– Ekstra ille med IT-glipp ved en av landets fremste utdanningsinstitusjoner på IT-sikkerhet

Av Liv Rønnaug Lilleåsen

Publisert 11. april 2018

Faglærer på IT-sikkerhet reagerer på at en rekke e-poster med personopplysninger har ligget ute på NTNU Gjøviks hjemmesider. Universitetet er nå i dialog med Datatilsynet.

Fredag ble det avdekket at over 5000 e-poster mellom eksterne institusjoner, forskere, studenter og ansatte hadde vært lett tilgjengelig på nett via søkemotoren Google. Mange av dem inneholder personopplysninger, vedlegg og ukryptert informasjon.

Det var Dagbladet som først omtalte saken.

Over 500 av e-postene stammer fra et biometri-forskningsprosjekt som ligger under det nasjonale senteret for forskning og utdanning innen cyber- og informasjonssikkerhet, CCIS ved NTNU i Gjøvik.

En slik glipp bør ikke skje, mener Tom Drange, lærer og fagansvarlig for nettverk og IT-sikkerhet ved Noroff fagskole.

– Mitt inntrykk er at dette føles ekstra ille når det skjer med en av landets fremste utdanningsinstitusjoner på IT-sikkerhet. Da burde man tatt ekstra hensyn og vært ekstra varsom, sier han til Forskerforum.

Tom Drange, Noroff Foto: Noroff

Tom Drange, lærer og fagansvarlig for nettverk og IT-sikkerhet ved Noroff fagskole. Foto: Noroff

– Det er helt tydelig at en del e-poster har ligget åpent ute på nettet med informasjon som kanskje ikke burde ikke vært tilgjengelig i det hele tatt.

I dialog med Datatilsynet

Biometri-prosjektet ved universitetet har mottatt 23 millioner kroner i offentlige støtte fra Forskningsrådet, og har som mål å utvikle framtidas identifisering av mennesker for adgangskontroll, betalingsløsninger og på grensepasseringer.

Flere av listene på serveren som er knyttet til cybersikkerhet har arkiver som er passordbeskyttet. Men biometri-prosjektet var ikke beskyttet slik, ifølge Dagbladet.

Det var sikkerhetseksperter ved SecurityLab ved Universitetet i Oslo som reagerte på de mange søkbare e-postene og varslet universitetet. E-postlista ble raskt stengt.

Fakta

CCIS, NTNU Gjøvik:

  • Senteret har som mål å øke Norges evne til å møte digitale sikkerhetsutfordringer og er et samarbeid mellom NTNU, statlige sikkerhetsinstitusjoner og private selskaper.
  • Disse er blant samarbeidspartnerne: PST, Forsvaret, Kripos, Nasjonal sikkerhetsmyndighet, Telenor, IBM og kraftselskaper med ansvar for kritisk infrastruktur. 
  • Biometri, cyberforsvar, kritisk infrastruktur og digital informsjonshåndtering er blant forskningsområdene.

Datatilsynet er nå i kontakt med NTNU i Gjøvik, og personvernombudet skal sammen med seksjonslederen for digital sikkerhet, Stian Husemoen vurdere om det skal sendes en avviksmelding.

Husemoen mener saken ikke er alvorlig, men understreker at den er svært uheldig.

– Basert på antall personer og innhold kan det neppe klassifiseres som alvorlig, men fordi man ikke har kommunisert tydelig nok til medlemmene at tjenesten var åpen, så er det definitivt uheldig.

Datatilsynet: –  Forventer feilfrihet

Antall avviksmeldinger på personvern er økende, viser tall fra Datatilsynet. Tallene har steget jevnt de fire siste årene, hvor antall behandlede saker i 2014 lå på 116 – mot 349 i fjor.

Og seniorrådgiver Eirin Oda Lauvset, sier de svært ofte mottar henvendelser på saker om personvern.

Eirin Oda Lauvset, Datatilsynet. Foto: Åsa Mikkelsen

Eirin Oda Lauvset, seniorrådgiver i Datatilsynet. Foto: Åsa Mikkelsen

– Slik jeg leser saken så er ikke dette noen skandale, men det som gjør det til en stor sak er at dette skjer i et miljø som nettopp skal håndtere IT-sikkerhet. Da forventer man at det er feilfritt. Det er først når vi mottar en avviksmelding at vi kan gå nærmere inn på å se om dette er et brudd på datasikkerheten eller ikke.

Hun har klare råd til forskningsmiljø ved universiteter og høgskoler for å unngå slike sikkerhetsglipper i framtida.

– Det er institusjonene sitt ansvar å ha god intern kontroll og tydelige rutiner for hvordan forskningsmaterialet skal behandles. Det må være strømlinjeformet, slik at forskeren slipper å ta stilling til tekniske løsninger og kan kun tenke på forskningen. Men avvik kan skje og det må man akseptere, men det viktigste er at man oppdager det og sørger for at det ikke skjer igjen, sier Lauvset.

Gjennomgår rutinene

Husemoen ved NTNU Gjøvik forteller at e-posttjenesten henger igjen fra Høgskolen i Gjøvik, og at den skal fases ut og slås av ved første anledning.

– Tjenesten er i utgangspunktet laget for å være åpen, og man spesifiserte ved bestilling om man ønsket å ha den åpen eller lukket. De som administrerer listen kan også selv sette listen lukket eller åpen. Medlemmene av listene får også en automatisk påminnelse hver måned om at de er medlemmer og en link til arkivet. Denne meldingen nok ikke tydelig nok.

Stian Husemoen, NTNU Gjøvik (Foto: Øystein Nordås)

Stian Husemoen, seksjonsleder for digital sikkerhet ved NTNU Gjøvik. Foto: Øystein Nordås

Nå går de gjennom rutinene på nytt.

– Vi implementerer i disse dager et nytt styringsystem for informasjonsikkerhet, og der har vi tydelige retningslinjer for klassifisering av informasjon. Det vil gjøre det enklere for prosjektledere å ta en avgjørelse om noe bør være lukket eller åpent.

Vanskelig å sikre seg mot

Drange ved Noroff mener saken ikke vil få store konsekvenser og at dette ikke er et brudd på datasikkerheten, slik professor Jøsang ved Universitetet i Oslo antyder.

Han understreker også at dette er vanskelig å sikre seg mot.

– Vi som jobber med utdanning og forskning rundt IT-sikkerhet, er også bare mennesker og det kan glippe. Det er vanskelig å ta høyde for absolutt alle tenkelige og utenkelige situasjoner, sier Drange.

– Det er litt med IT-sikkerhet som med sykkeltyver – vil en tyv virkelig ha sykkelen din, vil han ta den uansett hva slags virkemiddel du bruker for å forhindre det. Vil angripere virkelig ha informasjon om noe, så vil de til slutt få tak i den og dette er vanskelig å beskytte seg mot.

I løpet av mai kommer et nytt regelverk for personvern på plass, en ny forordning fra EU. Den legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll fra Datatilsynet – noe både Drange i Noroff og Lauvset i Datatilsynet er svært fornøyde med.

– Hva som defineres som et brudd på datasikkerheten er i enkelte tilfeller vanskelig å avgjøre, så derfor er det veldig bra vi får på plass dette for at slike situasjoner ikke skjer igjen, Drange.

– Det er kjempebra og er absolutt et behov i vår digitale hverdag, hvor det er mye som skjer og vanskelig å holde oversikt. Den nye forordningen styrker rettighetene våre, den har tydeligere retningslinjer og tvinger virksomheter til å være mer åpne om hvordan ting brukes og behandles, sier Lauvset.