Beskyttelse af forskningsdata: Om styring af teknisk og menneskelig it-sikkerhed

Det er Uddannelses- og Forskningsministeriet, der har det overordnede ansvar for forskningen på de danske universiteter, men hvert universitet har selv ansvaret for, at it-sikkerheden på deres universitet er tilstrækkelig til at beskytte deres forskningsdata.

I januar 2019 skrev Rigsrevisionen en beretning om universiteternes beskyttelse af forskningsdata til Folketinget. Statsrevisorerne fandt det efterfølgende utilfredsstillende, at universiteterne ikke i tilstrækkelig grad beskytter forskningsdata.

Rigsrevisionen tog selv initiativ til undersøgelsen, der bygger på den it-revision, som Rigsrevisionen udførte i 2018. Undersøgelsen omfatter Københavns Universitet (KU), Aalborg Universitet (AAU), Aarhus Universitet (AU), Danmarks Tekniske Universitet (DTU) og Syddansk Universitet (SDU).

Når vi i Grant Thornton tager dette emne op, er det ikke for at viderebringe Rigsrevisionens konklusioner som et andet nyhedsbureau. Tanken er i stedet at operationalisere og give et eksempel på umuligheden i at have et it-sikkert miljø og tænke ”hele vejen rundt”, når der ikke er helt konkrete og fastsatte politikker, som alle i den øverste del af en organisation er enige om (og forstår). Det er essentielt, at der er fornødne procedurer, og måske nok også tekniske foranstaltninger, så organisationernes brugere (i dette tilfælde studerende) kan agere sikkert inden for de rammer, der er besluttet.

Stor økonomisk værdi

Ifølge Rigsrevisionen er der flere grunde til, at det er vigtigt, at universiteterne beskytter deres forskningsdata. Forskningsdata har potentielt stor økonomisk værdi, og i sidste ende kan tabte forskningsdata betyde tabte indtægter for den danske statskasse.

Universiteterne skal endvidere leve op til en række krav om datasikkerhed. De skal fx overholde gældende lovgivning, såsom databeskyttelsesforordningen, og eksterne samarbejdspartnere stiller ofte krav om sikker opbevaring af forskningsdata. Derudover stiller regionerne krav om sikker opbevaring af persondata, når der indgås aftaler om levering af sundhedsdata til forskning, og det er vigtigt for universiteterne at have et godt image i forhold til databeskyttelse for at kunne tiltrække samarbejdspartnere til finansiering og forskning.

Herudover har KU oplyst, at de i nogle tilfælde har indgået kontrakter med samarbejdspartnere, hvor utilstrækkelig beskyttelse af data kan resultere i ubegrænset økonomisk erstatningspligt.

Forskningsfrihed på bekostning af it-sikkerhed

Normalt foregår styring af it-sikkerhed ved, at der fastsættes politikker, retningslinjer og procedurer, der understøttes af teknologiske løsninger. Derudover foretages der opfølgninger for at sikre, at man har opnået det ønskede it-sikkerhedsniveau. Universiteterne skal imidlertid sikre forskernes forskningsfrihed, hvilket betyder, at forskerne skal have metodefrihed. Metodefrihed inden for forskning medfører bl.a., at forskerne skal kunne anvende det it-udstyr, de finder bedst egnet, hvorfor flere af universiteterne tilbyder deres forskere, at de selv kan anskaffe og tilslutte it-udstyr på universitetets netværk. It-udstyr, der ikke er kendt af it-afdelingerne, udgør imidlertid en sikkerhedsrisiko, hvis det ukendte udstyr ikke sikkerhedsopdateres. Dermed kan udstyret udgøre et problem ift. beskyttelse af forskningsdata.

Universiteternes risikoprofil i forhold til beskyttelse af forskningsdata

Rigsrevisionens undersøgelse er baseret på ISO 27001, anbefalinger fra det amerikanske Center for Internet Security (CIS) og Center for Cybersikkerhed.

ISO 27001, som de fem universiteter har valgt at følge, kræver bl.a., at ledelsen i en organisation skal sikre udarbejdelsen af ledelsesgodkendte politikker og retningslinjer for it-sikkerhed. Herudover skal ledelsen foretage en vurdering af trusler og risici ved anvendelsen af it.

I forbindelse med revisionen og kortlægningen af universiteternes risikoprofil i forhold til beskyttelse af forskningsdata har Rigsrevisionen undersøgt, hvorvidt universiteternes ledelser har vurderet risikoen for ukendt software eller hardware, og om universiteterne har fundet ukendt hardware på deres netværk. Desuden har Rigsrevisionen undersøgt, hvilke regler der gælder for anvendelse af hardware og software, herunder om forskerne har tilladelse til at medbringe og tilslutte egen hardware til universiteternes netværk, og om forskerne selv kan installere og/eller afvikle software. Herudover undersøgte Rigsrevisionen, om universiteterne har været udsat for it-sikkerhedshændelser, der har resulteret i kompromitteret forskningsdata.

Det er Rigsrevisionens vurdering, at det er umuligt for universiteterne at have en tilstrækkelig it-sikkerhed, hvis de ikke har overblik over it-udstyr, der anvendes på deres netværk; opdateret software; og nedskrevne, ledelsesgodkendte vurderinger af risici ved anvendelsen af it-udstyr.

”Bring your own device” – BYOD

Undersøgelsen viste bl.a., at selvom det ikke er alle universiteter, der tillader forskerne at medbringe eget it-udstyr, blev der fundet ukendt hardware på samtlige af de undersøgte universiteters netværk. Endvidere viste undersøgelsen, at der på flere universiteter har været eksempler på sikkerhedshændelser, der kan henføres til brugen af ukendt it-udstyr, og at flere af universiteternes ledelser ikke har forholdt sig til risikoen ved ukendt it-udstyr.

Eksempelvis har både KU og AU en ”bring your own device”-politik, der således tillader, at forskerne kan medbringe eget it-udstyr og tilslutte det universiteternes netværk. AAU har en politik, der fastsætter, at kun autoriserede brugere og autoriseret it-udstyr må have adgang til universitetets netværk. AAU har imidlertid oplyst, at politikken ikke bliver håndhævet i praksis. DTU har ikke en politik, der hverken tillader eller forbyder ukendt it-udstyr.

Københavns Universitet

I forbindelse med undersøgelsen valgte Rigsrevisionen at undersøge Københavns Universitet mere indgående for at finde ud af, hvordan KU helt konkret beskytter forskningsdata. Undersøgelsen viste, at KU ikke foretager beskyttelse af forskningsdata i tilstrækkelig grad, og at selvom KU har valgt at følge ISO 27001, har de ikke udarbejdet en trussels- eller risikovurdering, som ISO 27001 foreskriver.

Herudover har universitetets ledelse fastsat overordnede rammer for anvendelse og styring af it-udstyr, der af Rigsrevisionen anses for at være utilstrækkelige; herunder politikker, der i praksis overlader ansvaret for it-sikkerheden og beskyttelsen af forskningsdata til de enkelte forskere.

Styring af it-sikkerhed

ISO 27001 er en international sikkerhedsstandard, der har en risikobaseret tilgang til styring af informationssikkerhed. ISO-standarden tager udgangspunkt i den enkelte organisations risikoprofil og lægger op til, at organisationen implementerer netop de kontrolprocedurer, der passer til den. Kontrollerne tilpasses derved organisationens faktiske behov. Samtidig sikrer ISO 27001, at organisationen får inkluderet alle sikkerhedsaspekter, herunder cyber- og it-sikkerhed, i deres arbejde med informationssikkerhed.

ISO 27001 kunne også erstattes af andre governance-modeller, ligesom alt ikke er lykkeligt ved valg, implementering og effektiv brug af en governance-model. Compliance – eller efterlevelse – er dog langt bedre at synliggøre ved at bruge en anerkendt standard, hvor det er væsentligt lettere at demonstrere, at man har tænkt ”hele vejen rundt”.

Hos Grant Thornton tager vores erklæringsarbejde udgangspunkt i ISO27001/2, og vi har derfor stor erfaring med styring af it-sikkerhed. Vi noterer os, at universiteterne har valgt at følge ISO 27001, dog uden at leve op til de krav, som ISO-standarden fastsætter.

Herudover er vi enige i Rigsrevisionens vurdering af, at det ikke er muligt at opnå et tilstrækkeligt sikkerhedsniveau, hvis man ikke har overblik over det it-udstyr, der anvendes på ens netværk; opdateret software samt ledelsesgodkendte vurderinger af trusler og risici ved anvendelsen af it-udstyr.