Landets fem største universiteter har fået efterset deres informationssikkerhed af Rigsrevisionen, der udtrykker en kritik. Aarhus Universitet hilser fokusområdet velkomment, da man er godt i gang med indsatsen for at højne sikkerheden på det organisatoriske og tekniske niveau allerede.

29.01.2019 | Malene Hjulmand Bundgaard

Foto: Unsplash

Et af de væsentligste kritikpunkter i Rigsrevisionens gennemgang af informationssikkerheden på landets universiteter er, at medarbejdere kan medbringe deres eget IT-udstyr. Aarhus Universitet har bevidst valgt at give sine forskere mulighed for at tilslutte egne PC’ere, hvis de efterlever kravene i informationssikkerhedspolitikken. Det har nogle forskere valgt at tage imod, mens langt de fleste anvender PC’ere, der er udleveret af AU’s IT-support.

Udover muligheden for at tilslutte egne PC’ere, har medarbejdere lokaladministratorrettigheder på både egne og alle udleverede PC’ere, hvilket giver mulighed for at hente og bruge den software, man finder nødvendigt til ens arbejde. Begge dele er valgt for at gøre det muligt for forskerne at bedrive deres forskning med frihed til at administrere deres digitale arbejdsredskaber selv, men naturligvis under ansvar og med pligt til at efterleve de krav, der er opsat om f.eks. at beskytte PC’en forsvarligt.

Universitetet har opsat en række tekniske foranstaltninger og sikkerhedsprotokoller, der har indflydelse på, hvilket udstyr der må anvendes.

”Vi tager naturligvis Rigsrevisionens konklusion til efterretning, men jeg noterer mig samtidig, at vi har igangsat en række tekniske og organisatoriske foranstaltninger, som vil højne vores informationssikkerhed. Vi ved desuden, at der er et behov for at udbrede kendskab til reglerne på området, både på fakulteter og i administrationen, og denne opgave vil jeg yderligere fokusere på i 2019,” siger universitetsdirektør Arnold Boon.

Han fastslår, at universitetet er kritisk afhængige af, at indsatsen for at beskytte værdifuld forskningsdata og sikring mod nedbrud i IT-infrastrukturen lykkes:

”Her kan vi ikke gå på kompromis. Derfor er der også planlagt investeringer i ny teknisk infrastruktur, der kan tages i brug i de kommende år. På den baggrund mener jeg ikke, at der er grund til at søsætte større initiativer nationalt, som der lægges op til i Rigsrevisionens rapport, fordi Aarhus Universitet selv er langt i arbejdet.”

Teknisk investering på AU

Tidligere er det vurderet af bl.a. Center for CyberSikkerhed (CFCS) og af en intern analyse af det nuværende sikkerhedsgrundlag, at risikoen for IT-angreb er stærkt stigende. Da Aarhus Universitet anvender mange IT-systemer og opbevarer store mængder data digitalt, er der behov for, at universitetet opgraderer sit værn mod bl.a. tab og tyveri af data og mod IT-nedbrud.

AU har allerede en række tekniske foranstaltninger på plads; blandt andet en såkaldt white-listing, der har til formål at analysere al software, der downloades eller afvikles på maskiner tilkoblet universitetets systemer. Det har vist sig meget effektivt og har betydet, at der ikke har været en negativ hændelse omhandlende software i tre år.

Det blev for nyligt besluttet af universitetsledelsen, at der investeres 32,7 millioner i at forbedre Informationssikkerheden i perioden 2018-2022. Endvidere vil der fra og med 2023 investeres 7,2 mio. kroner årligt til en kontinuerlig opgradering af informationssikkerheden. 

Der er altså overordnet tale om både en organisatorisk og en teknologisk indsats, der skal forøge sikkerhedsniveauet markant på universitetet den kommende tid, fastslår vicedirektør for AU IT, Peter Bruun Nielsen:

”Universitetet har planlagt at intensivere sikkerhedsindsatsen. Vi ved, hvor vi skal sætte ind og er allerede i gang. Med den nye tekniske infrastruktur når vi op på et sikkerhedsniveau, der er nødvendigt. Her vil vi supplere med et organisatorisk spor, der skal sikre, at de nye IT-værktøjer understøttes af en forbedring af vores sikkerhedsprocesser og optimering af vores egen adfærd.”

Der initieres tre overordnede indsatsområder for at højne informationssikkerheden. 

1. For at AU kan beskytte sig effektivt mod udefrakommende trusler fremadrettet, bliver der investeret i værktøjer, der automatiseret og proaktivt kan overvåge universitetets IT-netværk og forhindre adgang fra enheder eller personer, som ikke er tilstrækkeligt sikrede eller autoriserede.

2. Vi opgraderer vores arbejde med informationssikkerhed, bl.a. årlige vurderinger af risici. Desuden skal alle institutter vurdere, hvordan man lokalt kan forstærke informationssikkerheden. Det er ledelsens ansvar, at der lokalt bliver fulgt op, og at alle medarbejdere er bekendt med, hvordan vi beskytter vores data.

3. Der skal arbejdes for, at medarbejdere ved, hvad de kan gøre for at højne Informationssikkerheden. F.eks. være opmærksom på phishing-mail eller svage password, som øger risikoen for cyberangreb med konsekvenser for hele AU.