningsdata: tilstedeværelsen af ukendt IT-udstyr på universiteternes netværk, og at forskerne får lokale administratorrettigheder på deres computere.
På alle universiteterne undtagen SDU, er det tilladt for forskere at tage deres egne enheder med på arbejde, og koble dem på universitets netværk. Det betyder, at universiteterne ikke har kontrol med den software, der har adgang til netværket, og ikke kan sikre at programmer på forskernes computere er opdaterede, så sikkerhedshuller lukkes.
Et lignende problem ligger i, at forskerne har lokale administratorrettigheder. Universiteternes IT-afdelinger har ikke nogen måde at sikre, at den software forskerne selv installerer er opdateret og frit for sikkerhedshuller."

Efter så mange års kamp om vore personddata, hvor vi er en del, som har råbt og skreget om den dårlige sikkerhed, og hvor vi altid har fået at vide, at vi var sølvpapirshatte, og at det offentlige passer ualmindeligt godt på vore data (Besværgelse: "Giv mig dine data, du kan være helt tryg, giv mig dine data, du kan være helt tryg" efter opskrift fra hypnotisøren Ali Hamann https://da.wikipedia.org/wiki/Ali_Hamann​ ), så skal vi endnu engang høre, at befolkningen føres bag lyset på dette område.

Er der andre muligheder, end at de ansvarlige forskere enten ikke aner, hvad de laver rent datasikkerhedsmæssigt (ikke en rar tanke), eller er fløjtende ligeglade med, at det er borgernes privatliv, der spiller hasard med (heller ikke en rar tanke)? Er der nogen anden mulighed, end at "nogen" bevidst lyver for os? Samtidig med, at vi hele tiden skal høre på, at man priotiterer befolkningens tillid enormt højt?

"Statsrevisorerne bemærker i deres kommentar til rapporten også, at der mangler klarhed på KU om, hvor ansvaret for beskyttelsen af forskningsdata ligger."

Har de ikke en dataprotektion officer? Får de mon en kæmpebøde? Eller skal alle vi borgere individuelt anlægge sag an mod universiteterne og søge erstatning for ikke at passe ordentligt på vore private data, som de i udsktrakt grad har i deres varetægt?

Eller sker der som sædvanligt ikke en hylende.....?

  • 5
  • 4
John Foley

Mig bekendt har forskningsverdenen sin egen Computer Emergency Response Team (DK CERT) med bl.a. ansvaret for at overvåge, rådgive og vejlede universitets - og forskningensverdenen. Det kunne være interessant at høre deres vurdering af den fremførte kritik fra Stats- og rigsrevisorerne, ikke mindst fordi DK-CERT nu også har overtaget CERT/DCIS rollen for hele Telesektoren.

  • 4
  • 0
Brian Vinter

Jeg var selv indblandet i processen og må sige at dels nægter RR at forstå hvilken type arbejdsplads et Universitet er - dels læser V2 rapporten som en hvis mand læser biblen.

Dine personfølsomme data ligger IKKE på en tilfældig forskers PC - der er meget klare retningslinjer for hvordan GDPR data på KU må opbevares - men sjovt nok valgte RR ikke at revidere de systemer hvor forskerne tilbydes at lagre data sikkert - man fokuserede på de systemer hvor forskerne har egne rettigheder.

Det er vigtigt at forstå i denne sammenhæng at den enkelte forsker har et personligt ansvar for at sikre at data lagres sikkert (ikke kun GPDR men alle data der repræsenterer en værdi). Universitet tilbyder naturligvis sikre systemer og vejledninger, men kan omvendt ikke underkende de ansattes forsknings- og metodefrihed.

  • 4
  • 6
Troels Henriksen

Er der andre muligheder, end at de ansvarlige forskere enten ikke aner, hvad de laver rent datasikkerhedsmæssigt (ikke en rar tanke), eller er fløjtende ligeglade med, at det er borgernes privatliv, der spiller hasard med (heller ikke en rar tanke)? Er der nogen anden mulighed, end at "nogen" bevidst lyver for os? Samtidig med, at vi hele tiden skal høre på, at man priotiterer befolkningens tillid enormt højt?

Du overreagerer helt vanvittigt. Jeg er selv en af de forskere du her harcelerer imod. Jeg arbejder ikke med personhenførbar data (det meste af min data er tilfældigt genereret eller måleresultater fra maskiner, for det er kun størrelsen af data jeg går op i), men jeg medbringer gerne mit eget udstyr på kontoret, og jeg er sandelig "lokaladministrator" (jeg antager det betyder root?) på såvel min mappedatamat som adskillige servere der er koblet til universitetets netværk. Hvis jeg ikke havde disse muligheder ville jeg ikke kunne varetage mit arbejde lige så godt, men jeg tæller utvivlsomt i den forkerte søjle i statsrevisorernes regneark.

Hvis denne revisions primære resultater handler om firkantet optælling lokaladministratorer og BYOB, så er den ikke den PDF værd den er gemt i. Hvad med i stedet at opdele det i sikkerheden for forskellige netværk? Jeg har umiddelbart ikke behov for at være koblet på noget mere internt netværk end hvad de studerende bruger.

  • 9
  • 3
Anne-Marie Krogsbøll

man fokuserede på de systemer hvor forskerne har egne rettigheder.Det er vigtigt at forstå i denne sammenhæng at den enkelte forsker har et personligt ansvar for at sikre at data lagres sikkert (ikke kun GPDR men alle data der repræsenterer en værdi). Universitet tilbyder naturligvis sikre systemer og vejledninger, men kan omvendt ikke underkende de ansattes forsknings- og metodefrihed.


Tak for svar, Brian Vinter.
Det er muligt, at det er mig, der ikke forstår din forklaring - men bekræfter den ikke netop den kritik, der fremsættes, nemlig at data kan opbevares på lokale computere, og at det er op til den enkelte forskers ansvarfølelse og indsigt i problemet at sikre data? At opbevare data på lokale computere og mæske endda medbringe dem til hjemmet og andre steder, er notorisk risikoadfærd.

Hvorfor kan universitetet ikke

underkende de ansattes forsknings- og metodefrihed.

, hvis denne giver problemer ift. persondata? Hvad er der i vejen for at stille direkte betingelser omkring dette? Hvis mine persondata udleveres til en forsker, forventer jeg for det første, at jeg informeres og spørges (jeg ved godt, at reglerne desværre ikke er sådan - det burde de være), og for det andet, at den udleverende myndighed holder snor i mine data, og ikke tillader "forsknings- og metodefrihed". For i mine øjne er det mit liv og mine data, som andre ikke skal have frihed til at sjakre og sjuske med. Men det er som om, forskere opfatter andres liv og data som deres* ejendom..* Det mindste man så kan gøre, er at underkaste sig skrappe regler, og ikke insistere på "forsknings- og metodefrihed".

  • 4
  • 0
Anne-Marie Krogsbøll

Tak for svar, Troels Henriksen.

Du overreagerer helt vanvittigt.


Jeg reagerer på baggrund af en rapport fra Rigsrevisionen. Det er mit og andres privatliv, det drejer sig om - det giver ret til at reagere - og om nødvendigt at overreagere - når/hvis andre ikke tager deres ansvar i den sammenhæng alvorligt.

Jeg er selv en af de forskere du her harcelerer imod. Jeg arbejder ikke med personhenførbar data


Så er du ikke i denne sammenhæng en af de forskere, jeg harcelerer imod.

jeg er sandelig "lokaladministrator" (jeg antager det betyder root?) på såvel min mappedatamat som adskillige servere der er koblet til universitetets netværk.


Forhåbentligt ikke servere med persondata.....

Hvis denne revisions primære resultater handler om firkantet optælling lokaladministratorer og BYOB, så er den ikke den PDF værd den er gemt i. Hvad med i stedet at opdele det i sikkerheden for forskellige netværk? Jeg har umiddelbart ikke behov for at være koblet på noget mere internt netværk end hvad de studerende bruger.


Som jeg har forstået det, er mange lokaladministratorer med udstrakt adgang en stor sikkerhedsrisiko - men jeg er ikke fagmand på det felt, så jeg håber, at nogle af fagfolkene herinde vil vurdere din påstand her. Men hvis jeg forstår dig rigtigt, så peger du her på en yderligere sikkerhedsrisiko, som Rigsrevisonen ikke har kigget på, nemlig opdelingen - eller mangel på samme - af de interne netværk?

Hvis det er rigtigt forstået, så peger det da absolut på, at man ikke er sikkerhedsbevidst nok på universiternerne?

I hvert fald kan jeg fuldt ud tilslutte mig John Foleys forslag.

  • 3
  • 1
Brian Vinter

Som jeg også skriver er der politikker for hvad man må:)

Det er, som forsker, på ingen måde nyt at jeg skal overholde landets love og regler - det har jeg altid skullet gøre, også før GDPR.

Der er nedskrevne procedurer og en DPO man kan spørge til råds, der er endog en juridisk prodedure man skal igennem før man må indsamle og lagre GDPR data.

Men data der hentes fra internationale databaser, genererers fra simuleringer osv er ikke underlagt nogen form for begrænsninger og hvorfor skulle man også det? Sikkerhed kommer med en masse teknisk overhead der vanskeliggør forskerens arbejde og desuden koster det en del mere at lagre data på de sikre systemer. Desuden er det for rigtigt mange forskere nødvendigt med adm rettighedder for at køre det SW som netop deres miljø bruger - og på de systemer KU tilbyder at man kan lagre følsomme dage tillades naturligvis ikke at man har administrator-rettigheder.

At sikkerhed og fleksibilitet er modsat rettede størrelser er der ikke noget nyt i - jeg vil mene at KU har fundet en fornuftig løsning hvor forskere tilbydes både fleksibilitet og sikkerhed - men på forskellige systemer naturligvis.

  • 3
  • 0
Anne-Marie Krogsbøll

Der er nedskrevne procedurer og en DPO man kan spørge til råds, der er endog en juridisk prodedure man skal igennem før man må indsamle og lagre GDPR data.


Men i mine øjne - hvis jeg forstår det, I beskriver, rigtigt - så tillades der for meget. F. eks. for megen mulighed for at hente personfølsomme data ned til egne maskiner, som kan medbringes rundt omkring. Det er og bliver i mine øjne en stor sikkerhedsrisiko. Men jeg ser det selvfølgelig ud fra min/borgerens synsvinkel, hvor jeg ikke mener, at persondata er tilstrækkelig beskyttede på den måde, mens du ser det ift. dine arbejdsgange. I mine øjne bør persondata være overordnet ift arbejdsgange - sorry.

Listen over læk, der er sket via private computere, er uendelig (lige før jul lækkede en Gladsaxe-ansat 20 000 data på den måde). Forskere er mennesker som alle andre - erfaringen siger, at de hverken er værre eller bedre. Så når der gives så omfattende tilladelser, så indebærer det en stor risiko, fordi man ikke kan regne med, at brugerne faktisk overholder reglerne.

Du er sikkert meget ansvarsbevidst, og kunne aldrig finde på at cutte hjørner ift. datasikkerheden - men det er der overhovedet ingen grund til at tro, at dine kolleger alle sammen er - det viser erfaringen.

  • 2
  • 0
Brian Vinter

Jeg forstår slet ikke hvordan du kan læse de af mine svar; men lad mig så skære det ud i pap:

Det er som forsker på KU ikke tilladt at indsamle personhenførbart data før der er opnået et tilladelse fra DPO, som en del af den tilladelse skal man angive på hvilket af de godkendte systemer man vil placere data.

Ingen forsker på KU kan altså lovligt indsamle og lagre personhenførbart data uden at GPO kan pege på hvor det ligger.

  • 2
  • 0
Brian Vinter

Det er ikke lovligt at udveksle GDPR data - typisk laver man en remote-service til den slags. Danmarks Statistik kræver fx at forskere laver deres analyser på maskiner der står hos DS for at undgår den type problemer!

Det er på ingen måde noget nyt - den slags var også dækket under den gamle persondatalov.

PS. Junior er idag noget ældre og knapt så charmerende ;)

  • 2
  • 0
Anne-Marie Krogsbøll

Det er ikke lovligt at udveksle GDPR data - typisk laver man en remote-service til den slags


Så personfølsomme forskningsdata befinder sig aldrig på bærbare/private computere? Jeg ved, at der sker opstramninger på det felt, men jeg mener ikke, at det er fuldt gennemført.

Men selv om du evt. har ret i det, så hjælper det ikke, hvis adgangene til de godkendte servere med personfølsomme data er alt for udbredte/løstsiddende - og det er vel det, Rigsrevisonen siger.

PS. Junior er idag noget ældre og knapt så charmerende ;)

Nå ja, det sker for selv det bedste barn hen ad vejen - han er garanteret meget sød alligevel :-)

  • 2
  • 0
Troels Henriksen

Så personfølsomme forskningsdata befinder sig aldrig på bærbare/private computere? Jeg ved, at der sker opstramninger på det felt, men jeg mener ikke, at det er fuldt gennemført.

Det tror jeg ikke nogen ved, og det er ikke hvad Rigsrevisionens rapport handler om. Jeg har læst lidt i den, og så vidt jeg kan se har man i vidt omfang bare opfundet nogle firkantede kriterier ("Er forskere lokaladministratorer? Må de tage deres eget grej med?") og så krydset af i hvilket omfang disse forhold gør sig gældende på universiteterne. Specifikt er der ikke taget højde for hvorvidt disse forhold optræder i forbindelse med forskningsdata, og derefter om disse forskningsdata overhovedet er personhenførbare. I det omfang rapporten diskuterer hvorvidt forskningsdata er følsomme, så synes jeg faktisk endda den fokuserer mere på forretningshemmeligheder, snarere end på persondata.

Siden mit virke er med til at få KU til at fremstå skidt i rapporten, så synes jeg da lige jeg vil afsløre hvad det er for noget forskningsdata jeg udsætter for risiko. Ja, jeg er faktisk så uansvarlig at jeg ikke alene er root på min mappedatamat, men jeg er endda kommet til at gøre mine forskningsdata offentligt tilgængeligt på Internettet! Her er f.eks. noget tilfældig støj formateret som matricer, og her er mine vigtigste resultater: Tusindvis af JSON-filer med kørselstal for hvor hurtigt matricer kan ganges sammen og sådan. Det er uklart for mig hvor meget af Rigsrevisionens rapport angår data af denne beskaffenhed.

Jeg siger ikke at der ikke kan være problemer med håndtering af forskningsdata, men denne rapport er hysterisk. Som eksempel på et (potentielt) problem erindrer jeg em situation hvor en server vistnok både blev gemt til at gemme nogle medicinske data, omend jeg ikke er sikker på at de var personhenførbare, samt kørte en ældgammel upatchet udgave af MediaWiki, som naturligvis blev cracket en dag.

  • 2
  • 0
Hans Nielsen

" Som eksempel på et (potentielt) problem erindrer jeg em situation hvor en server vistnok både blev gemt til at gemme nogle medicinske data, omend jeg ikke er sikker på at de var personhenførbare, samt kørte en ældgammel upatchet udgave af MediaWiki, som naturligvis blev cracket en dag."

Og det blev selvfølgeligt anmeldt til datatilsynet ?

Som det burde gøres efter de gamle relger. Ellers har
Anne-Marie Krogsbøll jo fuldstændigt ret i alt sin kritik ?

Og hvordan kan man påstå at man ingen problemmer har,

  1. Ikke synes at et enkelt læk af data betyder så meget, fordi det er gamle data. Er det så fordi de så er værdiløse for jer, eller er alle borgere døde eller mere end 100 år gamle ?

  2. At i som det også angives i reporten overhovedet ikke har styr på hvor der findes data, kopier og andet ?
    Hvordan skulle der ellers kunne ligge person data, på en server ved en fejl.

  3. Heller ikke styr på sikkerhed og opdateringer.
    Hvordan kunne en server som har adgang til Internet, få lov til dette unden styr på patch og sikkerhed ?

  4. Heller ikke styr på LOG ?
    Hvorfor ved i ikke, hvor lang tid den var upatchet, og om der blev henttet da ud.

Det ser da ud til at kretiken er fuldtberettet, og hvis der blev gravet dybere, så så det langt være ud.

Er alle data krypteret, og hvorfor må man tage data med hjem. Der kan jo nemt komme til at ligge kopier af gud ved hvad, det gør i åbenbart ikke.

I skal huske på at en af grunden til at der nu er lukket for forskning ved FB er misbrug. Ikke fordi FB ikke hasalere i det stadig,

Men den mistilide i er med til at skabe med jeres meget lempelige forhold til (andres) data , betyder at delingen, opsamling og validere bliver langt svære. Også for de forsker der tager etik alvorligt og beskytter deres data.

I bør måske bare begynde at læse her. Husk det var en "forsker" som brød tilliden på FB.

https://www.version2.dk/blog/uden-aabenhed-ingen-tillid-uden-tillid-inge...

  • 3
  • 2
Troels Henriksen

Og det blev selvfølgeligt anmeldt til datatilsynet ?

Det ved jeg ikke, da det ikke var min server og ikke min forskningsgruppe. Dertil er jeg ret sikker på at der ikke var personfølsomme data på den. Der var muligvis nogle gamle anonyme medicinske billeder (MR-scans og den slags) som måske kan have haft økonomisk værdi for virksomheder, men det ville så have været det.

Derudover siger jeg ikke at der ikke godt kan være problemer med håndteringen forskningsdata, for der er utvivlsomt data der faktisk er følsomt, men denne rapport afdækker det ikke rigtigt. Den fokuserer på nogle firkantede kriterier der måske har et sammenfald med dårlig datasikkerhed, men ikke nødvendigvis medfører det.

Svaret på mange af dine spørgsmål kan i øvrigt i vidt omfang være fordi de data ikke er specielt følsomme. Langt det meste forskningsdata er total ligegyldigt at beskytte, og af de data der har værdi, så har det meste kun værdi for andre forskere, derefter måske for visse virksomheder i form af forretningshemmeligheder, og først derefter udgør en relativt lille mængde de personhenførbare data som de fleste (retteligt) er bekymrede for. Man burde fokusere på hvordan disse beskyttes, i stedet for at sigte så bredt.

Jeg gemmer selv mine forskningsdata på en server hvor jeg er root(!), som ikke ejes af universitetet(!!), og som endda står i udlandet(!!!). Til gengæld er den ikke koblet på universitetets netværk og de data jeg gemmer er ikke personhenførbare (eller siger noget om mennesker overhovedet). Bør denne situation bekymre nogen? I hvilken søjle mon den ville stå opført i Rigsrevisionens regneark?

  • 2
  • 0
Hans Nielsen

Langt det meste forskningsdata er total ligegyldigt at beskytte, og af de data der har værdi, så har det meste kun værdi for andre forskere, derefter måske for visse virksomheder i


Igen det viser som Anne-Marie Krogsbøll skriver, at i ikke har forstået en s---- Af problematiken. Og i sidder på arogant på et høj bjerg, og synes vi bare skal spise nogle kager, hvis der ikke er brød.

Google, Amazon og Facebook arbejder jo også med for det meste med anonyme data. Det er kun når det hele bliver samlet at det bliver rigtigt farligt.

Og hvordan er det lige at anonyme data skal behandles, i følge den nye GDPR lov, har i slet ikke styr på det ?

Igen, dit indlæg beroliger mig slet ikke. Jeg bliver faktisk mere bange over, at i slet ikke tager det ansvar i er betroet alvorligt.

  • 3
  • 2
Anne-Marie Krogsbøll

Tak for svar, troels Henriksen.

Jeg forstår ikke rigtigt, hvad det egentligt er, vi diskuterer. For mig at høre, bekræfter I jo Rigsrevisionens oplysninger - I er så bare ikke enige i, at det er et sikkerhedsmæssigt problem. Er det rigtigt forstået?

I remser så nogle andre eksempler op, som I synes er meget værre - og det kan I da sagtens have ret i, det har jeg ikke fagkundskab til at vurdere. Men hvis I har ret i de eksempler, så er problemet vel bare endnu større, end Rigsrevisonen konkluderer? Og i så fald kan jeg kun give jer ret i, at rapporten er utilstrækkelig, og bør suppleres med en grundigere undersøgelse.

Jeg har ingen mening om, hvorvidt det du gør er problematisk eller ej - det kan jeg ikke gennemskue. Men i det omfang det falder ind under det, Rigsrevisionen har peget på som problematisk, så er jeg mest tilbøjelig til at tro på det. Hvis der ikke er følsomme data, ja så er det jo ikke et problem, og så behøver du jo ikke føle dig truffet, så hvorfor gør du det? - med mindre din praksis kan komme til at give sårbarheder ift. andres lagre af personfølsomme data . I så fald er det betydningsløst, om du selv arbejder med personfølsomme data eller ej - så er det problematisk.

Men hvis der er følsomme data, som behandles på den måde, som Rigsrevisionen beskriver, så er det i mine øjne et problem, uanset at du måske personligt har fuldt styr på sikkerheden. For disse ting medfører alt for mange sårbarheder ift. uheld og angreb.

  • 2
  • 0
Troels Henriksen

Hvis der ikke er følsomme data, ja så er det jo ikke et problem, og så behøver du jo ikke føle dig truffet, så hvorfor gør du det?

Jeg er personligt ret ligeglad, for jeg ved udmærket selv hvorvidt mit arbejde er problematisk. Mit problem er at Rigsrevisionens rapport er mangelfuld, fordi den sætter kriterier der er så brede, at alt klassificeres som problematisk. Jeg kan ikke gennemskue hvor problemerne kan være, fordi de sigter så bredt. Det er ligesom hvis man vil estimere sikkerhedsniveauet for bankerne i en by, og så opsummerer den gennemsnitlige sikkerhed for alle huse i byen. Det kommer til at se ganske skrækkeligt ud (den gennemsnitlige bolig er langt mindre sikkert end man forventer fra en bank), og siger ikke noget om hvor sikre bankerne er.

Det er relevant nok at undersøge hvor sikkert følsomme forskningsdata behandles, men denne rapport gør det ikke. Det er spild af potentiale og spild af penge. Det mest konstruktive i rapporten er anbefalingen om at Niels Bohr Institutets opsætning bør bruges af andre instituter på KU (og det er nu også mit indtryk at det sker, idet Niels Bohr Institutet bestyrer noget nær det eneste seriøse datacenter på KU).

  • 2
  • 0
James Avery

Hans Nielsen, hvad du synes at have misforstået, er at Rigsrevisionen ikke har undersøgt håndteringen af personfølsomme data (som håndteres meget stringent på sikre systemer udviklet af rigtige sikkerhedseksperter, og som går ud over GDPR mht. adgang og sporing). Det er derfor rapporten er så kritisabel.

De har derimod undersøgt nogle i denne sammenhæng totalt ligegyldige kriterier på universitetets generelle netværk. Altså: Personfølsomme data behandles på helt andre maskiner udviklet til formålet, og al adgang spores og logges. Hvilke maskiner, som er på det almindelige arbejdsnetværk er fuldstændig ligegyldigt, for dér skal der slet ikke behandles personfølsomme data. Men 99.9..% af forskningsdata er ikke personfølsomt.

Man kan kun tro, sikkerhed handler om, om forskere må administrere deres arbejdsmaskiner eller medbringer egne devices (begge nødvendige, hvis vi vil have naturvidenskabelig forskning), hvis man ved bekymrende lidt om sikkerhed. Derfor er det skræmmende, at Rigsrevisionen bruger så ubrugelige kriterier, for det betyder at der næppe har været nogen rigtige sikkerhedseksperter inde over.

Altså: nok er det til at rive sig i håret over, at Rigsrevisionen brokker sig over kriterier, der er ligegyldige for sikkerheden men derimod nødvendige for at vi kan have forskning. Men mere skræmmende er, at Rigsrevisionen slet ikke undersøger kriterier, som er vigtige for sikkerheden - og tilsyneladende heller ikke har nogen involveret i processen, som forstår dem. Derfor har vi til syneladende slet ikke noget tjek af sikkerheden med personfølsomme data i Danmark.

  • 2
  • 0
Anne-Marie Krogsbøll

Hans Nielsen, hvad du synes at have misforstået, er at Rigsrevisionen ikke har undersøgt håndteringen af personfølsomme data


Det har jeg så også misforstået, idet jeg er gået ud fra, at artiklen og rapporten handler om forskningsdata generelt - herunder personfølsomme data. Der er jo ingen afgrænsning i artiklen. Skulle det virkeligt være tilfældet, at Rigsrevisionen skulle have lavet en rapport, som sætter kikkerten for det blinde øje? Hvis det er tilfældet, er det da en regelret skandale -men jeg har svært ved at tro det.

Jeg tror gerne, at der vil være områder, som man måske ikke i tilstrækkelig grad har haft fokus på - men jeg har meget svært ved at tro, at man skulle have ofret en masse ressourcer på at undersøge sikkerheden på områder, hvor sikkerhed er uvigtig - og findes den slags områder overhovedet?

Nu er det vel også sådan, at der kan være sårbarheder i forskeres maskiner, som kan give utilsigtede adgang til mere (person)følsomme områder, selv hvis forskerne ikke selv arbejder med personfølsomme data. Kan det være den tankegang, som ligger bag Rigsrevisionens kritik?

Under alle omstændigheder er det da et spørgsmål, som det er vigtigt at få opklaret, og jeg håber, at Version2 følger op - og at man i øvrigt følger John Foleys forslag til uddybning.

  • 2
  • 0
Jørgen Kanters

Er der andre muligheder, end at de ansvarlige forskere enten ikke aner, hvad de laver rent datasikkerhedsmæssigt (ikke en rar tanke)

Jeg tror du misforstår Rigsrevisionen. Det her drejer sig om firbenede individer, og rigsrevisionen bekymrer sig om den potentielle risiko for at forskningsideer bliver stjålet. Tvivler på at rotterne bekymrer sig om deres data (men måske om deres liv)

Epidemiologiske studier med menneske register data kører på Danmarks Statistik eller Computerroom, hvor der er fuldstændigt styr på sikkerheden.

Forskere bekymrer sig meget lidt, dels fordi forskerdata generelt er værdiløse, og fordi ingen andre end forskeren selv kan forstå dem

  • 1
  • 0
Anne-Marie Krogsbøll

Epidemiologiske studier med menneske register data kører på Danmarks Statistik eller Computerroom, hvor der er fuldstændigt styr på sikkerheden


Hmmm.... jeg har aktindsigter, der viser, at man fra Sundhedsdatastyrelsen videregiver persondata fra bl.a. LPR og LPR-psych i grupper ned til 2 - i excel-regneark - og til udenlandske firmaer - så mon ikke også universitetsforskere kan få adgang til sådanne data uden om forskermaskinerne?

Og mht. Danmarks Statistik kan man læse om reglene her: https://dst.dk/ext/594574631/0/forskning/Adgang-til-afidentificerede-mik...

Det fremgår bl.a., at der gives adgang fra hjemmearbejdspladser....

I det øjeblik, data hentes ned fra forskermaskinen til en anden maskine, er der risiko, såfremt denne anden maskine ikke er sikret tilstrækkeligt. Så såfremt sikkerheden ikke er tilstrækkelig på sådanne eksterne arbejdspladser - at de f.eks. ikke er låst, ikke er låst inde, programmeres med usikkert software etc.. så kan andre, eks. hackere eller tyve, få adgang via forskeres egne computere.

Jeg tænker, at det er dette, Rigsrevisionen bl.a. er bekymret for. Når man henter følsomme data ned på bærbare maskiner, som forlader arbejdspladsen, eller ikke låses og opbevares forsvarligt arbejdspladsen, så mangedobler man risikoen for læk og indtrængen. Derfor er holdningen, gætter jeg på, at sådanne lokale datalagre skal undgås - sådan som DTU og SDU tilsyneladende kan håndtere det.

Mens KU, AAU og DTU slet ikke forholder sig til risikoen ved ukendt IT-udstyr. Det er da bekymrende.

  • 2
  • 0
Hans Henrik Happe

Forestil Jer en klient (laptop/workstation) som adminstreret efter foreskrifterne (opdateret og styret af IT organisationen). Den er så "kendt" hardware og må komme på det interne net og forskeren kan ikke installere software.

Hvis en forsker skal arbejde skal vedkommende nok også have adgang til internettet via en browser. Dvs. at der både er adgang til personhenførbare data (PHD) på internt net og til Internettet. Allerede nu er det ikke svært at forestille sig at det kan gå galt:

  • Forskeren lægger lige nogle PHD i skyen for det er bare så meget nemmere at arbejde med der. Det er ikke lovligt, men målet helliger midlet.
  • En browser er en kæmpe angrebsflade, så phishing er et problem.

Det er svært at forestille sig at forskere der arbejder med data ikke også har brug for at installere software på brugerniveau. I hvert fald scripting (Python og lign.). Derfor er der faktisk en mulighed for at installere software som kan nok til at agere proxy til det interne netværk.

Tror rigsrevisionen skal revidere Deres utopi om at man kan lave et sikkert netværk med brugeradgang som samtidigt har adgang til internettet. Vi andre skal overveje om fordelene ved at data er tilgængelige opvejer farerne.

  • 3
  • 0
Jørgen Kanters

Sundhedsdatastyrelsen er undtaget disse regler. Enig i det ikke lyder godt at de giver data ned til 2. På danmarks statistik bliver det monitoreret og forskergruppernes adgang lukkes ned hvis de forsøger at hente metadata ud under 3. Alle analyser laves på danmarks statestik og det er kun resultaterne der skal hentes ud til artiklerne. Så her er der forskerne der opfører sig ordentligt. Om det er forkert hvad sunhedsdatastyrelsen gjorde ved jeg ikke fordi jeg ikke kender deres regler, men heldigt lyder det ikke. Husk at det ikke er det her som rigsrevisionen brokker sig over. Sjovt at rigsreviosionens rottedata diskussion bliver til en diskussion om registre (Som i den rette kontekst er helt relevant)

  • 0
  • 0
Anne-Marie Krogsbøll

Tak for svar, Jørgen Kanters.

Sundhedsdatastyrelsen er undtaget disse regler.


Jeg gætter på, at mange universitetsforskere henter store mængder data hos Sundhedsdatastyrelsen, så det er meget lidt betryggende, hvis de er undtaget disse regler.

På danmarks statistik bliver det monitoreret og forskergruppernes adgang lukkes ned hvis de forsøger at hente metadata ud under 3.


Jeg var i efteråret til en konference - "Sundhedsinnovation i fællesskab" - hvor en finsk specialist i den slags holdt foredrag om BigData og AI - og fortalte, at den mindste batch-størrelse, man bør udlevere er 5 - og ikke engang det er nok til, at data kan anses for sikre i vore AI- og BigDatatider. Så hvorfor udleverer danske institutioner data ned til batch-størrelser på 2 og 3 (jeg kan lige nu ikke huske, om det er "batch- eller et andet ord, men min mening er sikkert klar nok)?

Alle analyser laves på danmarks statestik og det er kun resultaterne der skal hentes ud til artiklerne.


Fint - men det gælder garanteret ikke generelt for universitetsforskning.

Husk at det ikke er det her som rigsrevisionen brokker sig over.


Nej, de brokker sig over den lokale datasikkerhed på universiteterne - men tingene hænger jo sammen, og i et par kommentarer ovenfor forsvarer nogle universitetsforskere universiteterne med henvisning til reglerne på SDS og DST. Men de regler er ikke for gode - og kan under alle omstændigheder ikke undskylde dårlig sikkerhed på universiteterne. At man henter data via forskermaskiner er ikke i sig selv sikkerhed nok, hvis man henter data ned på lokale maskiner.

  • 2
  • 0
Anne-Marie Krogsbøll

Nej men man henter ikke data ned på lokale maskiner. Det må man ikke.Man henter resultaterne ned og publicerer dem så hele verden kan læse dem.


Bortset altså fra, at SDS udleverer stærkt følsomme data til (udenlandske) private firmaer i batchstørrelser ned til 2 på excel-ark. Så det ville være meget mærkeligt, hvis universitetsforskere ikke kan få den samme adgang.

  • 2
  • 2
Hans Nielsen

Eller mener du helt seriøst at alle forskere på KU skal bøde for hvad enkeltindivider gør?


Ja. Da det kan være enkeltindivider på KU.

Desuden så skal KU vel også sikkert sig at alle deres ansatte overholder GPPR.
Og hvis det ikke er muligt, så at lukke for deres adgang til data.

Hvis forskeren stifter arbejde til en privat virksomhed, hvorda sikker de sig at der ikke tages data "med over" og at alt det data som forskende har brugt bliver slettet.

Så, ja igen KU har det fulde ansvar for at GPDR og andre regler overholdes, og de skal sikkere sig at det er muligt. En hjemmel til at tage forskningsdata med person henførbare information med hjem, gør det bare meget svære at sikkere sig at alt er eller bliver slettet når ved kommende stopper.

Men da KU jo nok regnes som en privat organation, så kan det være at et par meget store børder kan hjælpe på det..

Og for dem der ikke siger at det ikke sker...

https://www.version2.dk/artikel/frankrigs-datatilsyn-giver-google-gdpr-b...

"

  • 3
  • 2
Log ind eller Opret konto for at kommentere