Aarhus University Seal / Aarhus Universitets segl

AU investerer i forstærket IT-sikkerhed

Risikoen for it-angreb er stærkt stigende, og da Aarhus Universitet anvender mange it-systemer og opbevarer store mængder data digitalt, er der behov for, at universitetet opgraderer sit værn mod bl.a. tab og tyveri af data og mod it-nedbrud. Det bliver der nu afsat ekstra midler til.

16.11.2018 | Sys Christina Vestergaard

Aarhus Universitet optrapper indsatsen for at beskytte sine data. Arkivfoto: Lars Kruse.

Behovet for at sikre universitetets data – såvel forskningsdata som øvrige data – og nedbrud i IT-infrastrukturen på grund af udefra kommende it-angreb vokser. Aarhus Universitetets panser mod datatab, datalækager og nedbrud i vores IT-systemer skal derfor være tykkere. Aarhus Universitet investerer på den baggrund 32,7 millioner i at forbedre IT-sikkerheden i perioden 2018-2022, og fra og med 2023 er der sat 7,2 mio. kroner af årligt til en kontinuerlig opgradering. 

”Vi har fået belyst, at trusselsbilledet ændrer sig markant i disse år. Der er ikke mindst et udefrakommende pres på universitetets IT-sikkerhed, så en investering i at opgradere vores IT-sikkerhed er ikke et valg, vi har, men en nødvendighed”, siger universitetsdirektør Arnold Boon og tilføjer: 

”Vi skal passe endnu bedre på såvel vores forskningsdata som vores øvrige data, som er ’vores guld’, Samtidigt skal vi arbejde målrettet på, at vi alle tager ansvar for at passe på vores data og gør vores til at sikre os mod udefrakommende nedbrud i vores IT-infrastruktur”.

Høj risiko kræver større indsats

Center for CyberSikkerhed (CFCS) kategoriserer nu risikoen for som universitet at blive ramt af cyber-kriminalitet som høj. Aarhus Universitet har desuden fået lavet en specifik analyse af universitetets nuværende sikkerhedsniveau, sat op mod trusselsbilledet. IT-servicevirksomheden CGI, som står bag analysen, er på den baggrund kommet med en række anbefalinger til, hvordan universitetet bør hæve sikkerhedsniveauet. Universitetets revisionsfirma har også påpeget det i sine revisionsanmærkninger, at ikke alle enheder har et tilstrækkeligt sikkerhedsniveau. 

Arbejdet med IT-sikkerhed har længe været prioriteret, men indsatsen har vist sig ikke være tilstrækkelig, som tingene udvikler sig, påpeger vicedirektør Peter Bruun Nielsen, AU IT:

”Nu intensiverer vi vores sikkerhedsindsats. Vi ved, hvor vi skal sætte ind og er allerede i gang, og med den nye ekstrabevilling når vi op på et sikkerhedsniveau, som jeg mener, er nødvendigt for at ruste os mod det ændrede trusselsbillede. Der bliver tale om både nye IT-værktøjer samt en forbedring af vores sikkerhedsprocesser og optimering af vores egen adfærd, så vi ikke selv gør det nemt for ondsindede aktører at gennemføre cyber-angreb”.

Universitetets medarbejdere vil opleve skærpede sikkerhedskrav

”Vi bliver nødt til at indføre strammere krav, end vi har i dag. Vi skal have styr på, hvilke computere, smartphones, tablet, servere og andre enheder der tilgår vores netværk, og hvilken software der afvikles på dem. Vi kommer også til at stille hårdere krav til, at vores systemer løbende opdateres sikkerhedsmæssigt, for forældede systemer, der ikke ajourføres, er sårbare og disse sårbarheder, kan udnyttes”, forklarer Peter Bruun Nielsen. 

Aarhus Universitet foretog tidligere på året en rundspørge blandt medarbejdere for at vurdere kendskabet til universitetets regler for IT-sikkerhed. Konklusionen på den undersøgelse er, at der generelt er et manglende kendskab til reglerne, og der er behov for at udbrede kendskabet både på fakulteter og i administrationen. 

”Vi er kritisk afhængige af vores indsats for at beskytte vores data og sikre os mod nedbrud i IT-infrastrukturen. Her kan vi ikke gå på kompromis. Det er afgørende for at bedrive forskning både ud mod det omgivende samfund og som grundlag for vores undervisning på det høje internationale niveau, vi ligger på. Vi bliver også mødt af krav fra samarbejdspartnere om at kunne dokumentere vores it-sikkerhed, så på mange måder er denne investering tvingende nødvendig”, forklarer universitetsdirektør Arnold Boon.

 

Fakta:

Der bliver sat gang i tre overordnede indsatsområder for at højne IT-sikkerheden 

  1. For at AU kan beskytte sig effektivt mod udefrakommende trusler fremadrettet, bliver der investeret i værktøjer, der automatiseret og proaktivt kan overvåge universitetets IT-netværk og forhindre adgang fra enheder eller personer, som ikke er tilstrækkeligt sikrede eller autoriserede. 
  2. Vi opgraderer vores arbejde med it-sikkerhed, bl.a. årlige vurderinger af risici. Desuden skal alle institutter vurdere, hvordan man lokalt kan forstærke it-sikkerheden. Det er ledelsens ansvar, at der lokalt bliver fulgt op, og at alle medarbejdere er bekendt med, hvordan vi beskytter vores data. 
  3. Der skal arbejdes for, at medarbejdere ved, hvad de kan gøre for at højne IT-sikkerheden. F.eks. være opmærksom på phishing-mail eller svage password, som øger risikoen for cyberangreb med konsekvenser for hele AU. 
Forskning, Forskning, Alle grupper, Alle AU-enheder, Ledelsen, Administrativt