Slik sikrar dei seg mot at nokon stel forskningsresultata
LUKK

Digital tryggleik:

Slik sikrar dei seg mot at nokon stel forskningsresultata

Av Kjerstin Gjengedal

Publisert 2. januar 2025 kl. 09:33

– Denne datamaskina handterer mykje forskingsdata. Før kunne vi bruke programvare som gav oss tilgang til maskina frå våre eigne kontor, men det er det slutt med av tryggleiksomsyn, seier Øyvind Halskau.

– Mine digitale verdiar er nok først og fremst forskingsresultata, som ligg lagra på serverar drifta av Universitetet i Bergen, seier Øyvind Halskau, professor ved Institutt for biovitskap.

– Det viktigaste for meg er at dei er trygge. At ikkje heile forskarlivet mitt går tapt dersom nokon stel laptopen min.

Han har ikkje opplevd at data har gått tapt, men må stadig parere ulike former for svindelforsøk.

– Eg er til dømes blitt oppringd av nokon som utgav seg for å vere frå IT-avdelinga, og som ville ha tilgang til pc-en min under dekke av at dei ville hjelpe meg med noko. Det tilfellet var heldigvis lett å gjennomskode, seier han.

Ikkje lenger naive

Universitet og høgskular sit på store digitale verdiar som dei ofte ikkje har full oversikt over sjølve. Seinast i januar var Riksrevisjonen ute og kritiserte sektoren for å vere utilstrekkeleg sikra mot dataåtak.

Men det var verre før, meiner IT-direktør ved Universitetet i Bergen (UiB), Tore Burheim.

– Eg opplever at UH-sektoren har endra seg mykje dei siste åra. For nokre år sidan vart sektoren omtala som «naiv» av slike som Etterretningstenesta og Nasjonalt tryggingsorgan. Det høyrer eg ikkje lenger, seier han.

Fakta
Oktober er den årvisse nasjonale tryggleiksmånaden, som har til føremål å auke kunnskapen om digital informasjonstryggleik både hos folk flest og hos verksemder. I år er «digitale verdiar» hovudtema for aktivitetane.
– Tettare samarbeid mellom IT-miljøet og fagmiljøa har vore eit nøkkelpunkt i tryggleikssatsinga, seier Tore Burheim. Foto: UiB

Ved UiB nyttar IT-avdelinga oktober til å skape merksemd om digital informasjonstryggleik gjennom ei rekkje føredrag. Men viktigare er ei større satsing på IT-tryggleik som er vedteken i styret, og som mellom anna medfører ei styrking av den sentrale IT-avdelinga.

– Satsinga omfattar også korleis vi leverer IT-tenester, særleg til forsking, seier Burheim.

Han oppsummerer dei digitale verdiane som alt institusjonen vil trygge, frå forskingsdata og administrative data til IT-system og den digitale infrastrukturen. Verdivurderingar skal kartleggje kor verdifulle dei ulike elementa er.

– Det er stor skilnad på supersensitive forskings- og persondata i den eine enden og opne data i den andre. For opne data handlar trygging mest om at dei må vere tilgjengelege, og at dei har integritet, altså at ingen kan forandre på dei og så tvil om dei er pålitelege, og dermed så tvil om truverdet til universitetet, seier han.

Kan bli brukt som bruhovud

Kva type digitale trugsmål er forskingsinstitusjonar spesielt utsette for?

– Éin ting er folk som har lyst til å stele data for til dømes å drive utpressing. Det kan skje på alle nivå frå enkeltforskarar sine pc-ar til dei sentrale systema våre. Men der eg trur vi er særleg interessante, er som bruhovud for åtak mot andre, seier Burheim og forklarer:

– Universitet er store og opne institusjonar med mykje legitim datatrafikk mot mange aktørar i resten av verda. Ein statleg eller kriminell aktør kan prøve å ta over ein server, gjerne i eit forskingsmiljø, og bruke den til å gå til åtak mot andre. Ingen blir uroa over å sjå datatrafikk som tilsynelatande kjem frå UiB, og det truverdet kan vondsinna aktørar ønskje å utnytte.

– Instituttet har lite eller inga lokal datalagring lenger. Dei ligg i sentrale system med backup, seier Kjetil Ullaland. Foto: UiB

Som del av tryggleikssatsinga skal UiB skaffe seg betre oversikt over dei digitale verdiane sine. Ved Institutt for fysikk og teknologi er dei så vidt i gang med ei slik verdivurdering, fortel instituttleiar Kjetil Ullaland.

– Vi har starta med nokre forskingsdata. Til dømes nyttar romfysikkmiljøet rådata frå navigasjonssatellittar til å rekne ut magnetfeltet rundt jorda i samband med solstormar og slikt. Dei blir i dag lagra på UiB si teneste for langtidslagring.

Rådatasetta blir bearbeidde og analyserte, og desse nye datasetta blir lagra i det opne nasjonale dataarkivet DataverseNO. Ein del av verdivurderinga er å sjå på om data skal klassifiserast som opne, som avgrensa, som fortrulege eller som strengt fortrulege.

– Hos oss er dei fleste data opne. Men vurderinga omfattar også kva som skjer dersom noko går gale med sjølve lagringa, til dømes hos DataverseNO. Kan vi då hente dei fram att? For oss er den viktigaste konsekvensen av å miste data at det går ut over forskinga, det medfører tap av tid og vitskapleg prestisje, seier Ullaland.

Tryggleik mot fridom

Opp gjennom åra har det vore mange lokale lagringsløysingar ved UiB. Ein del av tryggleikssatsinga har difor gått ut på at alle fagmiljø har fått besøk frå IT-avdelinga for å gå gjennom kva dei har, og korleis det blir drifta, slik at IT-avdelinga kan syte for trygg drift og forvalting.

– Det tekniske omfanget varierer veldig. Nokre har hatt store forskingsinfrastrukturar som vi må ta tak i, det gjeld særleg dei labtunge miljøa. Nokre har vore svært medvitne, andre mindre, seier IT-direktør Burheim.

Universitet og høgskular er freistande mål for dataåtak, og Øyvind Halskau har merka auka tryggleigstiltak. Foto: Kjerstin Gjengedal.

Øyvind Halskau kjenner seg stort sett trygg på at verdiane hans er sikra, sjølv om han stadig må vere på vakt mot personlege svindelforsøk.

– Det har stort sett gått bra, og IT-avdelinga tek stadig nye grep for å trygge informasjonen vår. Men nokre gonger kan slike grep også vere irriterande, seier han.

Til dømes finst det programvare ein kan installere på eigen pc for å gje samarbeidspartnarar tilgang til pc-en, slik at samarbeid blir enklare. Men det får han ikkje lenger lov til å bruke. Risikoen for at nokon får tilgang som ikkje skulle hatt det, er for stor.

Ein annan ting er at det er blitt mykje vanskelegare å få administratorrett til eigen pc, noko som gjer visse prosessar vanskelegare.

– Ein kan søke om mellombels administratorrett, men ein må gjere det heile tida, og det er veldig tungvint. Slikt irriterer meg, men ein må heile tida gjere avvegingar mellom det som er trygt, og det som er praktisk, seier Halskau.