To AU-forskere blev kædet sammen med mistanke om angreb på kritiske it-systemer

I begyndelsen af august modtog alle medarbejdere på Institut for Molekylærbiologi og Genetik en mail fra instituttet med tre overvågningsbilleder af to personer på en gang i AU IT. Medarbejderne blev bedt om at melde tilbage, hvis de kunne genkende personerne på billederne. I AU IT var man nemlig blevet bekymret over, om de to personer planlagde et muligt angreb på følsomme oplysninger. Sagen var blevet anmeldt til politiet, fremgik det af mailen.

Få minutter efter mailen var afsendt, tikkede et svar ind – også sendt til alle – fra en lektor ved netop Institut for Molekylærbiologi og Genetik. Han kunne oplyse, at det var ham og hans kollega på overvågningsbillederne, og at de var gået ind i IT-afdelingen for at finde et bestemt kabel til noget udstyr. Instituttet befinder sig i samme bygning som AU IT. Derinde havde de talt med en medarbejder, kunne han oplyse. Lektoren undrede sig nu over, hvorfor det var mistænkeligt, at de befandt sig der, og hvorfor der ikke blev spurgt rundt, inden det blev anmeldt til politiet, som han skrev i sin mail. 

Lukket ind ved en fejl

Flere medarbejdere på instituttet har undret sig over det samme, viser mails, Omnibus har set. Hvordan endte det med, at to forskere på AU kortvarigt blev kædet sammen med en mistanke om et muligt IT-angreb, idet overvågningsbilleder af dem blev delt til alle på instituttet i en mail om bekymring om et muligt angreb på følsomme oplysninger hos AU IT?

Svarene skal findes hos vicedirektøren for AU IT, Peter Bruun Nielsen. Han forklarer, hvad der skete i situationen, og hvorfor forløbet blev, som det gjorde. 

De to forskere vakte mistanke, fordi det i sig selv er mistænkeligt, at to udefrakommende uledsaget befinder sig i AU IT, forklarer Peter Bruun Nielsen. Det er især tilfældet på 2. sal, hvor de kritiske IT-systemer befinder sig. Han fortæller, at AU IT aldrig har været ude for en episode som denne. 

De to forskere blev ved en fejl lukket ind på den ellers aflåste 2. sal. De havde ringet på dørtelefonen og kom igennem til IT-supporten på 1. sal. Da IT-medarbejderen, som samtidig var i færd med at betjene supporttelefonen, så, at der tilfældigvis stod to personer foran døren på 1. sal, troede medarbejderen fejlagtigt, at det var dem, der havde ringet på, og åbnede derfor døren. Det åbnede døren på 2. sal, hvor de to forskere havde ringet på. De to forskere gik på egen hånd rundt på de i sommerperioden tomme gange, indtil de kom forbi et kontor, hvor der sad en medarbejder. Medarbejderen forklarede dem, at de ikke måtte være i afdelingen, da der ikke er adgang for udefrakommende, og han tilbød at vise dem ud. Medarbejderen, der i situationen ikke fik bedt dem om at identificere sig, blev dog efterfølgende mistænksom over, hvem de to var, og hvorfor de var gået ind i afdelingen. 

Herefter begyndte et større researcharbejde for at finde ud af, hvem de var. Af hensyn til databeskyttelse må AU IT ikke selv tilgå videoovervågningen, men det må en betroet medarbejder hos AU Bygninger. Af videoovervågningen fremgår det, at de to forskere forsvinder fra billedet i halvandet minut, mens de befinder sig tæt på det lokale, hvor der arbejdes med kritiske systemer. Det vakte igen mistanke. Sagen blev meldt til politiet, fordi AU skal have tilladelse af politiet, hvis andre skal se videoovervågningen, forklarer vicedirektør Peter Bruun Nielsen. Da en medarbejder på instituttet efterfølgende så overvågningsbillederne og ikke kunne genkende de to forskere, vurderede Peter Bruun Nielsen, at man måtte gå bredere ud. På dette tidspunkt var der gået to dage fra mistanken opstod. Informationssikkerhedschefen var inde over, og universitetsdirektøren var også blevet oplyst om sagen. 

”Vi gjorde en ihærdig indsats for at få identificeret de to personer, inden det blev besluttet at rundsende billederne. De fleste i ledergruppen på instituttet var på ferie, og vi kunne derfor ikke forvente at få et hurtigt svar fra lederne. Jeg vurderede, at det var nødvendigt at sende billederne rundt til alle på instituttet for at få en hurtig afklaring,” siger Peter Bruun Nielsen og uddyber:

”Jeg kan sagtens forstå, det kan virke voldsomt, men vi er nødt til at finde ud af, hvem det er. I bagklogskabens ulideligt klare lys kunne jeg da godt have ønsket mig, at det ikke blev nødvendigt. Men jeg kan ikke afvise, vi en anden gang kan stå i en lignende situation. For det her er alvorligt, og vi tager sikkerhed meget alvorligt,” siger Peter Bruun Nielsen. 

International baggrund 

Episoden på AU rammer ned i en tid, hvor der er et øget fokus på sikkerhed på universiteterne og truslen fra for eksempel spionage. Siden november sidste år har Rusland, Iran og Kina været udpeget af Politiets Efterretningstjeneste (PET) som risikolande og en række retningslinjer er i den forbindelse blevet indført på AU. PET igangsatte sidste år en kampagne på landets universiteter for at gøre forskere og ansatte opmærksomme på, at der er en risiko for, at fremmede stater spionerer på danske universiteter. Mange af kampagnens plakater hænger fortsat på universitetets gange og døre, for eksempel med teksten: ”Din forskning kan gøre en stor forskel. Også i de forkerte hænder.” Kampagnen mødte kritik fra flere universitetsansatte, og på Københavns Universitet kaldte 181 kampagnen for ”eksplicit racistisk”. 

De to forskere, der figurerede på de rundsendte overvågningsbilleder, har begge international baggrund. Det, at netop internationale forskere er blevet kædet sammen med mistanken om IT-angreb, har affødt kritik blandt medarbejdere fra Institut for Molekylærbiologi og Genetik. I mails sendt til alle på instituttet er det blandt andet blevet kaldt racistisk og xenofobisk. 

At det skulle være tilfældet, afviser Peter Bruun Nielsen. 

”Det kan jeg klart afvise. Jeg vil ikke på nogen måde forklejne folks følelser, men jeg vil sige fuldstændig kategorisk, at vi ville have handlet på præcis samme måde, uanset hvem der havde været på overvågningsbillederne,” siger han.

Peter Bruun Nielsen påpeger, at man ikke kendte til hverken de to forskeres baggrund eller nationalitet, før man fandt ud af, hvem de var. Alle, der ikke er ledsaget, vil vække mistanke, hvis de færdes i det specifikke område af AU IT.

”Det er et sikkerhedsbrud, og det blev behandlet som et sikkerhedsbrud. Uanset hvordan folk ser ud, og hvilket sprog de taler, skal vi være på vagt. Jeg holder meget af, at universitetet er et åbent sted, og jeg forstår godt, at åbenhed er en forudsætning for, at forskningen kan trives, men vi er nødt til at være på vagt, fordi vi sidder med meget kritiske ting,” siger vicedirektøren. 

“De har naturligvis oplevet en stærk reaktion på hændelsen”

Peter Bruun Nielsen har i en mail til instituttets medarbejdere forklaret, hvorfor situationen blev håndteret, som det var tilfældet. Vicedirektøren har desuden mødtes med de to forskere, som har været påvirket af, at de blev mistænkeliggjort. 

Mens lektoren har været på Aarhus Universitet i en del år, har han siddet et andet sted på universitetet, og derfor kunne medarbejderen på instituttet, som så overvågningsbillederne, ikke genkende forskeren. Den anden forsker er helt ny på universitetet. 

Lektoren, der ikke ønsker sit navn frem i artiklen, skriver i en mail til Omnibus:

”Det var en uheldig, men undgåelig fejl. Jeg er optimistisk om, at ledelsen vil tage de nødvendige skridt for at sikre sig, at følsomme emner som dette i fremtiden vil blive behandlet mere diskret,” lyder det fra lektoren, der ikke ønsker at kommentere yderligere på sagen.

Institutleder på Institut for Molekylærbiologi og Genetik Claus Oxvig er ked af, at hændelsen affødte, at der blev sendt overvågningsbilleder rundt til alle, forklarer han.

”Det er samtidig vigtigt at holde fast i, at ingen reagerede med den hensigt at såre andre. Mange har talt med de direkte og indirekte berørte – både for at beklage og undskylde hændelsen og for at etablere en forståelse for, hvad der skete. De to medarbejdere, der var direkte berørt, har naturligvis oplevet en stærk reaktion på hændelsen, og efterfølgende har adskillige udvist sympati på skrift. Hændelsen har vist, at vi kerer os om hinanden – det er en vigtig og positiv vinkel på sagen midt i tristheden,” siger Claus Oxvig. 

Han afviser ligesom vicedirektøren, at hændelsesforløbet skulle have noget med forskernes baggrund at gøre. 

Procedurer skal strammes op

Selv om det viste sig at være to AU-forskere, der blot ledte efter et kabel, kunne det potentielt have været folk uden for universitetet med onde hensigter, som var kommet ind på afdelingen. Og vicedirektør Peter Bruun Nielsen anerkender, at der er sket en række fejl i håndteringen af hændelsen, hvilket nu får AU IT til at se nærmere på sine procedurer, fortæller han. Afdelingen skal finde ud af, hvordan den undgår, at personer igen kommer uledsaget ind. 

”Forløbet giver anledning til, at vi skal stramme op på vores procedurer. Vi skal i ledelsen indskærpe, at vores medarbejdere skal bede udefrakommende om at identificere sig, og vi skal fremadrettet forhindre, at man ved en fejl kan komme til at lukke op for udefrakommende på 2. sal. Desuden skal vi se på, om vores skiltning er tydelig nok. Udefrakommende må ikke være i tvivl om, at de ikke må komme ind uledsaget,” siger Peter Bruun Nielsen, som har bedt informationssikkerhedschefen om at komme med forslag til skærpelser af procedurer.

”Medarbejderen burde – og det er noget af det, vi skal have arbejdet med – have bedt dem om at identificere sig. Det skete ikke, og det har vi som ledelse ikke været tydelige nok omkring, og det skal vi til at være,” siger vicedirektøren. 

Desuden skal den efterfølgende proces, efter at en eventuel mistanke opstår, gennemgås. 

”Det skal vi også have formaliseret bedre. For eksempel hvad der udløser, at vi beder om overvågningsbilleder. Det er vi ikke skarpe på,” siger Peter Bruun Nielsen. 

Han gentager, at der ikke tidligere har været lignende hændelser i afdelingen, og at det derfor først er nu, man er blevet opmærksom på manglerne. 

Vicedirektøren anerkender desuden, at der kan være brug for at gøre universitetets ansatte opmærksomme på procedurerne. For eksempel at der skal foreligge politianmeldelse, før man kan få adgang til billeder fra overvågningen. 

Også på Institut for Molekylærbiologi og Genetik har hændelsen givet stof til eftertanke. 

”Vi kommer helt sikkert til at opfriske og diskutere risici for spionage og de såkaldte URIS-retningslinjer for at sikre, at disse ikke påvirker vores arbejdsmiljø negativt. Vi ønsker os alle en verden uden disse, men må også forholde os til virkeligheden,” siger institutleder Claus Oxvig og fortsætter:

”Instituttet huser medarbejdere fra rigtig mange kulturer. Det er berigende, og vi sætter alle kæmpestor pris på det. Men hændelsen her og dens efterspil viser også, at vi hele tiden skal huske at tænke på, hvordan vi kommunikerer og i det hele taget taler med hinanden. Her er helt sikkert noget at arbejde videre med for hele vores institut,” siger Claus Oxvig.