AU på vej med nye regler for forskningssikkerhed: "Det er ikke universitetets opgave at fange spioner – men vi skal sørge for, de ikke har adgang til informationer"
Baggrundstjek af nye medarbejdere fra visse lande og forskningsområder og større kontrol med, hvem der har adgang til hvad, er noget af det, Aarhus Universitet forventes at indføre som retningslinjer for internationalt forsknings- og innovationssamarbejde. AU-medarbejdere skal også vænne sig til at lade arbejdscomputeren blive hjemme fra rejser til visse lande.
Den sikkerhedspolitiske virkelighed er i disse år ændret, og det udfordrer landets universiteter, der ifølge Politiets Efterretningstjeneste skal være mere på vagt over for spionage fra autoritære staters efterretningstjenester.
At danske forskningsinstitutioner aktivt indgår i internationalt samarbejde ”er i langt størstedelen af tilfældene til Danmarks fordel, men PET ser eksempler på, at forskningen uretmæssigt havner i de forkerte hænder”, skriver efterretningstjenesten i sin rapport fra august 2023 Er jeres forskning i fare?
”Derfor er det vigtigt at opnå den rette balance, hvor danske universiteter og virksomheder arbejder så åbent som muligt – og så sikkert som nødvendigt,” lyder det fra PET.
URIS-retningslinjer
URIS står for Udvalg om retningslinjer for internationalt forsknings- og innovationssamarbejde. Udvalget blev nedsat i 2020 under Uddannelses- og Forskningsministeriet og afleverede i 2022 en rapport med nationale anbefalinger til landets uddannelsesinstitutioner. Det er dem, AU nu implementerer.
På AU er der nedsat en styregruppe, som har fundet frem til anbefalinger for, hvordan URIS kan implementeres på universitetet. Anbefalingerne vil løbende blive behandlet i AU’s forskningsudvalg og herfra komme til godkendelse i universitetsledelsen. De første tiltag vil blive rullet ud på universitetet i foråret 2024.
Hvad er dual-use?
Forskningsområder og produkter, der både kan benyttes civilt og militært, betegnes som dual-use. Dual-use er med til at gøre spionagetruslen mere kompleks, fordi det, de fremmede stater kan være interesseret i, ikke nødvendigvis bruges i en militær sammenhæng på universitetet. Dual-use-produkter kan for eksempel være sensorer, lasere, programmer eller software.
Kilde: PET’s rapport Er jeres forskning i fare?
Digitale angreb i Aarhus
For at give et eksempel på, hvor mange daglige digitale angreb der finder sted, kan man kigge på Aarhus Kommune: Den afværger dagligt ca. 25.000–30.000 målrettede digitale angreb på Aarhus Kommunes medarbejdere. Blandt andet i form af såkaldte phishing attacks, spoof attacks, malware attacks og lignende.
Region Midtjylland oplyste i november 2022, at der i en enkelt uge var afværget 145 millioner angreb imod Aarhus Universitetshospital.
Kilde: AU
Et af de sikkerhedstiltag, Aarhus Universitet på den baggrund kommer til at indføre fra i år, er udrulningen af retningslinjer for internationalt forsknings- og innovationssamarbejde – de såkaldte URIS-retningslinjer – som skal beskytte den viden, der findes på universitetet.
Det forklarer Brian Vinter, der er prodekan for forskning på fakultetet Technical Sciences og forperson for AU’s implementering af retningslinjer for internationalt forsknings- og innovationssamarbejde (URIS).
”Det handler om at beskytte vores forskning og vores forskere. Vi skal beskytte den og dem mod lande med demokratisk underskud. Langt hen ad vejen handler det om teknologier, der har dual-use – altså noget, vi på AU typisk udvikler med henblik på civil anvendelse, men som også kan have en militær eller efterretningsmæssig anvendelse,” siger Brian Vinter.
Eksempler på teknologier, som har dual-use, er sensorer, lasere, programmer eller software.
PET nævner en række udsatte områder på danske universiteter inden for højteknologiske og forsvarspolitiske områder. Det gælder særligt energiteknologi, bioteknologi, kvanteteknologi, rumteknologi, robotteknologi, forsvarsindustrielle produkter og produkter omfattet af eksportkontrol.
Baggrundstjek
Noget af det første, AU kommer til at indføre i år, er baggrundstjek – også kaldet screening – inden mulige ansættelser af forskere fra lande, der ikke er demokratiske. Tiltaget kører allerede som pilotprojekt på Brian Vinters fakultet Technical Sciences, ligesom Natural Sciences også bruger det. Screeningsværktøjet er udviklet i samarbejde med de øvrige danske universiteter.
”Screeningen af folks baggrund udløses af, hvilket pas de har, men ellers kigger vi enormt meget på, hvilket forskningsområde og hvilken viden de får adgang til. Hvis du kommer fra et udemokratisk land og gerne vil være en del af vores energiforskning, går vi ret dybt ind i, hvilke relationer du har i dit land, hvilken forskning du har lavet før, og om du virkelig vil bidrage meget til AU’s forskning. Omvendt, hvis du gerne vil forske i grøn omstilling af fødevareproduktionen, er det noget, vi selvfølgelig er interesseret i at få udbredt til hele verden, så der er vi meget mere åbne.”
AU er særligt opmærksom på Rusland, Kina og Iran, fordi trusselsvurderingen er, at landenes styrer ikke har gode intentioner. Derefter kigger universitetet på, hvilket fagområde de potentielt kommende medarbejdere har.
AU skal ikke fange spioner
For nuværende fungerer proceduren konkret ved, at den forsker på AU, der har fået mulighed for at ansætte for eksempel en ph.d. eller postdoc, udfylder skemaet med baggrund om den potentielt kommende medarbejders forskning og samarbejder. Når det er gjort, er det op til institutlederen at sige god for personen, inden prodekanen endeligt godkender ansættelsen. Men AU afventer, at PET laver et mere struktureret værktøj til processen, forklarer Brian Vinter.
Selv om det er AU, der udfører baggrundstjekket, er det ultimativt PET’s og ikke AU’s opgave at stoppe spionage, slår prodekanen fast.
”Det er ikke universitetets opgave at fange spioner. Det er efterretningstjenestens. Vi skal opfange, om der er folk, som måske kunne risikere at dele information, de ikke burde have adgang til, og så skal vi bare sørge for, at de ikke har adgang til den information. Vi vil med andre ord være meget opmærksomme på, hvilken information vi giver adgang til. At fange spioner er langt hinsides det, vi kan gå ind i,” siger Brian Vinter.
Egentlig ville han ønske, at PET tog screeningsopgaven på sig i stedet for at lade det være op til universiteterne.
”Det ville være bedre, at PET indhentede information fra os om, hvad vedkommende ville skulle arbejde med hos os, og så kunne de træffe en helhedsvurdering, da de sidder inde med det samlede billede. Det ville være langt mere effektivt til at fange uønskede personer, og det ville fjerne belastningen fra universitetet, der skal sige til folk: Du kan ikke arbejde her, fordi dit pas ser sådan ud, og fordi du har publiceret med de her mennesker,” siger Brian Vinter.
Selv om screeningen af medarbejdere endnu ikke er udrullet på hele universitetet, har universitetsledelsen gjort det klart, at ”man på AU allerede nu bør tænke sig godt om, inden man indgår et samarbejde med en eller flere forskere fra et af ”URIS-landene”. Det fremgår i referatet fra et møde i universitetsledelsen 13. september sidste år.
Ny rejsepolitik på vej
Et andet kommende sikkerhedspunkt er en skærpet rejsepolitik. Indtil videre anbefaler AU, at AU-forskere lader deres arbejdstelefon og computer blive hjemme, hvis de rejser til lande som Kina og Iran, og i stedet tager en rejseenhed med. Brian Vinter forventer, at denne anbefaling bliver til en egentlig politik, når det er kommet igennem URIS-udvalget og godkendt af universitetsledelsen.
”I det øjeblik, du logger på et netværk i Kina eller Iran, vil du blive angrebet. De vil forsøge at hive information ud og vil installere software, som kan aktiveres, når enheden kommer tilbage på AU’s netværk. Alt, der kommer udefra, bliver angrebet. Det er fuldstændigt automatiseret,” siger Brian Vinter.
”Det handler om forskningsdata, men det handler også om GDPR-data, et CV eller information om studerende. Det er ikke nok at sige, at du arbejder med guldalderkunst, så derfor har du ikke noget følsomt på din PC. Du kan have personfølsom data, og din PC kan blive brugt af udefrakommende, når du kommer tilbage på AU’s netværk,” siger Brian Vinter.
Parallelt med URIS-retningslinjerne har AU IT i en længere periode arbejdet med at øge cybersikkerheden. Her hæfter Brian Vinter sig især ved, at AU får et segmenteret netværk, hvor ansatte kun har adgang til den del af netværket, som de har behov for at have adgang til. På den måde flytter man fokus, fra at universitetet blot skal have en firewall, der holder alle uvedkommende ude, til at universitetet også er nødt til at have fokus på, hvad der kan være af trusler indefra.
Samarbejder med PET
Det nye i truslen mod universitetet er ifølge Brian Vinter, at der nu er større fokus på truslen fra stater, hvor Danmark tidligere mest var opmærksom på industrispionage. Det gør det også svært at vurdere, hvor stor truslen mod Aarhus Universitet er, mener han. Samarbejdet mellem PET og Aarhus Universitet er rent rådgivende, og det er ikke sådan, at PET kontakter AU med stort og småt.
”Vi kan spørge om noget, og så får vi en generel beskrivelse. Vi får ikke besked fra efterretningstjenesten om, at nu skal vi lige holde øje med det her. Vi skal selv orientere os i PET's trusselsvurderinger,” siger han.
Efterretningstjenesten har dog åbnet for, at universitetet kan kontakte dem i særlige tilfælde, hvor der er brug for et nærmere baggrundstjek af personer. AU har gjort brug af den mulighed, oplyser prodekanen.
”I alle de tilfælde, hvor vi ikke kan finde noget negativt på personen og dermed er klar til at ansætte – men hvor der er tale om et superkritisk område for Danmark – så fortæller vi dem, at vi har tænkt os at ansætte den her person. Så er PET varslet, når der søges arbejds- og opholdstilladelse til personen, og vi kommer en eventuel forsinkelse af processen i møde."
Prodekan: Det rammer ikke forskningsfriheden
Som tidligere nævnt er målet ifølge PET at finde den rette balance, og Brian Vinter understreger i den sammenhæng, at universitetet ifølge ham er ”meget langt fra grænsen for at ramme forskningsfriheden”.
”Universitetet er ikke i nærheden af at acceptere noget som helst, der vil påvirke forskernes forskningsfrihed,” siger han og tilføjer:
”Vi kommer ikke til at stoppe nogen i at have forskningssamarbejder. Det er slet ikke der, vi er. Der vil universitetet også selv sige: Hov, nu knægter vi forskningsfriheden.”
PET er heller ikke interesseret i, at universiteterne stopper med at samarbejde med andre lande, forklarer Brian Vinter. Derfor er der heller ikke tale om, at man som forsker ikke længere kan rejse til for eksempel Kina.
”PET siger eksplicit, at vi ikke skal holde op med at samarbejde med de her lande. Vi skal bare være bevidste om, hvilke emner vi samarbejder omkring og hvordan,” siger han.
I sidste ende er hans forventning, at URIS-retningslinjerne ikke kommer til at påvirke AU’s forskere særligt meget.
”De kommer ikke til at mærke den helt store forskel. De skal udfylde et spørgeskema, hvis de ønsker at ansætte visse forskere, og det kan være lidt træls af tage en anden PC med ud at rejse, men overordnet set vil forskerne ikke opleve, at det ændrer noget radikalt, selv om der kommer lidt ekstra arbejde. Vi vil naturligvis forsøge at lave værktøjer til at minimere byrden. Til gengæld vil forskernes indsats være afgørende i forhold til at beskytte forskningen,” siger Brian Vinter.
Korrekturlæst af Charlotte Boel