AU indfører kontrol-app på ansattes mobiler: Vi overvåger ikke medarbejderne

Alle AU-medarbejdere skal efter planen installere en ny sikkerhedsapp på deres enheder. Appen kontrollerer adgangen til blandt andet mail og kalender og skal sikre, at vigtige data ikke bliver tilgængelig for hackere. AU's datasikkerhed kommer først, siger vicedirektør. Men nogle medarbejdere er bekymrede og ville gerne være blevet hørt i processen.

AU får mere kontrol med mobiler og tables, når MDM-appen bliver installeret. Arkivfoto: Lars Kruse/AU Foto.

Inden længe skal alle medarbejdere på Aarhus Universitet installere Mobile Device Management-appen Microsoft Intune på deres elektroniske enheder som mobiler og tablets.

MDM-systemet giver administratorerne overblik over alle enheder og sikrer, at en række sikkerhedsmæssige tiltag overholdes.

Installerer medarbejderen ikke appen, vil vedkommende ikke længere have adgang til sine Microsoft 365-produkter, herunder mail og kalender.

Mail er udsat for hackerrisiko

Ifølge Peter Bruun Nielsen, der er vicedirektør for AU IT, er formålet med MDM-systemet, at universitetet får styr på, hvilke data forskellige telefoner og tablets får adgang til, og at universitetet får overblik over sine enheder.

"Når en bruger på AU bruger sin smartphone eller tablet til at læse mails, så har vedkommende adgang til nogle potentielle fortrolige og vigtige data".

"Der er en ikke-ubetydelig risiko for, at enheden kan blive hacket, hvis den ikke er opdateret, og så har hackerne adgang til de mails, der er liggende. Der ligger AU-data på telefonen, og det må ikke komme i de forkerte hænder", siger Peter Bruun Nielsen.

Universitetssektoren er under en konstant trussel fra cyberkriminelle. Det viste sig så sent som i december 2021 på AU, da en verdensomspændende softwarefejl svækkede sikkerheden i mange it-systemer.

LÆS OGSÅ: It-nedlukning: ”Det er en meget alvorlig sårbarhed”

MDM-appen vil sørge for, at de underliggende styresystemer på enhederne hele tiden er opdateret til den nyeste og mest sikre version. Udrulningen blev godkendt af informationssikkerhedsudvalget (FISU) i december.

Men CISU bemærker, at der kan forventes "en vis modstand mod udrulningen, især fra medarbejdere, der anvender deres private mobile enheder," og som ikke ønsker at downloade MDM-appen.

AU IT har i første omgang testet appen på afdelingens medarbejdere, og det er ifølge vicedirektøren gået smertefrit. 11. januar blev 1.000 medarbejdere på udvalgte institutter og på vicedirektørområdet Uddannelse også bedt om at installere appen. 24. januar mistede medarbejderne adgang til mail-systemet, hvis de ikke hentede appen.

Den videre udrulning på AU afhænger af erfaringerne fra implementeringen. AU-medarbejdere vil modtage information om tiltaget i nyhedsbrevet, når prøveperioden er overstået, og AU IT har gjort sig erfaringer med MDM, oplyser Peter Bruun Nielsen.

Fællestillidsrepræsentant: En del bliver nok utilfredse

Fakta: Dette kan Aarhus Universitet se eller gøre på din enhed, når du installerer appen:

  • Få vist model, serienummer og operativsystem.   
  • Identificer din enhed ved navn.
  • Nulstil enhed, der er mistet eller stjålet, til fabriksindstillinger.

Dette kan Aarhus Universitet ikke se på din enhed, når du installerer appen:

  • Få vist browserdataene på enheden.
  • Se dine personlige mails, dokumenter, kontakter eller kalender.
  • Få adgang til dine adgangskoder.
  • Vise, redigere eller slette dine billeder.
  • Se placeringen af en personlig enhed.

Nogle få medarbejdere kan opleve, at deres telefoner er for gamle til at kunne opdateres med et tilstrækkeligt sikkert styresystem, og derfor vil de blive nødt til at bede deres ledere om nye telefoner.

Kilde: AU IT-vicedirektør Peter Bruun Nielsen.

Det er ikke alle på universitetet, der synes, beslutningen er så lige til. Olav W. Bertelsen, der er lektor og fællestillidsrepræsentant for det videnskabelige personale (VIP) ved AU, forstår ikke, hvorfor medarbejderne ikke er blevet hørt i højere grad.

"Jeg er sådan set pikeret over, at noget som er indgribende i folks måde at bruge deres arbejdsredskaber på, ikke er noget, vi er blevet orienteret om i hovedsamarbejdsudvalget," siger Olav W. Berthelsen.

Han har forståelse for, at datasikkerheden skal styrkes på universitetet, men så burde ledelsen have taget medarbejderne med på råd, mener han.

"Der er nok en del, der bliver utilfredse. Og jeg tænker da, det er vigtigt, det bliver kommunikeret på en god måde. Hvad er reglerne så for den måde, man ikke overvåger medarbejderne på? Og hvordan sikrer man, at det her ikke bliver et overvågningsredskab. Det er formentlig ikke af ond vilje, men det er uden for skiven ikke at involvere samarbejdsudvalget, hvis det er så langt fremme," siger han.

Lektor: Restriktioner kan påvirke mit arbejde

Diego Aranha, der er lektor på institut for Datalogi, savner også besked fra universitetet. Han forsker selv i sikkerhedssystemer, og han ser flere risici for medarbejderne ved MDM.

"Det står endnu ikke klart, hvor indgribende MDM vil være for de forskellige enheder: arbejdstelefoner, privattelefoner, og andre personlige enheder brugt til arbejde. Med en indgribende MDM-model kan nogle på AU IT få muligheden for at begrænse mine aktiviteter."

"For eksempel ved at forbyde mig at installere visse apps eller udføre andre aktiviteter, der kan påvirke måden jeg underviser på eller foretager min research," siger han.

Diego Aranha anerkender, at MDM-systemer er en gængs teknologi i virksomheder, men universitetet er anderledes, siger han, ligesom han efterlyser eksempler på, at hackere har kunnet bryde igennem de nuværende sikkerhedsforanstaltninger.

"Det er nemt for universitetet at sige, at det her handler ikke om overvågning, men det er ikke tilstrækkeligt. Beslutningen og implementeringen bør blive taget, efter at risikoen er sammenholdt med fordelene og omhyggeligt kommunikeret til alle involverede brugere for gennemsigtighed."

"Vilkår for enheder i gråzonen, der er på grænsen mellem personlig og arbejdsrelateret data, er især sensitivt. Det er godt, at AU IT tester processen, men jeg bemærker, at deres aktiviteter ikke er repræsentative for hele universitetet. Jeg skriver, researcher, indsamler data og samarbejder med virksomheder, så de her restriktioner påvirker mit arbejde anderledes," siger Diego Aranha.

AU vil ikke overvåge trafikken

AU IT-vicedirektør Peter Bruun Nielsen er bevidst om, at beslutningen kan give anledning til bekymring hos mange medarbejdere. Men han kalder det nye MDM-system et "vigtigt flueben" at få sat, når det kommer til informationssikkerheden på AU. Han fastslår i samme ombæring, at de enkelte brugere på AU ikke vil blive overvåget.

"Vi hegner de data ind, som er arbejdsrelateret og siger, at her gælder nogle særlige regler. Vi overvåger ikke trafikken, eller hvad man søger efter på google. Vi kan allerede læse alles mails, men det gør vi ikke. Det eneste, vi tjekker, er styresystemet, og vi giver kun adgang, hvis det er sikkerhedsopdateret," siger Peter Bruun Nielsen.

Peter Bruun Nielsen, der er vicedirektør for AU IT, anerkender, at medarbejdere kan blive bekymret over MDM-appen, men understreger, at AU ikke vil bruge appen til overvågning. Foto: Lars Kruse/AU Foto

Det handler om AU's datasikkerhed, og det kommer før medarbejderes eventuelle bekymringer, lyder det.

"Vi ønsker bestemt ikke at overvåge medarbejdernes brug af smartphones eller tablets. Det er vores opgave at beskytte AU's data og beskytte medarbejderne mod, at de mobile enheder bliver udsat for misbrug," siger han.

Sikkerhedsekspert: MDM er ikke et overvågningsværktøj

IT-sikkerhedsekspert og stifter af CSIS Security Group Peter Kruse anser ikke MDM som et overvågningsværktøj. En medarbejder bør således ikke være bekymret over, at universitetet i princippet kan følge med på vedkommendes mobil, mener han.

"Man kan forvente, der vil være sådan en løsning på en telefon, der er en del af ens arbejde. Har man sin egen telefon med mail, så må man vælge, om man vil bruge den til det, for det giver god mening, at der er en form for kontrol med, hvad medarbejderen laver i forbindelse med læsning af mails."

"MDM introducerer ikke en øget risiko for, at man bliver overvåget, så længe det bliver administreret på den rigtige måde. Det bliver mere brugt som en foranstaltning til at beskytte data fra udefrakommende," siger Peter Kruse.

Det er et af de 20 tekniske krav til statslige myndigheder, at man sikrer, at mobile enheder, som indeholder organisationens data, er opdaterede.  

Store og mellemstore virksomheder bruger MDM, for mister virksomheden overblikket over sine enheder, mister den også overblikket over sin data, lyder der fra it-sikkerhedseksperten.

"MDM er specielt blevet nødvendigt blandt de helt store virksomheder. Der må man nok sige, at universitetet går ind under en af de større arbejdspladser, så derfor giver det faktisk også god mening, og det er måske også rettidigt, at man bringer det ind nu," siger Peter Kruse.

Korrekturlæst af Charlotte Boel. 

Rettelse 10/2: Det fremgik tidligere, at også computere er omfattet af MDM-appen. Det er de ikke.