Sikkerhet

Riksrevisoren: Sensitive forsknings­data kan komme på avveie

Det er kritikkverdig at forskningsdata ikke er tilstrekkelig sikret mot angrep, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

Riksrevisor Karl Eirik Schjøtt-Pedersen
Publisert Sist oppdatert

Onsdag la Riksrevisjonen fram sin rapport om informasjonssikkerhet i forskningsinstitusjoner. De har blant annet «hacket» tre forskningsinstitusjoner under Kunnskapsdepartementet, eller gjennomført inntrengingstester som det heter i kontrollorganets egen språkdrakt,

FAKTA

Informasjonssikkerhet i forskning

    Riksrevisjonen har undersøkt hvordan forskningsvirksomheter under Kunnskapsdepartementet sikrer forskningsdata mot dataangrep, og hvordan departementet ivaretar sitt overordnede ansvar for informasjonssikkerhet i høyere utdannings- og forskningssektoren.

    Disse ti forskningsinstitusjonene er omfattet av undersøkelsen:

    • Nord universitet
    • Norges idrettshøgskole
    • NTNU
    • Norsk utenrikspolitisk institutt (NUPI)
    • Universitetet i Bergen
    • Universitetet i Oslo
    • Universitetet i Stavanger
    • Universitetet i Sørøst-Norge
    • UiT Norges arktiske universitet
    • Universitetssenteret på Svalbard AS (UNIS)

Kilde: Riksrevisjonen

— Testene ga oss full kontroll over IT-infrastruktur ved to av dem og kontroll over forskeres IT-utstyr og skylagring ved den tredje, forteller riksrevisor Karl Eirik Schjøtt-Pedersen i en pressemelding.

Riksrevisjonens folk fikk blant annet tilgang til all informasjon i to av institusjonenes nettverk, også sensitiv forskningsinformasjon. Ved en av disse fikk de denne kontrollen allerede første dag. 

— Denne tilgangen innebar at vi kunne administrere alle tilganger. Vi kunne tildele oss alle ønskede rettigheter og se all informasjon lagt i nettverket, inkludert sensitiv forskningsinformasjon. Med disse rettighetene kan man endre, slette eller kryptere all informasjon, dersom motiv er økonomisk vinning eller sabotasje, sa Schjøtt-Pedersen på pressekonferansen.

Kontrollen med forskeres IT-utstyr og skylagring ved den tredje institusjonen ga Riksrevisjonen mulighet til å hente ut eller manipulere lagret informasjon.

— Disse svakhetene er vanlige ved institusjoner vi har undersøkt. Det gir grunn til å tro at tester ved andre institusjoner ville gitt lignende resultater. Det viser at mange institusjoner ikke er godt nok beskyttet mot dataangrep, påpeker Schjøtt-Pedersen. 

Sjekket 10 institusjoner

Inntrengingstestene er del av Riksrevisjonens undersøkelse av informasjonssikkerheten ved 10 universiteter, høgskoler og andre forskningsinstitusjoner (se faktaboks).

Konklusjonene er nedslående:

  • Forskningsdata i forskningsvirksomhetene er ikke i tilstrekkelig grad sikret mot dataangrep
  • Virksomhetene har i stor grad lagt rammene for informasjonssikkerhetsarbeidet, men oppnår ikke ønsket sikkerhetsnivå på grunn av mangler i gjennomføringen
  • Kunnskapsdepartementet har justert virkemiddelbruken de siste årene, men det er en del utfordringer i sektoren som dagens virkemidler ikke treffer
  • Kunnskapsdepartementet får lite informasjon om den reelle sikkerhetstilstanden i sektoren, og risikoreduserende tiltak som er besluttet på sektornivå, blir ikke fulgt opp

Lite informasjon til departementet

Schjøtt-Pedersen påpeker at lite informasjon fra institusjonene kommer fram til Kunnskapsdepartementet, som har ansvaret for å avklare sentrale roller og ansvarsområder når det gjelder informasjonssikkerhet ved institusjonene.

Kunnskapsdepartementet har gitt Nokut ansvaret for å gjennomføre uavhengig kontroll med informasjonssikkerhet i sektoren. Det gjennomføres ikke noen slike kontroller. Og når forskningsinstitusjonene betaler private konsulentselskap for å teste sikkerheten, får ikke Kunnskapsdepartementet rapporter om dette. 

— Kunnskapsdepartementet mottar med andre ord lite systematisk info om de tekniske sikkerhetstiltakene som er iverksatt ute i virksomhetene, og virkningene av tiltak, sier Schjøtt-Pedersen. 

Denne kunnskapen er viktig for at man skal kunne måle effekten av målrettede krav og tiltak, og på den måten bedre sikkerheten. 

I tillegg viser rapporten blant annet manglende kontroll med brukerkontoer og tilgangsrettigheter, og svake krav til brukerautentisering. Det er for store svakheter i grunnleggende tekniske sikkerhetstiltak, oppsummerer riksrevisoren.

— Forskningsinstitusjoner har blitt bedre på behandling av personopplysninger. Når det gjelder beskyttelse av andre sensitive data har de kommet kortere, sier Karl Eirik Schjøtt-Pedersen.

Ble ikke oppdaget

Da Riksrevisjonen utførte inntrengingstester ved de tre institusjonene, gjorde de ingen forsøk på å skjule hva de drev på med. 

Ved to av institusjonene ble lite eller ingen informasjon om angrepet oppdaget, og ved den tredje institusjonen ble det oppdaget fjerde dagen etter Riksrevisjonen startet sine tester. 

Lite ble avdekket om angrepene fordi institusjonene hadde mangelfull overvåkning av sine systemer. 

— Det er viktig å si at de tre forskningsinstitusjoner har alle planlagt og gjennomført en rekke tiltak, som øker deres sikkerhet i etterkant av våre tester, sier Schjøtt-Pedersen. 

Kunnskapssektoren kan være et interessant mål for dataangrep på grunn av dyrebare forskningsdata. Nylig skrev Khrono om it-sikkerhetsarbeid i UH-sektoren, i lys av løsepengeviruset som rammet British Library og lammet driften i nesten tre måneder.

Bjørn Kopperud, som leder Cybersikkerhetssenter for forskning og utdanning (eduCSC) hos Sikt, uttalte tidligere denne uken at det var gjennomført vellykkede løsepengevirus i UH-sektoren i Norge det siste halve året. Det som reddet ofrene var tilgang på backup av filer.

I en risiko- og tilstandsvurdering fra 2021, skrev HK-dir at risikoen for skadevare, og da spesielt løsepengevirus, og kompromitterte kontoer er høy innenfor forsknings- og utdanningssektoren. 

Powered by Labrador CMS