‘Danske universiteter er sårbare for hackerangreb’ 
Artikel l 31.01.2018

Danske universiteter er sårbare for hackerangreb

A
Aktuelt
Artikel l 31.01.2018
5 min
Illustration: Louise Thrane Jensen
Fremmede stater forsøger hver uge at opsnappe danske forskningsdata via ulovlige it-angreb. Forskere bør i højere grad bruge lukkede systemer i deres arbejde, anbefaler chef for universiteternes sikkerhedstjeneste.

Skrevet af

Thomas Bech Hansen

Freelancejournalist

Fildeling og mailforsendelser via internettjenester som Dropbox og Gmail kan umiddelbart virke almindeligt og harmløst. Men forskere og andre ansatte ved universiteterne skal undgå kommercielle onlinetjenester. De risikerer nemlig at åbne døren for it-kriminelle, der vil have fingrene i dansk forskning.

»Vi ser mange eksempler på, at forskere får franarret deres loginoplysninger. Det sker næsten hver uge, og vi har en stærk formodning om, at forskningsdata kopieres og benyttes af fremmede stater. Risikoen er størst, når de ansatte bruger systemer uden om universitetets interne mailsystem og netværksdrev,« siger Henrik Larsen, chef for DKCERT, der overvåger sikkerheden på forskningsnettet og arbejder for øget it-sikkerhed i uddannelses- og forskningssektoren.

Kan koste universiteter dyrt

Når først hackeren har fået adgang til systemet, er det vanskeligt at spore den kriminelle og eventuelt kopieret materiale. Derfor er der heller ingen konkrete eksempler på, at dansk forskning er blevet direkte anvendt af it-kriminelle. Uanset om gerningsmændene bruger de data, de finder, kan en lækage af følsomme oplysninger koste dyrt for universiteterne. Efter EU’s nye databeskyttelseslov, der træder i kraft 25. maj 2018, risikerer universiteterne således at indkassere en bøde på op til 4 % af driftsbevillingen, dog højest 16 millioner kroner, hvis personfølsomme data slipper ud. Der kan også være konsekvenser for den enkelte medarbejder.

»Der kan næppe blive juridiske konsekvenser for den enkelte medarbejder, men universitetet som institution kan ifalde en betydelig bøde. Især i et sådant tilfælde kan man selvfølgelig sagtens forestille sig, at der kan være personalemæssige konsekvenser for den medarbejder, der ved uhensigtsmæssig adfærd og overtrædelse af universitetets regler og politikker har udløst hændelsen,« siger Henrik Larsen.

Hackertruslen mod universiteterne er ifølge DKCERT og Forsvarets Center for Cybersikkerhed ’Meget høj’. Især asiatiske landes regeringer, med Kina i spidsen, formodes at være ude efter dansk forskning. I 2014 registrerede blandt andre Roskilde Universitet et koordineret angreb fra Rusland, Nigeria og Kina, der medførte blokering af en række IP-adresser fra de pågældende lande. Angrebene sker ifølge Forsvarets Efterretningstjeneste for at aflure forskningsresultater i et forsøg på at styrke egen konkurrenceevne og aflure den danske regerings dagsorden. Bedre uddannelse og øget brug af egne, lukkede systemer skal øge it-sikkerheden på danske universiteter.

»Traditionen på danske universiteter er, at man deler sit arbejde. Men det er meget vigtigt at være opmærksom på, hvem man deler med. Generelt er vi ikke gode nok til at benytte universiteternes lukkede systemer,« siger Henrik Larsen. Han henviser desuden til de seks basale it-sikkerhedsråd fra kampagnen ’Vi holder hackerne ude’, der skal hjælpe danskerne med at øge deres it-sikkerhed, og som er blevet til i samarbejde mellem Digitaliseringsstyrelsen, KL, Danske Regioner, Finans Danmark, e-mærket og Forbrugerrådet Tænk.

Det vil hackerne have

Fremmede stater angriber dansk forskning via internettet for at styrke egen konkurrenceevne og aflure den danske regerings dagsorden. Hackerne er særligt interesserede i forskning om:

– Teknologi, for eksempel droneforskning
– Arktis
– Forsvars- og sikkerhedspolitik
– Konflikthåndtering
– Territoriale grænser
– NATO
– Militære mål
– Metoder til påvirkning af offentlig meningsdannelse.

Kilde: Forsvarets Center for Cybersikkerhed

Ansatte er lydhøre

På Roskilde Universitet læner man sig op ad DKCERTs vurdering af trusselsniveauet. Universitetets it-sikkerhedsfolk ser ofte forsøg på såkaldt phishing, hvor den kriminelle søger at kopiere den ansattes brugernavn og adgangskode for at sende spam eller måske rode i vedkommendes mailarkiv.

”Når en mailkonto er kompromitteret, får vi en alarm ved de typer af misbrug, der kan måles. Herefter lukker vi straks kontoen og hjælper den ansatte med at forstå, hvad der gik galt. Folk er generelt lydhøre og gode til at forstå alvoren. De kommer også til os med spørgsmål,” siger informationssikkerhedskonsulent ved RUC IT, Mads Tolderlund. Han anbefaler, at de ansatte udelukkende kommunikerer indbyrdes via RUC-mail og gemmer data på RUC’s netværksdrev eller deres RUC-tildelte OneDrive, som understøttes via en særlig aftale med Microsoft.

”Forbrugerrettede onlinetjenester bør undgås, og skal man sende følsomme oplysninger til en ekstern modtager, skal det ske via en krypteret mail, foruden at man skal overholde gældende persondatalovgivning,” tilføjer Mads Tolderlund.

Persondatalov kræver it-sikkerhed

Bedre sikkerhed har – udover at holde it-kriminelle fra døren – netop den fordel, at det imødekommer EU’s databeskyttelseslov, som danske myndigheder begynder at håndhæve fra 25. maj 2018. DKCERT opfordrer universiteterne til at gennemgå og dokumentere alle former for persondata, organisationen har i hænderne – alt fra adressekartoteker og brug af overvågningskameraer til forskningsinterview og eksamenspapirer. Derefter kommer arbejdsgangene, der skal sikre, at universitetet løbende kan ajourføre og bevare overblikket over mængden af data.

”Der er et stort overlap mellem persondataloven og sikring mod hackerangreb, fordi forskningsdata ofte indeholder persondata, eksempelvis i form af helbredsoplysninger, statistik og oplysninger om økonomi. Det er mange af de samme organisatoriske og tekniske tiltag, der skal til for at forberede sig til persondataloven, som gælder, når det handler om it-sikkerhed,” forklarer Henrik Larsen.

Med den nye lov har universiteterne pligt til at underrette de involverede personer, hvis oplysninger er kompromitteret, og indberette hændelserne til Datatilsynet. Det gælder alle typer af sikkerhedsbrud – også hackerangreb. Så måske kan flere danskere vente sig en besked, næste gang Kina kigger med.

Sådan holder du hackerne ude

– Brug universitetets interne mailsystem og netværksdrev.
– Benyt krypteret mail ved følsomme, eksterne forsendelser.
– Slå to-trins-login til, og lav dit kodeord længere.
– Opdatér dine programmer.
– Tag sikkerhedskopier.
– Reagér kun på sikre beskeder.
– Tjek altid ’Om os’-siden, når du handler online.
– Hold dit NemID for dig selv.

Kilde: DKCERT og Viholderhackerneude.dk